主なポイント

✓ Microsoftは60以上の脆弱性を修正するセキュリティ更新をリリースしました。
✓ 特にCVE-2025-62215というゼロデイ脆弱性が悪用されており、注意が必要です。

社会的影響

! 多くのユーザーが影響を受ける可能性があり、特にWindows 10のユーザーは追加のセキュリティ更新を受けることができます。
! 企業は、これらの脆弱性に対処するために迅速にパッチを適用する必要があります。

編集長の意見

今回のMicrosoftのパッチ火曜日における更新は、特にCVE-2025-62215やCVE-2025-60274のような重要な脆弱性を修正するものであり、企業や個人ユーザーにとって非常に重要です。CVE-2025-62215は、ゼロデイ脆弱性であり、すでに悪用されているため、迅速な対応が求められます。特に、攻撃者がターゲットデバイスにアクセスする必要があるため、内部からの攻撃やフィッシング攻撃に対する警戒が必要です。また、CVE-2025-60274は、GDI+に関連する脆弱性であり、多くのアプリケーションで使用されているため、広範囲に影響を及ぼす可能性があります。これらの脆弱性に対処するためには、企業はパッチ管理を徹底し、定期的にシステムを更新することが重要です。さらに、ユーザーは自らのデバイスを保護するために、最新のセキュリティ更新を適用し、バックアップを定期的に行うことが推奨されます。今後も、サイバー攻撃は進化し続けるため、常に最新の情報を把握し、適切な対策を講じることが求められます。

解説

ゼロデイ（CVE-2025-62215）を含む60件超、11月Patch Tuesdayは「ローカル前提の悪用」と「GDI+高深刻度」の二極が焦点です

今日の深掘りポイント

既に悪用が確認されたゼロデイ（CVE-2025-62215）は「ターゲット端末へのアクセス（ローカル/対話）」を要する性質で、初期侵入後の権限昇格や持続化の要に位置づくタイプです。侵入抑止だけでなく、侵入後の横展開阻止措置を同時強化すべき局面です。
GDI+に関連する重大脆弱性（CVE-2025-60274）は、CVSS 9.8と報じられており、Officeや各種アプリの画像処理を経路に広範囲へ波及し得るため、ユーザー端末と画像処理を担うサーバ群の優先パッチ対象になります。
Windows 10は追加のセキュリティ更新が提供されており、ESU運用を含めた資産カバレッジの棚卸しと再構成が不可欠です。
修正件数は60件超で、即時適用の必要性と、業務影響を抑えた段階的リブート計画（例外運用を含む）が組織の成熟度を試す更新サイクルです。
メトリクス観点では、即時性と行動可能性の高さが際立ちます。単なる数の問題ではなく、攻撃チェーンの要所（LPEとファイル処理RCE）に効くパッチであるがゆえに、優先資産の選定と補完策の同時適用が勝負を分けます。

はじめに

Microsoftは2025年11月のパッチ火曜日で、Windowsおよびサポート製品の脆弱性を60件超修正しました。なかでも既に悪用が確認されたゼロデイ（CVE-2025-62215）と、GDI+に関する深刻な問題（CVE-2025-60274）が目立ちます。外部報道では後者のCVSSが9.8と伝えられており、画像処理経由の攻撃面に広く影響し得る構図です。詳細は一次情報であるMicrosoft Security Update Guideの当月リリースと、独立系の技術報道をクロスチェックすることを推奨します。参考として、KrebsOnSecurityの当月まとめが公開されています。

参考（外部報道）: KrebsOnSecurity — Microsoft Patch Tuesday, November 2025 Edition
参考（一次情報一覧）: Microsoft Security Update Guide

深掘り詳細

事実関係（外部報道ベースの整理）

Microsoftは11月の更新で60件超の脆弱性を修正しています。
ゼロデイCVE-2025-62215は既に悪用が観測され、攻撃者がターゲット端末にアクセスしていること（ローカル/対話的利用など）を前提に成立するタイプと報じられています。
GDI+関連のCVE-2025-60274は重大（CVSS 9.8との報道）で、Officeを含む画像処理の広い面を通じて影響が及ぶ可能性があります。
Windows 10には追加のセキュリティ更新が提供されており、対象端末の取りこぼしがないように配布/適用計画の見直しが必要です。
一連の内容は、一次情報であるMicrosoftの当月アドバイザリ/更新ガイドの確認と、社内検証環境での互換性テストを前置きして本番環境適用へ進めるのが原則です。

