.crit { font-weight:bold; color:red; } .article_section td { font-size: 14px!important;}。
本日は、マイクロソフトの12月2025年パッチ・チューズデーであり、積極的に悪用されている脆弱性1件と公表されているゼロデイ脆弱性2件を含む57件の不具合が修正される。
また、今回のパッチ・チューズデーでは、リモート・コード実行の「クリティカル」な脆弱性3件にも対処している。
各脆弱性カテゴリーにおけるバグの数は以下の通り:
- 28件の特権昇格の脆弱性
- 19 リモート・コード実行の脆弱性
- 4 情報漏洩の脆弱性
- 3 サービス拒否の脆弱性
- 2 スプーフィング脆弱性
パッチ・チューズデーのセキュリティ更新プログラムに関するレポートでは、マイクロソフトが本日リリースしたもののみをカウントしています。そのため、脆弱性の数には、Microsoft Edge(15件)および今月初めに修正されたMarinerの脆弱性は含まれていません。
本日リリースされたセキュリティ更新プログラム以外の更新プログラムの詳細については、Windows 11 KB5072033およびKB5071417累積更新プログラムに関する専用記事をご覧ください。
パッチ・チューズデーの更新の遅れ、盲点、優先順位付けの問題に直面している場合、Action1との最近のウェビナーでは、最新のパッチ管理によって組織がいかに迅速にパッチを適用し、リスクを軽減できるかを紹介しています。
3件のゼロデイと1件のエクスプロイト
今月のパッチ・チューズデーは、アクティブに悪用されている脆弱性1件と、一般に公開されているゼロデイ脆弱性2件を修正します。
マイクロソフトでは、公式な修正プログラムが提供されていないゼロデイ脆弱性を、一般に公開されているもの、または積極的に悪用されているものと分類しています。
アクティブに悪用されるゼロデイ脆弱性は以下の通り:
CVE-2025-62221 – Windows Cloud Files Mini Filter Driver に特権昇格の脆弱性
マイクロソフトは、Windows Cloud Files Mini Filter Driver の特権昇格の脆弱性にパッチを適用しました。
Windows Cloud Files Mini Filter Driverの “Use after free “は、権限を与えられた攻撃者がローカルで特権を昇格させることを可能にします。
マイクロソフトによると、この欠陥を悪用することに成功すると、攻撃者はSYSTEM権限を得ることができる。
マイクロソフトは、この欠陥をマイクロソフト脅威インテリジェンスセンター(MSTIC)とマイクロソフト・セキュリティ・レスポンス・センター(MSRC)に起因するとしているが、この欠陥がどのように悪用されたかは明らかにしていない。
公開されているゼロデイ欠陥は以下の通り:
CVE-2025-64671 – GitHub Copilot for Jetbrains リモートコード実行の脆弱性
マイクロソフトは、一般に公開されている GitHub Copilot の不具合にパッチを適用し、攻撃者がローカルでコマンドを実行できるようにしました。
「Copilotのコマンドで使用される特殊要素の不適切な無効化(’コマンドインジェクション’)により、権限のない攻撃者がローカルでコードを実行できるようになる」とMicrosoftは説明している。
マイクロソフトによると、この欠陥は、信頼されていないファイルまたはMCPサーバーのクロスプロンプトインジェクションによって悪用される可能性があるという。
「信頼されていないファイルやMCPサーバーに悪意のあるクロスプロンプト・インジェクションを行うことで、攻撃者は、ユーザーの端末自動承認設定で許可されているコマンドに追加して、追加のコマンドを実行することができる」とマイクロソフト社は続けている。
マイクロソフト社は、この欠陥をAri Marzuk氏によるものだとしている。Ari氏は最近、「IDEsaster」の一部としてこの欠陥を公表した:彼は「IDEsaster: A Novel Vulnerability Class in AI IDEs」レポートの一部として、最近この欠陥を公表した。
CVE-2025-54100 – PowerShell リモートコード実行の脆弱性
マイクロソフトは、Invoke-WebRequest を使用してページを取得した際に、ウェブページに埋め込まれたスクリプトが実行される可能性のある PowerShell の脆弱性にパッチを適用しました。
Windows PowerShell のコマンドで使用される特別な要素の不適切な無効化(「コマンドインジェクション」)により、権限のない攻撃者がローカルでコードを実行できるようになる」とマイクロソフトは説明している。
マイクロソフトは、PowerShellが「Invoke-WebRequest」を使用する際に警告を表示し、コードの実行を防ぐために-UseBasicParsingを追加するようユーザーに促す変更を行った。
セキュリティ警告スクリプト実行のリスク Invoke-WebRequest は Web ページのコンテンツを解析します。推奨対処法:スクリプトコードの実行を回避するには、-UseBasicParsing スイッチを使用してください。 続けますか? ``` 詳細は、[KB5074596: PowerShell 5.1: Web コンテンツからのスクリプト実行の防止](https://support.microsoft.com/help/5072034) を参照してください。
