マイクロソフトの5月の月例セキュリティアップデートでは、5件のゼロデイ脆弱性を含む78件の脆弱性が修正されました。さらに2件のゼロデイ脆弱性が、パッチが公開される前に公開されました。
5つの欠陥が実際に悪用されている
Microsoft は次の 5 つの脆弱性の悪用を検出しました。
- CVE-2025-30397、Microsoft Edge の Internet Explorer モードにおける脆弱性。
- CVE-2025-30400、Windows のデスクトップ ウィンドウ マネージャー (DWM) コア ライブラリにおける権限昇格のバグ。
- CVE-2025-32701
- CVE-2-25-32706
- CVE-2025-32709、afd.sys における権限昇格の脆弱性。
これらのうち2件(CVE-2025-32701とCVE-2025-32706)は、Windows共通ログファイルシステム(CLFS)ドライバーの2つのバグに起因しています。このドライバーはログサービスのコンポーネントであり、サーバー版を含むWindows 10および11のすべてのサポート対象バージョンで使用されています。
「これらの特定の脆弱性は権限昇格の脆弱性であり、攻撃者はフィッシング攻撃や盗んだ認証情報を使って、侵害を受けたホストへの初期アクセス権をすでに持っている必要があることを意味します」とイマーシブの脅威調査担当シニアディレクター、ケブ・ブリーン氏は述べた。
Microsoft、Google、CrowdStrike はいずれも、侵害の兆候を示していないものの、これら 2 つの欠陥について警告しています。
「これらの脆弱性は複雑性が低く、必要な権限も最小限であるため、特に実際に悪用されていることが確認されていることを考えると、深刻なリスクをもたらします」と、Action1の社長兼共同創設者であるマイク・ウォルターズ氏はTechRepublicへのメールで述べています。「現在、公開されているエクスプロイトコードはありませんが、アクティブな攻撃の存在は、標的型攻撃、特に高度な持続的脅威(APT)を含む可能性のある攻撃が既に進行中であることを示唆しています。」
Internet Explorerの欠陥は依然として旧来の互換性に悪影響を及ぼしている
Action1のCEO兼共同創設者であるアレックス・ヴォフク氏は、TechRepublicへのメールで、CVE-2025-30397が悪用されるとシステムを完全に制御できる可能性があると指摘した。CVE-2025-30397は、Internet ExplorerのMicrosoft Scripting Engineにおいて、メモリ破損や任意のコード実行の機会を与える。
Microsoft Edge とその Internet Explorer モードはブラウザーの市場シェアがわずか 5% ですが、このモードは従来の互換性に依存する組織にとって依然として重要です。
「レガシー互換性のために Internet Explorer モードに広く依存することで、古いコンポーネントがまだ使用されていることによるリスクがさらに高まります」と Vovk 氏は言います。
参照:Patch Tuesdayとは?Microsoftの月例アップデート解説
Tenable のシニアスタッフリサーチエンジニアである Satnam Narang 氏は、このエクスプロイトはクライアント側での認証と、ユーザーが 5% のブラウザのいずれかを使用しながらリンクをクリックすることを必要とするため、大きな脅威にはならないだろうと述べています。
「このバグは明らかに悪用されているものの、前提条件の多さから、広範囲に悪用される可能性は低いでしょう」とナラン氏はメールで述べた。「過去3年間、スクリプトエンジンの脆弱性はそれほど多く確認されていません。」
ナラン氏によると、別のスクリプトエンジンのメモリ破損ゼロデイ脆弱性が、研究者と韓国の国立サイバーセキュリティセンター(NCSC)によって実際に悪用されたという。
しかし、「これが後続の攻撃と関連しているかどうかは不明だ」とナラン氏は述べた。
他のパッチには、プレビューパネルからでもデバイスに感染する可能性のある悪意のある添付ファイルが含まれています。
5 月に修正された 2 つの脆弱性 (CVE-2025-30386 と CVE-2025-30377) により、Microsoft Office でリモート コード実行が可能になる可能性があります。
前者は悪意のある添付ファイルを開くことでアクティブ化される可能性がありますが、添付ファイルをプレビューするだけでもデバイスに感染する可能性があります。
「CVSSはユーザー操作を必要としないローカル攻撃ベクトルを列挙していますが、現実世界への影響はリモート攻撃に近いものです」とウォルターズ氏は述べています。「これは、スコアリング指標を超えた脆弱性のコンテキストを解釈する必要性を強調しています。プレビューパネルからエクスプロイトをトリガーできる機能は、ユーザーが添付ファイルを明示的に開く必要がない場合もあり、リスクをさらに高めます。」
SharePointサーバーが標的となった
Breen 氏は、SharePoint サービスを実行しているネットワーク管理者にとって特に重要な、Microsoft SharePoint サーバーのパッチである CVE-2025-29976 と CVE-2025-30382 を強調しました。
「SharePoint サービス、特に社内文書の保管場所として使用されているサービスは、データを盗もうとする脅威アクターにとって宝の山となる可能性があります。特に、支払いが行われない場合は盗んだデータを公開すると脅迫する二重の恐喝手法を用いて身代金の支払いを強要するために利用される可能性のあるデータです」と Breen 氏は指摘しています。
パッチ火曜日は、頻繁にアップデートを適用することを思い出させるものです
Windowsシステムを使用している組織は、最新のセキュリティパッチを直ちに適用することが強く推奨されます。管理者によっては、アップデートがテストされ、安全であることが確認されるまで、適用を待つという選択をするかもしれません。「タイムリーなアップデートと多層的なセキュリティ管理を組み合わせた多層防御アプローチは、侵害リスクを軽減するために不可欠です」とVovk氏は述べています。
Windows 11 および Server 2025 の 5 月のアップデートには、ユーザー アクティビティのスクリーンショットをキャプチャする物議を醸す AI 機能である Recall がバンドルされており、プライバシーに関する懸念が生じています。
