Microsoftは2025年7月8日のパッチチューズデーで月例セキュリティアップデートをリリースした。今回のアップデートでは137件のCVE脆弱性が修正された。
修正された脆弱性のうち14件が重要度「Critical」に分類され、そのうち10件がリモートコード実行(RCE)脆弱性、1件が情報開示脆弱性、2件がAMDサイドチャネル攻撃脆弱性である。
Microsoftは137件のうち17件を攻撃者が悪用する可能性が高い脆弱性として特定した。この17件にはRCE脆弱性、権限昇格脆弱性、セキュリティバイパス脆弱性が含まれる。
最も深刻な脆弱性はCVE-2025-47981で、CVSSスコア9.8のSPNEGO Extended Negotiation(NEGOEX)Security MechanismにおけるRCE脆弱性である。この脆弱性により、認証されていない攻撃者が特別に細工されたメッセージを介してLSASS(Local Security Authority Subsystem Service)に任意のコードを実行できる。
SharePointでは2件のRCE脆弱性CVE-2025-49701とCVE-2025-49704(共にCVSSスコア8.8)が修正された。Microsoft Officeでは5件のRCE脆弱性が修正され、CVE-2025-49695とCVE-2025-49696は特にプレビューペイン経由での悪用リスクが高い。Windows Update ServiceではCVE-2025-48799(CVSSスコア7.8)の権限昇格脆弱性が修正された。
また、Microsoft SQL ServerのCVE-2025-49719は既に公開されている情報開示脆弱性で、初期化されていないメモリをリークする可能性がある。
From: 
Microsoft Patches 137 CVEs in July, but No Zero-Days
【編集部解説】
今回のMicrosoft 7月セキュリティアップデートは、サイバーセキュリティ業界において重要な転換点を示しています。137件という大規模な脆弱性修正は、現代のソフトウェアエコシステムが直面する複雑性を如実に物語っています。
なお、一部の海外メディアではゼロデイ脆弱性が1件含まれているとの報道もありますが、元記事であるDark Readingの報告では「ゼロデイ脆弱性は含まれていない」と明記されており、情報源による見解の相違が見られます。この点については、Microsoft公式の発表を確認することが重要です。
特に注目すべきは、CVE-2025-47981のNEGOEX脆弱性です。CVSSスコア9.8は10点満点中の「緊急」レベルに相当し、即座の対応が必要な最高危険度を示しています。この脆弱性は「ワーム化可能」な性質を持ち、認証なしでリモートから悪用可能という点で極めて危険です。SPNEGO Extended Negotiation(NEGOEX)は、Windows環境における認証プロトコルの中核を担う技術であり、この部分に脆弱性が存在することは、企業ネットワーク全体のセキュリティ基盤を根本から揺るがす可能性があります。
セキュリティ専門家らは、この脆弱性が「数日以内に武器化される」と警告しており、実際にMicrosoftも30日以内の攻撃を予想する最高レベルの悪用可能性評価を与えています。これは、攻撃者にとって極めて魅力的な標的となることを意味します。
SharePointの脆弱性についても深刻な状況が続いています。今年も昨年に迫るペースで発見が続いており脆弱性が発見されており、これは昨年の20件に迫る勢いです。特にCVE-2025-49701とCVE-2025-49704は、サイト所有者権限を持つ攻撃者によって悪用される可能性があり、企業の情報共有基盤に重大な脅威をもたらします。
Microsoft Officeの脆弱性群は、プレビューペイン機能を通じた攻撃が可能という点で特に危険です。これは、ユーザーがファイルを開かなくても、単にプレビューするだけで攻撃が成立することを意味します。現代のビジネス環境において、メール添付ファイルの確認は日常的な作業であり、この攻撃ベクターは極めて現実的な脅威となっています。
Windows Update Serviceの権限昇格脆弱性(CVE-2025-48799)は、システムの更新メカニズム自体が攻撃の入り口となる可能性を示しています。これは、セキュリティを維持するためのシステムが逆に攻撃の踏み台となるという皮肉な状況を生み出しています。
BitLockerの4件の脆弱性(CVE-2025-48001、CVE-2025-48800、CVE-2025-48804、CVE-2025-48818)は、企業の機密データ保護戦略に重大な影響を与えます。BitLockerは多くの企業でデータ暗号化の標準ツールとして採用されており、これらの脆弱性により暗号化が迂回される可能性は、コンプライアンス要件や規制対応にも影響を及ぼす可能性があります。
