本記事は セキュリティ速報シリーズ第6回 です。
Microsoft は9月10日(日本時間)、9月の月例セキュリティ更新プログラムを公開し、CVE番号ベースで81件の脆弱性を修正しました。このうち8件が最高深刻度の「緊急」レベルと評価されており、企業・組織は早急な適用が求められています。
目次
対象製品と影響範囲
- Windows 10/11(全バージョン)
- Windows Server 2025/2022/2019/2016
- Microsoft Office
- Microsoft SharePoint
- Microsoft SQL Server
- Microsoft Azure
これらの製品において、リモートでのコード実行や特権昇格といった深刻な脆弱性が修正されています。
早急対応が必要な重要脆弱性
1. Microsoft HPC Packの脆弱性(CVE-2025-55232)
CVSS基本値9.8の極めて深刻な脆弱性で、認証やユーザー操作を必要とせずに悪用可能です。攻撃者はリモートから影響を受けるシステム上でコードを実行でき、HPC Pack環境間でワーム的に拡散する恐れがあります。
対処法:
2. ゼロデイ脆弱性2件(公開済み)
以下2件の脆弱性は更新プログラム公開前に詳細が一般公開されており、特に注意が必要です:
- CVE-2025-55234: Windows SMBの特権昇格の脆弱性
- CVE-2024-21907: Newtonsoft.Json での例外的な状態の不適切な処理
これらの脆弱性については、Microsoftが早急な更新プログラムの適用を強く呼びかけています。
継続する問題への警告
Office プレビューウィンドウの脅威
8ヶ月連続でOfficeコンポーネントがプレビューウィンドウ経由でのコード実行を許す脆弱性(CVE-2025-54910)が発見されています。セキュリティ専門家は、Microsoftが根本的な対策を講じるまでプレビューウィンドウの無効化を検討するよう推奨しています。
その他の注目すべき脆弱性
- CVE-2025-33051: Microsoft Exchange Server の情報漏えい(ゼロデイ、深刻度「重要」)
- グラフィックスカーネルやHyper-Vに影響する複数の「緊急」レベル脆弱性
- SQL Server: 機微な情報を漏洩する可能性のある脆弱性
仕様変更への注意
- 証明書ベース認証:KB5014754が完全適用モードに移行
- Kerberos認証:Windows Server 2025およびWindows 11 v24H2でDES暗号アルゴリズムを削除
影響を受けるアプリケーションは、より強力な暗号方式への移行が必要です。
推奨対応
- 即座に更新プログラムを適用(特にHPC Pack環境)
- Windows UpdateまたはMicrosoft Update カタログから入手
- プレビューウィンドウの無効化を検討
- DES暗号を使用するアプリケーションの移行計画策定
企業・組織の IT 管理者は、これらの脆弱性による潜在的なリスクを評価し、業務への影響を最小限に抑えながら迅速な対応を実施することが重要です。
※本記事は、当社が2025年9月に社内およびクライアント様へご案内したメール内容を基に、Web読者の皆さまにも有益な情報となるよう加筆・編集のうえ公開しています。
出典・参考
公式発表・機関
- Microsoft Security Response Center – 2025年9月のセキュリティ更新プログラム
- IPA – Microsoft製品の脆弱性対策について(2025年9月)
- JPCERT/CC – 2025年9月マイクロソフトセキュリティ更新プログラムに関する注意喚起
技術メディア・ニュース
- Cloud Watch – Microsoftが9月の月例パッチ公開、危険度の高い脆弱性を含む81件を修正
- Yahoo!ニュース – Microsoft、2025年9月の「Windows Update」を実施
- IT Media – Office、Azureなどに影響 Microsoftが2025年9月の月例パッチを公開
- 窓の杜 – 2025年9月の「Windows Update」を実施
