本記事は セキュリティ速報シリーズ第15回 です。
172件の脆弱性修正、6件のゼロデイを解消|Microsoft 2025年10月の月例更新
Microsoftは米国時間2025年10月14日、恒例の月例セキュリティ更新(Patch Tuesday)を公開しました。
今回の更新では、合計172件の脆弱性が修正され、そのうち 6件がゼロデイ(うち4件が実際に悪用確認済み) と報告されています。
注目のゼロデイ2件|CISAが「既知の脆弱性カタログ」に登録
特に注目すべきは次の2件で、すでに米国サイバーセキュリティ局(CISA)が「既知の脆弱性カタログ」に登録しています。
- CVE-2025-24990:Windows Agere Modem Driver の権限昇格脆弱性(攻撃成功で SYSTEM 権限獲得)
- CVE-2025-59230:Windows Remote Access Connection Manager の権限昇格脆弱性
どちらもすでに実際の攻撃で悪用が確認されており、対応を怠ると侵害拡大につながる危険性があります。
影響範囲は Windows・Office・Exchange・Azure など広範囲
今回のアップデートは以下の主要製品群を含む 広範囲な影響を持ちます。
- Windows(クライアント/サーバー)
- Exchange Server
- Microsoft Office
- Azure
- Hyper-V
- Visual Studio など
深刻度別の件数
- 緊急(Critical):8件(RCE 5件、権限昇格 3件)
- 重要(Important):162件
- 警告(Moderate):2件
脆弱性カテゴリ別の内訳
- 権限昇格:80件
- セキュリティ機能バイパス:11件
- リモートコード実行(RCE):31件
- 情報漏洩:28件
- サービス拒否(DoS):11件
- なりすまし:10件
Windows 10、ついにサポート終了
今回のアップデートは、Windows 10の無償サポートが終了する歴史的な節目でもあります。
2025年10月14日をもって、Windows 10の無償サポートが終了し、以後のセキュリティ更新は 「ESU(拡張セキュリティ更新)」契約ユーザーのみが利用可能となりました。
- 一般ユーザー:1年間の有償延長が可能
- 企業ユーザー:最大3年間の延長が可能
Microsoftは、Windows 11またはWindows 365(クラウド環境)への移行を強く推奨しています。
管理者への推奨対応
企業やシステム管理者に向けて、以下の対応が推奨されています。
- 自動更新を無効化せず、即時Windows Updateを適用
- RDPやVPNなど、外部接続ポートの監査・制限
- Active Directory・Exchange Server のパッチ適用状況を重点確認
- Windows 10を運用中の企業は、早急にESU契約またはWindows 11への移行を検討
特に CVE-2025-24990 はローカル環境からの権限昇格が可能であり、EmotetやDarkGateなどの二次感染攻撃との連携にも利用される恐れがあるため、迅速な対応が不可欠です。
まとめ
今回のPatch Tuesdayは、172件という過去最大級の更新規模に加え、実際に悪用されているゼロデイが複数含まれている点で非常に重要です。
特に、Windows 10のサポート終了を迎える今、移行・更新の遅れは重大なリスクにつながります。全社的なパッチ管理と移行計画の再確認が求められます。
※本記事は、当社が2025年10月に社内およびクライアント様へご案内したメール内容を基に、Web読者の皆さまにも有益な情報となるよう加筆・編集のうえ公開しています。
出典・参考
- Security NEXT「MS、10月の月例パッチを公開 ‑ ゼロデイ脆弱性3件に対応」
- Rocket Boys Security Lab「172件の修正と6件のゼロデイ、Windows 10は最終配布に」
- Bleeping Computer「Microsoft October 2025 Patch Tuesday fixes 6 zero‑days, 172 flaws」
- Security Online「October Patch Tuesday — Microsoft fixes 6 zero‑days including 4 actively exploited flaws」
- CyberScoop「Microsoft’s Patch Tuesday fixes 175 vulnerabilities including two」
