“PC乗っ取り”の恐れも Microsoft製品の危険な「ゼロデイ脆弱性」とは2025年5月は脆弱性祭り

広く普及しているMicrosoft製品に、幾つかの重大な脆弱性が見つかった。攻撃者が悪用すると、システムを完全に制御して機密情報を漏えいさせる可能性がある。影響を受ける製品やサービスは何か。

2025年06月02日 06時00分 公開
[Alex ScroxtonTechTarget]

 Microsoftは2025年5月13日(米国時間)の「Patch Tuesday」で、同社製品に関する約70件の脆弱(ぜいじゃく)性を修正した。Patch Tuesdayは、同社が毎月第2火曜日(米国時間)に公開する更新プログラムだ。今回の更新には、まだパッチ(修正プログラム)が提供されていない「ゼロデイ脆弱性」が5件含まれている。ゼロデイ脆弱性が見つかった同社の製品やサービスとは。

すぐに対策が必要なMicrosoftの製品やサービスはこれだ

 今回修正対象になったゼロデイ脆弱性は以下の通りだ。

  • CVE-2025-30400
    • Microsoftのデスクトップ描画機能「Desktop Window Manager」(DWM)のコアライブラリ(中心部品)における権限昇格(EoP)の脆弱性
  • CVE-2025-30397
    • スクリプト(簡易プログラム)実行エンジン「Microsoft Scripting Engine」のメモリ破損に起因する脆弱性
    • 標的のサーバで不正なプログラムを動作させるリモートコード実行(RCE)を可能にする
  • CVE-2025-32701
    • Windowsのログ取得機能「Common Log File System」(CLFS:共通ログファイルシステム)のドライバーにおけるEoPの脆弱性
  • CVE-2025-32706
    • CLFSのドライバーにおけるのEoPの脆弱性
  • CVE-2025-32709
    • OSのネットワーク通信を補助するドライバー「Windows Ancillary Function Driver」(Afd.sys)におけるEoP脆弱性

 Microsoftによると、この5つの脆弱性の悪用は確認されていない。これらの脆弱性の共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)における評価は、いずれも「重要」だ。

 セキュリティベンダーAction1の共同創業者兼プレジデントのマイク・ウォルターズ氏は、CLFSに関する2件の脆弱性について「最小限の権限で攻撃を実行できるので、特に危険だ」と指摘する。CLFSはサードパーティー製アプリケーションを含め、さまざまなシステムが使用する機能だ。同氏は、「攻撃者がCLFSの脆弱性を悪用すると、標的システムでマルウェアをインストールしたり、データを改ざんしたりできる」と説明する。CLFSを使用している組織は、迅速に脆弱性を修正する必要があるという。

 セキュリティベンダーImmersive Labs脅威分析部門ディレクターのケブ・ブリーン氏は、「CVE-2025-30400を最優先で修正すべきだ」と述べる。同氏によると、攻撃者はこの脆弱性の悪用によってシステムを完全に制御可能な権限を獲得できる恐れがある。「そうなれば、機密情報の入手やセキュリティツールの無効化といった操作も可能になる」とブリーン氏は説明する。

 Immersive Labs脅威分析担当のベン・ホプキンス氏はCVE-2025-30397について調査した。同氏によると、この脆弱性はMicrosoftのスクリプトエンジンが、メモリ内のオブジェクトを不適切に処理した場合に生じる。こうした処理によって予期しない挙動が発生し、攻撃者による任意コード実行(標的システムで任意のプログラムや命令を実行すること)や権限昇格を招く恐れがある。

 CVE-2025-32709についてホプキンス氏は、「解放済みのメモリにアクセス可能な状態を悪用することで、攻撃者が不正なデータをメモリに注入し、プログラムの動作に影響を与えることができる」と説明する。その結果として、権限の昇格が可能になるという。

 Microsoftは追加で、以下の2件のゼロデイ脆弱性も公開した。CVSS評価はいずれも「重要」だ。ただし本稿執筆時点では攻撃への悪用は確認されていない。

  • CVE-2025-26685
    • アイデンティティー(ID)管理ツール「Microsoft Defender for Identity」におけるスプーフィング(なりすまし)の脆弱性
  • CVE-2025-32702
    • 統合開発環境(IDE)「Microsoft Visual Studio」におけるRCEの脆弱性

TechTarget.AIとは

TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。

アイティメディアからのお知らせ

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...