今回の最新の月例パッチでは、4つの脆弱性が修正されました。そのうち2つは実際に悪用されたことはありません。少なくとも、Microsoftはそう主張しています。1つはCVE-2025-21194です。これはMicrosoft Surfaceのセキュリティ機能バイパスの脆弱性で、Unified Extensible Firmware Interface（UEFI）をバイパスし、特定のマシンのハイパーバイザーとセキュアカーネルの両方を侵害する可能性があります。簡単に言えば、この脆弱性により、Windows上の仮想マシンを動かすプログラムだけでなく、OSの中核部分にも悪用される可能性があります。

公開されたもう一つの脆弱性はCVE-2025-21377です。これはNTLMハッシュ開示のスプーフィング脆弱性で、悪意のある人物がユーザーのコンピュータのNTLMハッシュにアクセスし、平文のパスワードを取得することを可能にします。この脆弱性により、ユーザーは悪意のあるファイルを選択、右クリック、または操作するだけでエクスプロイトをトリガーでき、ハッカーがユーザーになりすましてマシンにログインできるようになります。Microsoftはこの脆弱性についてほとんど沈黙を守っています。

しかし、今回のアップデートに含まれる他の2つのゼロデイ脆弱性に対する修正プログラムは、実際には積極的に悪用されていました。その中には、Windowsストレージにおける権限昇格の脆弱性であるCVE-2025-21391が含まれており、悪意のあるユーザーがコンピュータ上の標的のファイルを削除できる可能性があります。マイクロソフトは、この脆弱性によって悪意のあるユーザーが機密情報を閲覧できるわけではないものの、ファイルを削除できることは、攻撃者がシステムの一部を侵害できることを意味すると明確にしています。2つ目の積極的に悪用されたゼロデイ脆弱性は、権限昇格の脆弱性であるCVE-2025-21418です。これは、悪意のあるユーザーがWindowsのシステム権限を取得できる脆弱性です。マイクロソフトは、これらの脆弱性が悪意のあるユーザーによってどのように悪用されたかについては明らかにしておらず、発見者の身元は匿名としています。

これら2つのゼロデイ脆弱性の全容は未だ解明されていませんが、早急にアップデートとパッチ適用を行うことが重要です。これらの脆弱性は現在も悪用されているため、パッチを適用しない限り、誰かがあなたのコンピュータに悪用する可能性があります。

Windowsに最新のセキュリティアップデートをインストールする方法

PCを保護するために、この最新のPatch Tuesdayアップデートをできるだけ早くインストールしてください。インストールするには、「スタート」>「設定」>「Windows Update」に移動し、「Windows更新プログラムのチェック」を選択してください。

次の記事へスクロールしてください