Microsoft、7月の月例パッチで緊急性の高い脆弱性を多数修正、特にNEGOEX脆弱性に注意(CVE-2025-47981)

セキュリティニュース

投稿日時: 更新日時:

Microsoft、7月の月例パッチで緊急性の高い脆弱性を多数修正 - 特にNEGOEX脆弱性に注意(CVE-2025-47981)

2025年7月8日(米国時間)、Microsoftは毎月恒例の月例セキュリティ更新プログラムを公開しました。

今月は、リモートコード実行(RCE)や情報漏えいなどの深刻な脆弱性が複数修正されており、特に企業の情報システム部門は迅速な対応が求められます。

注目の脆弱性:NEGOEXのRCE(CVE-2025-47981)

今回の更新の中でも特に注意が必要なのが、SPNEGO Extended Negotiation(NEGOEX)セキュリティメカニズムに関するリモートコード実行の脆弱性(CVE-2025-47981)です。この脆弱性は、CVSS基本値9.8という極めて高いスコアを持ち、認証なしかつユーザー操作なしで悪用可能という性質を持ちます。

悪用されれば、攻撃者はリモートから任意のコードを実行し、システムの制御を奪う可能性があるため、最優先での更新適用が推奨されています。

現時点で悪用は確認されていないものの、情報が公開されていることから今後の攻撃に備える必要があります。

公開前に情報が開示された脆弱性

また、今月修正された脆弱性の中には、更新プログラムが提供される前に既に技術的詳細が公になっていたものも存在します。例えば、

  • CVE-2025-49719(Microsoft SQL Serverの情報漏えい)

は、その一例です。このようなケースでは、攻撃者が先手を打って攻撃を仕掛けてくる可能性があるため、迅速なリスク評価とパッチ適用が強く求められます。

影響対象製品と更新概要

以下の主要製品で、リモートコード実行に関する脆弱性が修正されています(深刻度:緊急)。

  • Windows 11(v24H2 / v23H2)

  • Windows 10 v22H2

  • Windows Server 2016 / 2019 / 2022 / 2025

  • Remote Desktop Client

  • Microsoft Office、SharePoint、SQL Server

特にSQL ServerとSharePointは業務インフラの中核を担うため、更新の影響範囲とリスクを慎重に精査しつつ、できるだけ早くパッチを適用すべきです。

組織向けの対応ポイント

  • 自動更新が有効でない環境では、早期のパッチ適用を徹底

  • NEGOEXやSQL Server関連の脆弱性を優先

  • 最新の「サービススタック更新プログラム(SSU)」も併せて適用

  • PowerShellやVisual Studio利用環境では更新の影響を事前にテスト