マイクロソフトは、この欠陥について、Justin Necke氏、DeadOverflow氏、Pēteris Hermanis Osipovs氏、Anonymous氏、Melih Kaan Yıldız氏、Osman Eren Güneş氏など、多数の研究者によるものだとしている。
他社の最近のアップデート
2025年12月にアップデートやアドバイザリをリリースした他のベンダーは以下の通り:
- Adobeは、ColdFusion、Experience Manager、DNG SDK、Acrobat Reader、Creative Cloud Desktopのセキュリティアップデートをリリースした。
- フォーティネットは、FortiCloud SSOログイン認証バイパスの重大な欠陥を含む、複数の製品のセキュリティアップデートをリリースした。
- Googleは、Androidの12月のセキュリティ情報を公開した。このセキュリティ情報には、悪用が活発な脆弱性2件の修正が含まれている。
- Ivantiは、2025年12月のパッチチューズデー(Patch Tuesday)アップデートの一環として、Ivanti Endpoint Managerの9.6/10 Stored XSSの欠陥に対する修正を含むセキュリティパッチをリリースした。
- Reactは 、React Server ComponentsにおけるRCEの重大な欠陥に対するセキュリティアップデートをリリースした。React2Shell と呼ばれるこの欠陥は、現在攻撃で広く悪用されている。
- SAPは 、SAP Solution Managerの9.9/10コードインジェクションの不具合の修正を含む、複数の製品の12月のセキュリティアップデートをリリースした。
2025年12月パッチチューズデーセキュリティアップデート
以下は、2025年12月のパッチチューズデーのアップデートで解決された脆弱性の全リストです。
各脆弱性の詳細と影響するシステムについては、こちらのレポートをご覧ください。
| タグ | CVE ID | CVE タイトル | 深刻度 |
|---|---|---|---|
| アプリケーション情報サービス | CVE-2025-62572 | アプリケーション情報サービスにおける特権昇格の脆弱性 | 重要 |
| Azure モニターエージェント | CVE-2025-62550 | Azure Monitor Agent のリモートコード実行の脆弱性 | 重要 |
| コパイロット | CVE-2025-64671 | GitHub Copilot for Jetbrains リモートコード実行の脆弱性 | 重要 |
| Microsoft ブローカリングファイルシステム | CVE-2025-62569 | Microsoft Brokering File System における特権昇格の脆弱性 | 重要 |
| マイクロソフトブローカリングファイルシステム | CVE-2025-62469 | Microsoft Brokering File System における特権昇格の脆弱性 | 重要 |
| Microsoft Edge (Chromium ベース) | CVE-2025-13634 | ChromiumCVE-2025-13634 ダウンロードにおける不適切な実装 | 不明 |
| Microsoft Edge (Chromium ベース) | CVE-2025-13721 | Chromiumv8 における CVE-2025-13721 の競合 | 不明 |
| Microsoft Edge (Chromium ベース) | CVE-2025-13630 | ChromiumV8 における CVE-2025-13630 型の混乱 | 不明 |
| Microsoft Edge (Chromium ベース) | CVE-2025-13631 | ChromiumCVE-2025-13631 Google アップデータにおける不適切な実装 | 不明 |
| Microsoft Edge (Chromium ベース) | CVE-2025-13632 | ChromiumCVE-2025-13632 DevTools における不適切な実装 | 不明 |
| Microsoft Edge (Chromium ベース) | CVE-2025-13633 | ChromiumCVE-2025-13633 デジタル認証情報における free 以降の使用 | 不明 |
| Microsoft Edge (Chromium ベース) | CVE-2025-13638 | ChromiumCVE-2025-13638 メディアストリームにおける free 後の使用 | 不明 |
| Microsoft Edge (Chromium ベース) | CVE-2025-13639 | ChromiumCVE-2025-13639 WebRTC における不適切な実装 | 不明 |
| Microsoft Edge (Chromium ベース) | CVE-2025-13640 | ChromiumCVE-2025-13640 パスワードにおける不適切な実装 | 不明 |
| Microsoft Edge (Chromium ベース) | CVE-2025-13637 | ChromiumCVE-2025-13637 ダウンロードにおける不適切な実装 | 不明 |
| Microsoft Edge (Chromium ベース) | CVE-2025-13720 | ChromiumCVE-2025-13720 ローダーにおける不正なキャスト | 不明 |