出典: KrebsOnSecurityの当月記事、Microsoft Security Update Guide

編集部インサイト（攻撃面と運用面の両睨み）

ローカル前提のゼロデイは「初期侵入の後段」で効くタイプです。メール経由の初期侵入やインターネット経由のWeb経路で低権限のコード実行が確保された後、ゼロデイLPE（権限昇格）でSYSTEM権限を奪取し、資格情報窃取やEDR回避、持続化へと連なるシーケンスが定番です。したがって、パッチ適用だけでなく、EDRの抑止/検知ポリシー、ASR（Attack Surface Reduction）ルール、WDAC/AppLockerなどの制御を「侵入後対策」として同時に強化するのが実利的です。
GDI+の重大欠陥は「ユーザ操作や自動レンダリング」を引き金にしやすく、Office文書、画像ビューア、サムネイル生成、Webアプリの画像処理など多様な経路に潜みます。ユーザー端末だけでなく、IIS/アプリサーバの画像処理コンポーネント、RDS/VDIの共有ホスト、ファイルサーバのプレビュー機能など「画像が自動的に扱われる場所」を優先棚卸しすることで、実被害の確率を下げられます。
今回は件数の多さよりも「二極の質」が肝です。すなわち、ローカルでの権限昇格を止めること、ファイル処理経由のRCEを止めること、この2点に資源を集中投下できるかが、MTTR短縮と横展開阻止のカギになります。
Windows 10の追加更新は、ESUなどの契約/配布面の運用リスクを露呈しがちです。資産管理台帳と実機のバージョン/ビルド整合、更新リングの偏り、オフライン端末、ラボ/検証機、委託先保有端末など、可視化漏れを洗い出すよい機会です。パッチは「配ったつもり」ではなく「当たった事実（適用・再起動完了）」をメトリクス化することが重要です。

脅威シナリオと影響

以下は脅威仮説であり、ATT&CKは代表TTPを例示します。実環境ではログ/テレメトリで裏取りすることを推奨します。

シナリオA（ゼロデイLPE：CVE-2025-62215）
- 仮説: フィッシングやWeb経由で低権限のコード実行を確保後、当該ゼロデイで権限昇格、資格情報窃取、EDR回避、横展開へ進むシーケンスです。
- 代表TTP:
  - 初期アクセス/実行: T1566.001（添付フィッシング）、T1204.002（ユーザ実行: 悪性ファイル）、T1059（コマンド/スクリプト）
  - 権限昇格: T1068（脆弱性悪用）
  - 認証情報: T1003.001（LSASSダンプ）
  - ラテラル: T1021.001（SMB/Windows Admin Shares）、T1021.002（RDP）
  - 持続化/防御回避: T1547（スタートアップ）、T1112（登録変更）、T1562（防御回避）
- 影響: ドメイン内横展開、バックアップ破壊、ランサム展開の前段階短縮など、事業停止リスクを増大させます。
シナリオB（GDI+重大欠陥：CVE-2025-60274）
- 仮説: 攻撃者は細工画像をメール添付やクラウド共有で配布し、ユーザーの閲覧/プレビューでRCEを狙います。サーバ側の画像処理（IISやアプリのサムネイル生成）を突くケースも想定されます。
- 代表TTP:
  - 初期アクセス: T1566.001（添付）、T1566.002（リンク）、T1190（公開アプリ脆弱性悪用）
  - 実行/持続化: T1203（クライアント実行の脆弱性悪用）、T1059（スクリプト）
  - C2/展開: T1105（Ingress Tool Transfer）、T1071（アプリ層プロトコル）
- 影響: エンドポイント広域感染、VDI/RDSでの多ユーザー同時リスク、Webアプリ改ざん・データ流出など多面的です。
シナリオC（Windows 10追加更新の取りこぼし）
- 仮説: ESUや更新ポリシーの未適用資産が生じ、脆弱性の「長期的な温床」となります。攻撃者は資産の不均一性を利用し、パッチ未適用端末を踏み台にします。
- 代表TTP:
  - 発見/ターゲティング: T1087（アカウント発見）、T1018（リモートシステム発見）
  - 横展開: T1021（リモートサービス）
- 影響: 組織の最も弱い端末が突破口となり、セグメント越えの侵害連鎖を誘発します。

