2025年12月のMicrosoft定例パッチでは、合計72件(うちWindowsやOfficeなどの本体部分が57件)の脆弱性が修正されました。内訳としては、
-
権限昇格:28件
-
リモートコード実行(RCE):19件
-
情報漏えい:4件
-
DoS(サービス拒否):3件
-
なりすまし:2件
となっており、そのうち3件は「Critical(緊急)」と分類されています。
目次
すでに悪用中のゼロデイ:Cloud Files Mini Filter Driver(CVE-2025-62221)
今回もっとも緊急度が高いのが、Windows Cloud Files Mini Filter Driver の権限昇格脆弱性 CVE-2025-62221です。
脆弱性の性質は「use-after-free」で、ローカルでコードを実行できる攻撃者が、このドライバの不具合を突いてSYSTEM権限まで権限昇格できてしまいます。
ポイントは以下の通りです。
-
すでに「実際の攻撃で悪用されている」と報告されている
-
CISAのKnown Exploited Vulnerabilities(KEV)カタログにも登録され、12月30日までのパッチ適用が強く推奨されている
-
いわゆる“単体で侵入を許す脆弱性”ではないものの、
-
メールの添付ファイル
-
Officeマクロ
-
ブラウザのエクスプロイト
などと組み合わせて「最終的にSYSTEMまで取る」ための足場として悪用される可能性が高い
-
実際のインシデント対応の現場でも、「まずは何らかの方法でユーザー権限を奪い、その後、権限昇格でOSを取りにくる」という流れはよく見ます。このゼロデイは、その“後半戦”を支えるピースになり得る部分です。
運用的には、Windows OSの更新を最優先で配信対象に含め、サーバーも含めて早めにロールアウトする前提でスケジュールを切った方が良いレベルの脆弱性だと考えておいた方が安全です。
AI開発環境を狙うGitHub Copilot for JetBrains RCE(CVE-2025-64671)
2つ目のゼロデイは、GitHub Copilot for JetBrains向けプラグインのRCE脆弱性 CVE-2025-64671です。
IDEプラグインの脆弱性がMicrosoftのPatch Tuesdayに出てくるあたり、環境が変わってきたと実感させられます。
脆弱性の中身は、いわゆるコマンドインジェクションです。
-
Copilot が扱うコマンドに、攻撃者が細工した文字列を紛れ込ませることで
-
開発者のローカル環境上で任意のコマンドが実行されてしまう
特に指摘されているのが、**「Cross Prompt Injection」**と呼ばれるパターンです。
信頼できないファイルや、信頼できないMCPサーバー(Model Context Protocolサーバー)経由で読み込まれた内容に、追加のコマンドを紛れ込ませる形で悪用される可能性があります。
実務的には、次のような点を意識したいところです。
-
JetBrains製IDE(IntelliJ/Rider/PyCharmなど)+ Copilot を使っている開発環境がないか棚卸しする
-
該当プラグインが入っている場合は、最新版へのアップデートを必須にする
-
IDE側の「ターミナル自動承認」など、コマンド実行を自動化する設定がないか確認し、必要に応じて制限する
-
開発端末だからといってローカル管理者権限を常用させない(RCEのダメージを抑えるため)
開発チームとしては「便利だから入れている」という感覚に近いプラグインですが、攻撃者から見れば「開発者のPCに直接RCEが撃てる入り口」にもなります。
開発端末=社内で最も“おいしい”ターゲットという認識を、情シス側も改めて共有しておいた方がよさそうです。
PowerShellのコマンドインジェクション(CVE-2025-54100)と新しい警告
3つ目のゼロデイが、Windows PowerShell のRCE脆弱性 CVE-2025-54100です。
こちらも性質としてはコマンドインジェクションで、特に影響が大きいのが Invoke-WebRequest を利用するケースです。
問題になっているのは、
-
Invoke-WebRequest がWebページの内容をパースする際に
-
ページ内に埋め込まれたスクリプトコードが、そのまま実行されてしまう可能性がある
という挙動です。
要するに、「ちょっとしたダウンロード用のワンライナー」のつもりで書いたPowerShellが、意図せずスクリプト実行エンジンとして悪用されるリスクがあるという話です。
Microsoftはパッチ適用後、Invoke-WebRequest を使う際に新しい警告メッセージを出すように変更しています。
Script Execution Risk
Invoke-WebRequest parses the content of the web page. Script code in the web page might be run when the page is parsed.
RECOMMENDED ACTION: Use the -UseBasicParsing switch to avoid script code execution.
現場としては、
-
社内で配布しているPowerShellスクリプトの中に Invoke-WebRequest を使っているものがないか確認する
-
業務上問題なければ、-UseBasicParsing への置き換えを検討する
-
サーバー側の運用スクリプトで外部URLを叩いている箇所があれば、入力値の検証や宛先の制限を改めて確認する
といったあたりが、すぐに着手できるアクションになります。
Office/Outlookにも複数の重要RCE脆弱性
今回のパッチでは、ゼロデイ以外にもOffice関連で多数のRCE脆弱性が修正されています。代表的なものは以下です。
-
CVE-2025-62562:Microsoft Outlook RCE
-
use-after-free が原因の脆弱性
-
攻撃者が細工したメールなどを送りつけることで、認証なしにコード実行につながる可能性
-
-
CVE-2025-62554/CVE-2025-62557:Microsoft Office RCE
-
型混同(type confusion)や use-after-free によるリモートコード実行
-
悪意あるOffice文書を開いたタイミングで悪用される典型的なパターン
-
このほかにも、Excel/Word/Access 向けに複数のRCEがまとめて修正されています。
攻撃シナリオとしては、従来からよくある
-
メールでOfficeファイルを送りつける
-
クラウドストレージやチャット経由でファイルを共有する
といった経路でユーザーに開かせるパターンが想定されます。
そのため、Windowsだけでなく Office/Outlookの更新もWSUSやIntune等で確実に配信対象に含める ようにしておいた方が安全です。
あわせて、
-
マクロ有効ファイル(.xlsm など)の受信・実行ポリシー
-
インターネットゾーンから来たファイルに対するProtected View設定
なども見直しておくとよいタイミングです。