| Microsoft Edge (Chromium ベース) | CVE-2025-13635 | ChromiumCVE-2025-13635 ダウンロードにおける不適切な実装 | 不明 |
| Microsoft Edge (Chromium ベース) | CVE-2025-13636 | ChromiumCVE-2025-13636 Split View における不適切な実装 | 不明 |
| iOS 版 Microsoft Edge | CVE-2025-62223 | Mac 版 Microsoft Edge (Chromium ベース) のスプーフィング脆弱性 | 低い |
| Microsoft Exchange サーバー | CVE-2025-64666 | Microsoft Exchange Server における特権昇格の脆弱性 | 重要 |
| マイクロソフト Exchange サーバー | CVE-2025-64667 | Microsoft Exchange Server のなりすましの脆弱性 | 重要 |
| Microsoft グラフィックスコンポーネント | CVE-2025-64670 | Windows DirectX 情報漏えいの脆弱性 | 重要 |
| マイクロソフトオフィス | CVE-2025-62554 | Microsoft Office のリモートコード実行の脆弱性 | 重要 |
| マイクロソフトオフィス | CVE-2025-62557 | Microsoft Office リモートコード実行の脆弱性 | クリティカル |
| マイクロソフトオフィスアクセス | CVE-2025-62552 | Microsoft Access リモートコード実行の脆弱性 | 重要 |
| Microsoft Office Excel | CVE-2025-62560 | Microsoft Excel リモートコード実行の脆弱性 | 重要 |
| マイクロソフトオフィスエクセル | CVE-2025-62563 | Microsoft Excel リモートコード実行の脆弱性 | 重要 |
| マイクロソフトオフィスエクセル | CVE-2025-62561 | Microsoft Excel リモートコード実行の脆弱性 | 重要 |
| マイクロソフトオフィスエクセル | CVE-2025-62564 | Microsoft Excel リモートコード実行の脆弱性 | 重要 |
| マイクロソフトオフィスエクセル | CVE-2025-62553 | Microsoft Excel リモートコード実行の脆弱性 | 重要 |
| マイクロソフトオフィスエクセル | CVE-2025-62556 | Microsoft Excel リモートコード実行の脆弱性 | 重要 |
| マイクロソフトオフィスアウトルック | CVE-2025-62562 | Microsoft Outlook のリモートコード実行の脆弱性 | 重要 |
| Microsoft Office SharePoint | CVE-2025-64672 | Microsoft SharePoint Server になりすましの脆弱性 | 重要 |
| Microsoft Office Word | CVE-2025-62558 | Microsoft Word のリモートコード実行の脆弱性 | 重要 |
| Microsoft Office Word | CVE-2025-62559 | Microsoft Word リモートコード実行の脆弱性 | 重要 |
| Microsoft Office Word | CVE-2025-62555 | Microsoft Word リモートコード実行の脆弱性 | 重要 |
| Storvsp.sys ドライバ | CVE-2025-64673 | Windows Storage VSP ドライバに特権昇格の脆弱性 | 重要 |
| Windows カメラフレームサーバモニタ | CVE-2025-62570 | Windows カメラフレームサーバモニタの情報漏えいの脆弱性 | 重要 |
| Windows クライアントサイドキャッシュ (CSC) サービス | CVE-2025-62466 | Windows クライアントサイドキャッシングの特権昇格の脆弱性 | 重要 |
| Windows クラウドファイルミニフィルタドライバ | CVE-2025-62457 | Windows Cloud Files Mini Filter ドライバーの特権昇格の脆弱性 | 重要 |
| Windows クラウド ファイル ミニ フィルタ ドライバ | CVE-2025-62454 | Windows Cloud Files Mini Filter ドライバに特権昇格の脆弱性 | 重要 |
| Windows クラウド ファイル ミニ フィルタ ドライバ | CVE-2025-62221 | Windows クラウド ファイル ミニ フィルター ドライバーの特権昇格の脆弱性 | 重要 |
| Windows 共通ログファイルシステムドライバ | CVE-2025-62470 | Windows 共通ログファイルシステムドライバに特権昇格の脆弱性 | 重要 |
| Windows Defender ファイアウォールサービス | CVE-2025-62468 | Windows Defender ファイアウォールサービスの情報漏えいの脆弱性 | 重要 |
| Windows DirectX | CVE-2025-62463 | DirectX グラフィックカーネルサービス拒否の脆弱性 | 重要 |
