Microsoftは、5月の「パッチチューズデー」において合計77件の脆弱性に対処するセキュリティ更新を実施した。その中には、すでに攻撃が確認されているWindowsのゼロデイ脆弱性5件が含まれ、特にCVE-2025-30397のリモートコード実行問題はInternet Explorerモードを悪用する深刻なものとされている。

Officeでも17件のRCEを含む18件の脆弱性が修正されており、プレビューウィンドウ経由での攻撃可能性が指摘されるケースもある。さらに、RDPクライアントや仮想マシンバスなどのWindowsコンポーネント、AzureやPower Appsを含むクラウド領域にも広範な修正が加えられた。

特に企業ユーザーにとっては、高権限を奪取されかねない複数の特権昇格(EoP)脆弱性が深刻であり、早急な更新適用が不可欠となる。

Windowsに存在する5件のゼロデイ脆弱性が実際に悪用されていた事実

Microsoftは、2025年5月のセキュリティ更新において、Windowsに関する5件のゼロデイ脆弱性を修正した。これらはすでに実際の攻撃に利用されていたものであり、特にCVE-2025-30397は細工されたリンクをクリックさせることで、EdgeがIEモードに切り替わる仕組みを悪用してリモートコード実行を可能にする。この問題の根本には、MSHTMLプラットフォームに依存する古い互換性の仕組みが残っている点がある。

その他にも、Windows共通ログファイルシステムドライバ(CVE-2025-32701、32706)や、WinSock補助機能ドライバ(CVE-2025-32709)、デスクトップウィンドウマネージャ(CVE-2025-30400)における特権昇格の脆弱性も確認されており、いずれも攻撃者が高い権限を得るために悪用可能な構造となっていた。これらの脆弱性は単体でも危険だが、他のコード実行型の攻撃と組み合わせることで、被害の深刻化が懸念される。

今回の対応から見えるのは、Microsoftが依然としてレガシーコンポーネントを完全には排除しきれていないという点であり、ゼロデイ攻撃の温床としてIE互換性が長期的な課題となり続けている現状である。

OfficeやRDPクライアントにも広がる深刻なセキュリティリスク

Windowsに限らず、今回のセキュリティ更新ではMicrosoft Office製品群においても18件の脆弱性が修正され、そのうち17件がリモートコード実行(RCE)に分類された。とりわけ注目されるのは、CVE-2025-30377およびCVE-2025-30386で発見された「Use-After-Free」による問題であり、Outlookなどのプレビューウィンドウを通じてコードが実行される可能性が指摘されている。ユーザーがファイルを開かずとも被害を受ける可能性がある点が深刻である。

一方、Windowsにおいてもリモートデスクトップクライアント(RDP)に関する2件の脆弱性(CVE-2025-29966、29967)が重大とされており、悪意あるRDPサーバとの接続によって攻撃が成立する恐れがある。また、仮想マシンバスでのRCE脆弱性(CVE-2025-29833)も指摘され、企業内の仮想環境での被害拡大のリスクも無視できない。

今回の一連の更新で見えてくるのは、単一のOS問題にとどまらず、エンタープライズ利用が前提となるコンポーネントにもリスクが及んでいることであり、個人・法人問わず全体のシステム構成を見直す契機となる修正内容である。

セキュリティ対応の優先度が高いのはアップグレード可能なWindowsユーザー

今回修正された77件の脆弱性のうち、特に影響が大きいと考えられるのは、すでに攻撃が確認されているゼロデイと、OfficeやAzureを通じて拡散可能なコード実行系の脆弱性である。Windows 10や11、Serverといったサポート中のOSには44件の更新が提供されており、Microsoftは10月までにWindows 11 24H2への移行を推奨している。特に古いハードウェア環境では要件を満たさないケースもあり、アップグレードの可否がセキュリティ対応の明暗を分ける要因となる。

一方で、Windows 7や8.1はもはや公式のセキュリティレポートからも除外されており、今回の脆弱性の影響範囲に含まれている可能性があっても、公式な対応は期待できない。Trend Micro ZDIのDustin Childs氏が述べている通り、企業の管理者層は自己責任で全体の脆弱性把握と対策を進める必要がある。

この状況から導けるのは、パッチ適用だけでは対応しきれない根本的なソフトウェア構成や利用環境の見直しが不可欠になってきているという点であり、長期的な視点でのOSおよびソフトウェア資産の更新計画が求められているという現実である。

Source:PCWorld