セキュリティ担当者のアクション

影響ベースの優先度付けで即応することが肝要です。件数ではなく、攻撃チェーンの要を先に潰します。
1. 優先パッチ適用のリング設計です。
  - リング0（当日〜48時間）: インターネット向けサーバ、VDI/RDSホスト、情報系フロントのWindows端末（Office常用）。
  - リング1（3〜5日）: ドメインコントローラ/管理サーバ/ジャンプホスト。
  - リング2（7日以内）: 残余のユーザー端末/業務サーバ。
  - 業務継続のための「計画リブート窓」を事前合意し、例外は期限付きで承認・補完策併用とします。
2. 補完的コントロールを即時強化します。
  - EDRの抑止/検知ポリシーを「侵入後阻止」に最適化します（Office子プロセスのスクリプト/LOLBin起動制限、LSASSアクセス監視、未知ドライバ読み込み抑止など）です。
  - ASR/WDAC/AppLockerによる「ユーザ領域からの実行」「署名のないドライバ」「スクリプトホスト（wscript/cscript）、mshta、regsvr32等」のブロックを再点検します。
  - 画像処理経路の縮減として、メールゲートウェイの画像型IOC検査強化、Officeの外部コンテンツ制御、サムネイル自動生成の見直しを検討します。
3. 露出資産の棚卸しを速やかに行います。
  - GDI+（GdiPlus.dll）をロードする業務アプリ/サービス、IISやアプリの画像処理モジュール、ファイルサーバのプレビュー機能を棚卸しします。
  - Windows 10のESU/更新ポリシーが適用されている端末の台帳突合（管理外/オフライン端末の洗い出し）を行います。
4. 狩り（ハンティング）項目を設定します。
  - 非管理者→管理者権限への短時間エスカレーション、サービス新規作成、スケジュールタスク生成、EDR停止試行、LSASSアクセス、通常でないプロセスツリー（Office→スクリプト/LOLBin）を相関で追跡します。
5. 変更の健全性モニタリングです。
  - 適用率・再起動完了率・失敗率・ロールバック件数をダッシュボード化し、CIO/事業側と日次で握る運用にします。
  - 重要業務のウィンドウに合わせた段階的リブート計画を実施し、影響を低減します。
6. サプライヤ/委託先を含む連鎖対応です。
  - 委託先や共同運用環境のSLAに、当該更新の適用期限と補完策を明記して合意します。
7. インシデント・テーブルトップ演習の更新です。
  - 「初期侵入は止め損ねた」という前提で、LPE発覚からの初動（隔離、資格情報無効化、横展開封じ）を短時間で回せるように手順を見直します。

参考情報

外部報道: KrebsOnSecurity — Microsoft Patch Tuesday, November 2025 Edition
一次情報（一覧）: Microsoft Security Update Guide

注記

個別CVEの深掘り（影響バージョン、KB、回避策）は一次情報で必ず確認のうえ、社内検証を経て本番適用してください。
CVE-2025-60274のCVSS等の数値は外部報道ベースの記載であり、最終判断はMicrosoft公式情報の更新を待って確定させることを推奨します。

背景情報

i CVE-2025-62215は、Windowsの内部で発生するメモリ破損バグであり、攻撃者がターゲットデバイスにアクセスする必要があります。この脆弱性は、複雑な攻撃チェーンの一部として悪用されることが多いですが、過去の類似の脆弱性が存在するため、比較的簡単に悪用される可能性があります。
i CVE-2025-60274は、WindowsのコアグラフィックコンポーネントであるGDI+における重大な脆弱性であり、多くのアプリケーションで使用されています。この脆弱性は、特にMicrosoft Officeやウェブサーバーでの画像処理に影響を与え、組織にとって最優先で修正すべきリスクとなっています。

メトリクス