| Windows DirectX | CVE-2025-62465 | DirectX グラフィックスカーネルサービス拒否の脆弱性 | 重要 |
| Windows DirectX | CVE-2025-62573 | DirectX グラフィックカーネルにおける特権昇格の脆弱性 | 重要 |
| Windows DWM コアライブラリ | CVE-2025-64679 | Windows DWM コアライブラリにおける特権昇格の脆弱性 | 重要 |
| Windows DWM コアライブラリ | CVE-2025-64680 | Windows DWM コアライブラリにおける特権昇格の脆弱性 | 重要 |
| Windows Hyper-V | CVE-2025-62567 | Windows Hyper-V サービス拒否の脆弱性 | 重要 |
| Windows インストーラ | CVE-2025-62571 | Windows インストーラの特権昇格の脆弱性 | 重要 |
| Windows メッセージキューイング | CVE-2025-62455 | マイクロソフト メッセージ キューイング (MSMQ) の特権昇格の脆弱性 | 重要 |
| Windows パワーシェル | CVE-2025-54100 | PowerShell リモートコード実行の脆弱性 | 重要 |
| Windows プロジェクトファイルシステム | CVE-2025-62464 | Windows Projected File System における特権昇格の脆弱性 | 重要 |
| Windows プロジェクトファイルシステム | CVE-2025-55233 | Windows プロジェクトファイルシステムの特権昇格の脆弱性 | 重要 |
| Windows プロジェクトファイルシステム | CVE-2025-62462 | Windows プロジェクトファイルシステムの特権昇格の脆弱性 | 重要 |
| Windows プロジェクトファイルシステム | CVE-2025-62467 | Windows Projected File System における特権昇格の脆弱性 | 重要 |
| Windows Projected File System フィルタドライバ | CVE-2025-62461 | Windows Projected File System における特権昇格の脆弱性 | 重要 |
| Windows リモートアクセス接続マネージャ | CVE-2025-62474 | Windows リモートアクセス接続マネージャの特権昇格の脆弱性 | 重要 |
| Windows リモートアクセス接続マネージャ | CVE-2025-62472 | Windows リモートアクセス接続マネージャの特権昇格の脆弱性 | 重要 |
| Windows レジリエントファイルシステム (ReFS) | CVE-2025-62456 | Windows レジリエントファイルシステム (ReFS) のリモートコード実行の脆弱性 | 重要 |
| Windows ルーティングおよびリモートアクセスサービス (RRAS) | CVE-2025-62549 | Windows ルーティングおよびリモートアクセスサービス (RRAS) のリモートコード実行の脆弱性 | 重要 |
| Windows ルーティングおよびリモートアクセスサービス (RRAS) | CVE-2025-62473 | Windows ルーティングおよびリモートアクセスサービス (RRAS) 情報漏えいの脆弱性 | 重要 |
| Windows ルーティングおよびリモートアクセスサービス (RRAS) | CVE-2025-64678 | Windows ルーティングおよびリモートアクセスサービス (RRAS) のリモートコード実行の脆弱性 | 重要 |
| Windows シェル | CVE-2025-62565 | Windows ファイルエクスプローラの特権昇格の脆弱性 | 重要 |
| Windows シェル | CVE-2025-64661 | Windows シェルの特権昇格の脆弱性 | 重要 |
| Windows シェル | CVE-2025-64658 | Windows ファイルエクスプローラの特権昇格の脆弱性 | 重要 |
| Windows ストレージ VSP ドライバ | CVE-2025-59517 | Windows ストレージ VSP ドライバに特権昇格の脆弱性 | 重要 |
| Windows ストレージ VSP ドライバ | CVE-2025-59516 | Windows Storage VSP ドライバに特権昇格の脆弱性 | 重要 |
| Windows Win32K – GRFX | CVE-2025-62458 | Win32k における特権昇格の脆弱性 | 重要 |
更新 12/10/25: ゼロデイに関するサブセクションのタイトルで、悪用されたのは1件ではなく2件と誤って記載していました。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
Bitpanda、KnowBe4、PathAIのようなIAMサイロを破壊する
壊れたIAMはITだけの問題ではありません – その影響はビジネス全体に波及します。
この実用的なガイドでは、従来の IAM の慣行が現代の要求に追いつけない理由、「優れた」 IAM とはどのようなものかの例、拡張可能な戦略を構築するための簡単なチェックリストについて説明します。
Comments