Windowsを今すぐ更新せよ──古いドライバーに潜む脆弱性（Forbes JAPAN）

マイクロソフトのオペレーティングシステム（WIndowsおよびWIndows Server）のユーザーは、毎月第2火曜日に身構えるものだ。いわゆる「パッチチューズデー」は、同社が消費者と企業の双方に影響する最新の脆弱性に対処するため、一斉にセキュリティ更新プログラムを展開する日である。今月は、過去最多だった月間161件を上回る、合計196件のCVE（共通脆弱性）が対処された。2024年の通年の脆弱性数が記録的であったことを踏まえても、これは極めて大きい数字である。 この総数には、マイクロソフト製品そのものとサードパーティ製のCVEの両方が含まれるが、今すぐ更新すべきものとして上位に浮上しているのが「CVE-2025-59230」と「（2）CVE-2025-24990」の2件である。実際、米国のサイバー防衛機関である米国サイバーセキュリティ・インフラセキュリティ庁（CISA：Cybersecurity and Infrastructure Security Agency）は、連邦民間行政部門（FCEB）に対して2週間の期限を設けて更新を指示し、「迅速な是正措置を優先することでサイバー攻撃への曝露を減らすよう、すべての組織に強く促す」としている。以下に、知っておくべきことと取るべき行動を示す。 （※編注：消費者向けのWindows 10／11では、標準で「セキュリティ更新」が自動インストールされ、パッチが適用される。標準設定のままなら特に対応する必要はない。自動インストールの時期など何らかの設定を変更した場合、また組織で一括管理している場合は対応が必要となる可能性がある。今すぐ適用するなら、設定→Windows Update→「更新プログラムのチェック」を実行する） ■CISAが警告：これらのWindowsの脆弱性に今すぐパッチを適用せよ 最新のCISAの警告は、拘束的運用指令「Binding Operational Directive 22-01」の対象となるFCEB機関に対し、10月14日から起算してわずか2週間で、前述の2つのWindowsのセキュリティ脆弱性からシステムを保護するために更新するよう求めるものだ。あなたが該当機関に含まれないとしても、当該CVEの影響を受けるなら、同様にシステムと業務プロセスを保護する措置を取らないのは極めて軽率な行動だ。 ■（1）CVE-2025-59230 マイクロソフトはこれを「Windows Remote Access Connection Managerにおける不適切なアクセス制御」であり、「認証済みの攻撃者がローカルで権限昇格できる」と説明している。これはゼロデイ脆弱性（発見されてから修正プログラムが提供されるまでの間に、すでに攻撃者によって悪用されている脆弱性）であり、マイクロソフトがパッチの詳細を公開した10月14日の時点で、すでに実際の攻撃で悪用が確認されている。 「ローカルの権限昇格は攻撃者にとって常に魅力的だ」と、Rapid7の主任ソフトウェアエンジニアであるアダム・バーネットは述べる。「それ自体で最終目的に到達しないとしても、攻撃の連鎖における重要な一手となり得るからだ」。