Microsoftは2025年10月のパッチチューズデーで175件の脆弱性に対するセキュリティアップデートをリリースした。3件はすでに攻撃を受けている。
このうち17件は、深刻度が最も高い『緊急(Critical)』に分類されている。攻撃を受けている脆弱性には、CVE-2025-24990(Agereモデムドライバーの権限昇格バグ、CVSS評価7.8)、CVE-2025-59230(Windowsリモートアクセス接続マネージャーの権限昇格欠陥、CVSS評価7.8)、CVE-2025-47827(IGEL OS 11より前のセキュアブートバイパス欠陥、CVSS評価4.6)が含まれる。
事前に情報が公開されていた脆弱性には、AMD EPYCプロセッサに関するCVE-2025-0033などが含まれる。最も深刻な脆弱性はCVE-2025-59287で、Windows Server Update Servicesに存在し、CVSS評価9.8を記録している。
同日、Adobeは36件の脆弱性を修正する12件のアップデートを、SAPは13件の新規セキュリティノートと4件のアップデートをリリースした。
From: 
Frightful Patch Tuesday gives admins a scare with 175+ Microsoft CVEs, 3 under attack
【編集部解説】
今回のMicrosoftパッチチューズデーは、規模と深刻度の両面で注目に値します。175件という脆弱性の数は今年最大規模であり、月平均を大幅に上回っています。企業のIT管理者にとっては対応の優先順位付けが極めて重要になるでしょう。
特に警戒すべきは、すでに実際の攻撃が確認されている3件の脆弱性です。CVE-2025-24990は、サポート対象の全WindowsバージョンにネイティブでAgereモデムドライバーが含まれているため、影響範囲が非常に広範囲に及ぶ可能性があります。攻撃者が管理者権限を取得できる脆弱性は、ランサムウェア攻撃の初期侵入経路として悪用されるケースが多く見られます。
Windows Server Update Services(WSUS)の脆弱性CVE-2025-59287は、CVSS評価9.8という極めて高いスコアを記録しています。この脆弱性の危険性は、認証されていない攻撃者がリモートから悪用可能であり、企業のパッチ配信インフラそのものを直接の標的にできる点にあります。そのため、組織全体のセキュリティが連鎖的に危険にさらされます。
AMD EPYCプロセッサのCVE-2025-0033については、現時点でパッチが提供されていない点が懸念材料となります。Azure Confidential Computingを利用する企業は、修正プログラムの提供を待つしかない状況です。ただし、この脆弱性の悪用にはハイパーバイザーへの特権アクセスが必要であり、攻撃の難易度は比較的高いと言えます。
今回のパッチリリースは、セキュリティ対応が単なるIT部門の課題ではなく、事業継続性に直結する経営課題であることを改めて示しています。
【用語解説】
パッチチューズデー(Patch Tuesday)
Microsoftが毎月第2火曜日に定期的にセキュリティ更新プログラムをリリースする慣例のこと。企業のIT管理者はこの日に合わせて更新作業の計画を立てる。
CVE(Common Vulnerabilities and Exposures)
情報セキュリティの脆弱性を識別するための共通の識別番号システム。CVE番号が付与されることで、世界中のセキュリティ専門家が同じ脆弱性について議論できる。
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を0.0から10.0の数値で評価する標準化されたシステム。7.0以上は「高」、9.0以上は「緊急」とされる。
セキュアブート(Secure Boot)
コンピュータの起動時に、信頼された署名済みソフトウェアのみを実行することで、マルウェアの侵入を防ぐセキュリティ機能。
ワーム(Worm)
自己複製機能を持つマルウェアの一種。人間の操作なしに自動的にネットワーク上の他のシステムへ拡散する。
SEV-SNP(Secure Encrypted Virtualization-Secure Nested Paging)
AMDプロセッサにおける仮想マシンのメモリを暗号化し、ハイパーバイザーからも保護する先進的なセキュリティ機能。
WSUS(Windows Server Update Services)
企業内のWindows端末に対して、一元的にMicrosoft製品の更新プログラムを配信・管理するためのサーバー役割。
ハイパーバイザー(Hypervisor)
物理サーバー上で複数の仮想マシンを動作させるための基盤ソフトウェア。仮想化環境の中核を担う。
デシリアライゼーション(Deserialization)
保存または転送されたデータを元のオブジェクト形式に復元するプロセス。不適切に実装されると任意のコード実行を許す脆弱性となる。
【参考リンク】
Microsoft Security Response Center(外部)
Microsoftの公式セキュリティ情報サイト。最新の脆弱性情報とセキュリティアップデートを提供
Zero Day Initiative (ZDI)(外部)
Trend Microが運営する脆弱性報奨金プログラム。脆弱性の発見と開示で業界をリード
Adobe Security Bulletins(外部)
Adobe製品のセキュリティアップデートと脆弱性情報を公開する公式ページ
SAP Security Patch Day(外部)
SAPの月次セキュリティパッチ情報を提供する公式サイト。企業向けソフトウェアの重要情報
NIST National Vulnerability Database(外部)
米国標準技術研究所が運営する脆弱性データベース。CVE情報の詳細な分析を提供
【参考記事】
[translate:2025 年 10 月のセキュリティ更新プログラム (月例)](外部)
マイクロソフト公式セキュリティ更新プログラムのお知らせと重要な脆弱性の概要
Microsoft October 2025 Patch Tuesday fixes 6 zero-days, 172 flaws(外部)
主要なゼロデイ脆弱性と修正内容の詳細解説
October Patch Tuesday reveals 172 Vulnerabilities(外部)
172件の脆弱性の全体像と重要ゼロデイの解説
【編集部後記】
今回のパッチチューズデーは、私たちが日常的に使用しているシステムの脆弱性がいかに深刻な影響をもたらすかを改めて考えさせられる事例です。企業のIT部門だけでなく、個人のパソコンユーザーにとっても無関係ではありません。皆さんの組織では、セキュリティアップデートをどのように管理していますか。
自動更新を有効にしているでしょうか、それとも手動で確認していますか。特にリモートワークが当たり前になった今、個人デバイスのセキュリティ管理が企業全体のリスクに直結する時代です。皆さんがもし IT管理者の立場だったら、175件もの脆弱性にどう優先順位をつけるか、一緒に考えてみませんか。
