マイクロソフト、2025年12月の月例パッチで悪用されるゼロデイ含む脆弱性57件を修正（CVE-2025-62221ほか）

佐々山 Tacos

2025.12.10

マイクロソフト、2025年12月の月例パッチで悪用されるゼロデイ含む脆弱性57件を修正（CVE-2025-62221ほか）

BleepingComputer – December 9, 2025

マイクロソフトは2025年12月の月例セキュリティ更新プログラムにおいて、57件の脆弱性に対処。これには、攻撃で悪用されているゼロデイ脆弱性CVE-2025-62221が含まれている。

CVE-2025-62221は、Windows Cloud Files Mini Filter Driverにおける特権昇格の脆弱性。CVSS:3.1スコアは7.8で、深刻度は「Important（重要）」と評価されている。使用済みメモリ使用に起因する脆弱性で、認可された攻撃者に悪用された場合、ローカルでの特権昇格が可能になる。マイクロソフトのアドバイザリによれば、悪用を成功させた攻撃者はSYSTEM権限を取得できるようになるとされる。発見者としては同社の脅威インテリジェンスセンター（MSTIC）およびセキュリティレスポンスセンター（MSRC）がクレジットされているものの、どのような攻撃で悪用されたのかは共有されていない。

米CISAもCVE-2025-62221をKEVカタログ（悪用が確認済みの脆弱性カタログ）に追加しており、連邦政府機関には12月30日までの対処が命じられている。

このほか、今回修正された脆弱性には、月例パッチのリリース前にすでに一般開示されていた以下の脆弱性2件も含まれる。

CVE-2025-64671：GitHub Copilot for Jetbrainsにおけるリモートコード実行の脆弱性。CVSS:3.1スコアは8.4で、深刻度は「Important（重要）」と評価されている。Copilotのコマンドインジェクションの脆弱性に起因するもので、認可されていない攻撃者に悪用された場合、ローカルでのコード実行が可能になる。マイクロソフトの評価によれば、悪用される可能性は比較的低いとのこと。
CVE-2025-54100：PowerShellにおけるリモートコード実行の脆弱性。CVSS:3.1スコアは7.8で、深刻度は「Important（重要）」と評価されている。コマンドインジェクションの脆弱性に起因するもので、認可されていない攻撃者に悪用された場合、ローカルでのコード実行が可能になる。マイクロソフトの評価によれば、悪用される可能性は比較的低いとのこと。

上記のほか、12月の月例パッチで修正された特に深刻度の高い脆弱性には以下が含まれる。

CVE-2025-62554（CVSS:3.1スコア 8.4、深刻度「Critical／緊急」）：Microsoft Officeにおけるリモートコード実行の脆弱性。型の取り違えに起因するもので、認可されていない攻撃者によるローカルでのコード実行が可能になる恐れがある。
CVE-2025-62557（CVSS:3.1スコア 8.4、深刻度「Critical／緊急」）：Microsoft Officeにおけるリモートコード実行の脆弱性。使用済みメモリ使用の問題に起因するもので、認可されていない攻撃者によるローカルでのコード実行が可能になる恐れがある。