マイクロソフトは2025年11月12日、63件のセキュリティ脆弱性修正パッチを公開した。
このうち4件が重大、59件が重要に区分されている。内容は権限昇格29件、リモートコード実行16件、情報漏洩11件、サービス拒否3件、セキュリティ機能バイパス2件、なりすまし2件。ゼロデイ脆弱性「CVE-2025-62215」はWindowsカーネルの権限昇格に関するもので、Microsoft Threat Intelligence CenterとSecurity Response Centerが発見、報告した。
他に、Microsoft Graphics ComponentやWindows Subsystem for Linux GUIのバッファオーバーフロー、Windows Kerberosの「CheckSum」脆弱性が修正対象となった。パッチにはEdgeブラウザ対応分27件も含む。
From: 
Microsoft Fixes 63 Security Flaws, Including a Windows Kernel Zero-Day Under Active Attack
【編集部解説】
今回のマイクロソフトの2025年11月のパッチチューズデーは、組織の防御力向上やクラウド基盤の安全性確保という観点からも非常に重要な節目となっています。本パッチでは63件もの脆弱性が修正されており、特にWindowsカーネルのゼロデイ「CVE-2025-62215」は既に実際の攻撃に利用されている事例が確認され、現場担当者や企業のIT管理者にとって優先度の高い問題です。
カーネル脆弱性は、ローカルで低権限しか持たない攻撃者でもシステム権限への昇格を許す危険性があり、他の脆弱性・攻撃手法と連携することで被害が拡大します。例えば、リモートコード実行やサンドボックス回避と組み合わせると、侵入後にラテラルムーブメント(組織内拡散)やクレデンシャルダンプ(資格情報窃取)が可能になります。このため、単一の脆弱性修正として見過ごさず、全体の防御態勢見直しの契機とすることが推奨されます。
さらに注目すべきはWindows Kerberosの「CheckSum」脆弱性(CVE-2025-60704)です。Active DirectoryのKerberos委任機能は企業ネットワークの認証基盤として広く使われており、ここに欠陥があれば攻撃者はドメイン全体の掌握、なりすまし、権限昇格、機密情報への無制限アクセスといった重大な影響を及ぼします。本脆弱性は、初期アクセスさえ得られれば、ネットワーク内部で横展開が可能です。
加えて、今回のパッチにはLinuxサブシステムやグラフィックスコンポーネントなど複数の分野が対象となり、Windowsだけでなくクロスプラットフォームな環境でのリスクリダクション(リスク低減)が求められています。
マイクロソフトは、脆弱性の個別修正のみならず、持続的なセキュリティ強化に注力していることが今回の内容からも読み取れます。パッチ適用の徹底はもちろん、今後も多様化・複雑化していく攻撃に対し、組織や個人がどのように備えておくべきか、定期的なリスクアセスメントや多層的な防御策の導入が不可欠です。
【用語解説】
Windowsカーネル
Windowsオペレーティングシステムの中核となるソフトウェアであり、ハードウェア制御やシステム全体の管理を担う。
ゼロデイ脆弱性
その存在が公にされ修正パッチが提供される前に悪用されているセキュリティ上の欠陥。
権限昇格
通常は得られない管理者などの高い権限を、不正な手段で取得する攻撃手法。
レースコンディション
複数のプロセスやスレッドが同時に同じリソースにアクセスすることで、意図しない動作やバグを引き起こす現象。
バッファオーバーフロー
データの格納領域(バッファ)を越えてデータが書き込まれることで、システムの挙動が不正になる脆弱性。
Active Directory
Microsoftが提供するディレクトリサービス。企業などの大規模なユーザーやコンピュータ管理に用いられる。
Kerberos
ネットワーク認証プロトコル。安全な認証を行うための通信標準。
ラテラルムーブメント
侵入した攻撃者がネットワーク内部の他システムへ不正に拡散する行為。
サンドボックス
プログラムの動作を隔離することにより、不正なコード実行やシステムへの影響を制限する仕組み。
クレデンシャルダンプ
認証情報(ユーザー名・パスワード等)が不正に取得されること。
【参考リンク】
Microsoft公式サイト(外部)
マイクロソフトの公式サイト。WindowsやEdgeなどの情報、企業ニュース、製品サポートを掲載している。
Microsoft Security Response Center(外部)
マイクロソフトの脆弱性報告窓口およびセキュリティアップデート情報サイト。
Silverfort公式サイト(外部)
認証とアクセス制御のセキュリティソリューションを提供するベンダー。
Immersive Labs公式サイト(外部)
サイバーセキュリティの人材育成とシナリオ型トレーニングを行う企業。
Tenable公式サイト(外部)
脆弱性管理やサイバーリスク管理で知られるサイバーセキュリティ企業。
Action1公式サイト(外部)
リモートPC管理やパッチ配信ツールを提供するベンダー。
【参考記事】
Microsoft November 2025 Patch Tuesday – 63 Vulnerabilities, 1 Zero-Day Exploited(外部)
2025年11月のパッチチューズデーでMicrosoftが63件の脆弱性を修正、うちWindowsカーネルのゼロデイ(CVE-2025-62215)が実際に悪用されていることを詳細に解説している。
Microsoft Fixes Windows Kernel Zero Day in November Patch Tuesday(外部)
Windowsカーネルのゼロデイへの迅速な修正と、その他の多数の脆弱性を併せて修正した点について報じている。
You win some, you CheckSum: New Kerberos delegation vulnerability (CVE-2025-60704)(外部)
Windows Kerberos「CheckSum」脆弱性(CVE-2025-60704)の詳細と、企業ネットワークに与える深刻な影響について専門ベンダーによる分析を行っている。
【編集部後記】
技術の進化が加速する今、サイバーセキュリティ対策はすべてのユーザーや企業にとって欠かせないテーマです。今回のパッチチューズデーで修正された脆弱性の多くは、日々の仕事や暮らしに直接関係するWindowsやクラウドサービス、認証基盤に関わっています。
皆さんの利用するパソコンや組織のシステムは、定期的にアップデートできていますか?もし対応に不安があれば、身近な環境からでも一緒に少しずつ見直していきましょう。安全な未来のために、今できることから始めませんか。
