Microsoftの脆弱性修正、2025年は1100件越え 最近の危険な「3つの欠陥」:なぜ多いのか?
Microsoftによる同社製品の脆弱性修正が後を絶たない。2025年、公開されたパッチは1100件を超えた。こんなに脆弱性が多い理由と、今、特に注意が必要な3つの脆弱性を取り上げる。
Microsoftは2025年12月9日(米国時間)の月例アップデート「Patch Tuesday」で約60件の脆弱(ぜいじゃく)性のパッチ(修正プログラム)を公開し、2025年に修正された同社製品の脆弱性の総数は1100件を超えた。本稿は、今回のアップデートのうち「特に注意が必要な3つの脆弱性」と、Microsoft製品に脆弱性が多い理由を紹介する。
特に注意が必要な脆弱性はこれだ
併せて読みたいお薦め記事
Microsoft製品の脆弱性
CVE-2025-62221
今回修正された脆弱性の一つは、Windowsのファイルシステムフィルタードライバー「Windows Cloud Files Mini Filter」に影響を与える「CVE-2025-62221」だ。ファイルシステムフィルタードライバーとは、I/O操作を監視したり変更したりするプログラムを指す。攻撃者はこの脆弱性を悪用すれば、標的システムの権限を昇格させられる可能性がある。この脆弱性は、プログラムが既に使用を終えて解放したメモリ領域に不正にアクセスできてしまうUse-After-Free(UAF)と呼ばれる条件によって生じる。
セキュリティベンダーAction1の共同創設者兼CEO、マイク・ウォルターズ氏はCVE-2025-62221について、「Windows Cloud Files Mini Filterが広く普及していることから、攻撃に悪用されやすい」と警鐘を鳴らす。特に、アクセス権限管理が弱い企業や、エンドポイントを複数人で共有する企業にとってこの脆弱性に対する注意が必要だと同氏は述べる。
CVE-2025-54100
もう一つ修正された脆弱性は、「Windows」のコマンド実行ツール「PowerShell」に影響を与える「CVE-2025-54100」だ。この脆弱性は、PowerShellがWebコンテンツを処理する際のコマンドインジェクション(不正コマンドの入力)を可能にする。悪用した場合、攻撃者が認証を回避して任意のコードを実行できる可能性がある。PowerShellの広い普及を踏まえ、セキュリティ専門家はCVE-2025-54100が悪用されやすいとみている。攻撃の実行は比較的容易で、特権ユーザーを狙ったソーシャルエンジニアリング攻撃の一部として利用された場合、より深刻な被害をもたらす可能性がある。
CVE-2025-64671
さらに、JetBrainsソフトウェア向けのコード補完ツール「GitHub Copilot for JetBrains」に影響を与える脆弱性「CVE-2025-64671」も修正された。GitHub CopilotはMicrosoftとAIベンダーOpenAIが共同開発している。CVE-2025-64671はJetBrains拡張機能に存在するものだ。悪用されたら、「クロスプロンプトインジェクション」によって任意のコード実行が可能になる。クロスプロンプトインジェクションは、ユーザーではなく、大規模言語モデル(LLM)エージェントが自らのプロンプトをファイルの内容やモデルコンテキストプロトコル(MCP)サーバから取得したデータに基づいて作成する際に、プロンプトを変更する手法だ。
セキュリティベンダーImmersive Labs脅威分析部門ディレクターのケブ・ブリーン氏は、機密情報への不正アクセスといったリスクがあると捉え、GitHub Copilot for JetBrainsのユーザー企業に対して速やかにパッチを適用するよう呼び掛けている。
Microsoft製品に脆弱性が多い理由
セキュリティベンダーであるトレンドマイクロの脆弱性報告プログラム「Zero Day Initiative」のダスティン・チャイルズ氏は、Microsoftが2025年に合計1139件の脆弱性を修正したと述べる。1250件の脆弱性が修正された2020年に次ぎ、2番目に多い年になったという。同氏によると、Microsoftは製品やサービスが多様化し、人工知能(AI)技術も取り入れていることから、脆弱性が増加傾向にある。2026年もAIを使った脆弱性の増加が見込まれると同氏は予測している。
Copyright © ITmedia, Inc. All Rights Reserved.