Microsoftパッチチューズデー：100超の更新、Azure OpenAIと重大な欠陥

Microsoftの2025年8月のパッチチューズデーでは、広範なソフトウェアエコシステムにおける100を超える脆弱性に対処する大規模なセキュリティ更新が提供され、サイバー脅威の絶え間ない性質が浮き彫りになりました。今月のリリースでは、107から111件の修正が含まれており、Windowsグラフィックスコンポーネントにおける極めてリスクの高い「重大な」メモリ破損の脆弱性、公開されたゼロデイ脆弱性、およびユーザーと組織の両方から即座の注意を要するその他の多数の深刻な問題が含まれています。

最も警戒すべき発見はCVE-2025-50165で、Windowsグラフィックスコンポーネント内に存在するリモートコード実行（RCE）の脆弱性です。CVSSスコア9.8の「重大」と評価されたこの脆弱性は、攻撃者がユーザーの操作を必要とせずにネットワーク経由で悪意のあるコードを実行できるメモリ破損の一種です。Officeドキュメントやその他のサードパーティファイルに埋め込まれた特別に作成されたJPEG画像を表示するだけで悪用が発生する可能性があるため、危険性は増大します。このような脆弱性は特に危険であり、被害者が侵害されたファイルを開いたことにさえ気づかずにトリガーされる可能性があり、システム全体が乗っ取られることにつながる可能性があります。

グラフィックスコンポーネント以外にも、MicrosoftはCVE-2025-53766もパッチ適用しました。これはWindows Graphics Device Interface（GDI+）におけるもう1つの重大なRCE脆弱性で、CVSSスコアは9.8です。このヒープベースのバッファオーバーフローも同様に、ユーザーの操作なしにリモートで悪用される可能性があり、例えば、ウェブサービスでのドキュメント処理を通じて発生します。

対処された13から16の重大な脆弱性のうち、特に注目すべきは公開されたゼロデイ脆弱性CVE-2025-53779です。研究者によって「BadSuccessor」とコードネームが付けられたこの特権昇格（EoP）の脆弱性は、ネットワーク認証プロトコルであるWindows Kerberosに影響を与えます。CVSSスコアは7.2で、委任されたマネージドサービスアカウント（dMSA）属性への特定の既存アクセスが必要なため、悪用される可能性は「低い」とされていますが、公開されたことで重大な懸念事項となっています。悪用が成功すると、攻撃者にドメイン管理者権限が付与される可能性があり、Active Directory環境に深刻なリスクをもたらします。

さらに、Microsoft Exchange Serverのハイブリッド展開における特権昇格の脆弱性CVE-2025-53786も重大なパッチに含まれています。CVSSスコア8.0のこの脆弱性により、攻撃者は侵害されたオンプレミスExchange Serverからピボットし、組織の接続されたクラウド環境（Exchange Onlineやその他のMicrosoft 365サービスを含む）内で特権を昇格できる可能性があります。この特定の脆弱性に対処するには、パッチのインストールだけでなく、ハイブリッド接続を保護するための専用サービスを構成するためのMicrosoftからの特定の手動指示にも従う必要があります。

今月パッチ適用されたその他の重要な脆弱性には、Microsoft Officeにおける重大なリモートコード実行の脆弱性（CVE-2025-53731、CVE-2025-53740）が含まれます。これらはuse-after-freeメモリ破損の問題に起因し、プレビューペインが潜在的な攻撃ベクトルとなることで、ユーザーの操作なしにローカルコード実行につながる可能性があります。また、SharePointの重大なリモートコード実行の脆弱性（CVE-2025-49712）と、低特権の攻撃者がSYSTEMレベルのアクセス権を取得できるWindows NTLMの重大な特権昇格（CVE-2025-53778）も対処されました。Microsoft Teamsでさえも、重大なRCE修正（CVE-2025-53783）を受けました。これはヒープベースのバッファオーバーフローであり、悪用は複雑でユーザーの操作が必要ですが、攻撃者がユーザーのメッセージやデータを読み取り、書き込み、削除できる可能性があります。

これらのコアシステムアップデートに加えて、MicrosoftはAzure OpenAI Serviceのセキュリティアップデートも展開しました。Azure OpenAI、Azure Portal、Microsoft 365 Copilot BizChatに影響を与えるクラウドサービス関連のCVEの多くは、すでにMicrosoftによってサービス側で修正されており、これらの特定の修正については通常、顧客による直接的なアクションは必要ありません。AI関連サービスへの継続的なこの注目は、新しいGPT-5モデル、画像生成（GPT-image-1）、ビデオ生成（Sora）などの人工知能機能が企業環境に統合され続けるにつれて、進化するセキュリティランドスケープを浮き彫りにしています。

この8月にパッチ適用された脆弱性の膨大な量と重大な性質は、デジタルインフラストラクチャが直面している永続的な脅威を改めて強く認識させます。システム管理者および個々のユーザーは、潜在的な悪用からシステムを保護し、機密データを保護するために、これらのアップデートを遅滞なく適用することを強く推奨されます。これらのパッチを優先することは単なる推奨事項ではなく、今日の相互接続された世界で堅牢なセキュリティ体制を維持するための重要なステップです。