Microsoft SQL ServerのCVE-2025-49719については、既に公開されている脆弱性でありながら、OLE DBドライバーのアップデート情報が不明確という問題が指摘されています。これは、パッチ管理プロセスにおける情報提供の課題を浮き彫りにしています。
長期的な視点では、このような大規模なセキュリティアップデートが定期的に必要となる現状は、ソフトウェア開発手法の根本的な見直しを促すものです。セキュア・バイ・デザインの原則や、継続的なセキュリティテストの重要性がますます高まっています。
企業にとっては、パッチ管理プロセスの効率化と自動化が喫緊の課題となります。137件の脆弱性を迅速かつ確実に適用するためには、従来の手動プロセスでは限界があり、より高度な管理システムの導入が必要となるでしょう。
【用語解説】
CVE(Common Vulnerabilities and Exposures)
脆弱性に割り当てられる識別番号システム。CVE-2025-47981のように年号と連番で表記される。
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を0.0から10.0の数値で評価する標準的なスコアリングシステム。9.8は「緊急」レベルに相当し、即座の対応が必要な最高危険度を示す。
パッチチューズデー
Microsoftが毎月第2火曜日に定期的にセキュリティアップデートをリリースする日。企業のIT管理者にとって重要なスケジュール。
RCE(Remote Code Execution)
リモートコード実行脆弱性。攻撃者が遠隔から任意のコードを実行できる脆弱性。
SPNEGO Extended Negotiation(NEGOEX)
Windows環境における認証プロトコルの拡張機能。SPNEGOの機能を強化し、より柔軟な認証メカニズムの交渉を可能にする。
LSASS(Local Security Authority Subsystem Service)
Windowsのセキュリティ認証を担当するシステムサービス。システム権限で動作する。
PKU2U
Windows 10のデフォルト認証設定の一つ。ピアツーピア認証を可能にする機能。
Use After Free
プログラムがメモリを解放した後に、そのメモリ領域に再度アクセスすることで発生する脆弱性。
Heap-based Buffer Overflow
ヒープ領域でのバッファオーバーフロー攻撃。メモリ破壊を引き起こす可能性がある。
プレビューペイン
Microsoft Officeでファイルを開かずに内容を確認できる機能。この機能経由での攻撃が可能な脆弱性が存在する。
Link Following
シンボリックリンクやジャンクションの不適切な処理により発生する脆弱性。
OLE DB Driver
Microsoft SQL Serverへのデータアクセスを提供するドライバー。
【参考リンク】
Microsoft SharePoint(外部)
組織がウェブサイトを作成し、情報を安全に保存・共有・アクセスできるプラットフォーム。チームサイトやドキュメント管理機能を提供する。
Microsoft 365(旧Office 365)(外部)
Word、Excel、PowerPointなどを含む生産性向上スイート。クラウドベースのサービスとして提供され、企業向けの高度なセキュリティ機能を備える。
Microsoft SQL Server(外部)
Microsoftが開発するリレーショナルデータベース管理システム。企業のデータストレージとアナリティクスのためのプラットフォームを提供する。
Microsoft Learn – SPNEGO Extended Negotiation(外部)
SPNEGO Extended Negotiation(NEGOEX)の技術仕様を詳細に解説するMicrosoftの公式ドキュメント。
BitLocker – Wikipedia(外部)
Windows Vistaから搭載されたフルボリューム暗号化機能。AES暗号化を使用してデータを保護し、TPMと連携してブート時の整合性検証を行う。
Qualys(外部)
クラウドベースのセキュリティ・コンプライアンス・IT監査ソリューションを提供する企業。脆弱性管理とセキュリティ評価のリーディングカンパニー。
Microsoft Security Response Center (MSRC)(外部)
Microsoftの公式セキュリティ情報センター。セキュリティアップデートや脆弱性情報を提供する。
【参考記事】
Microsoft July 2025 Patch Tuesday fixes one zero-day, 137 flaws(外部)
Microsoft 2025年7月のパッチチューズデーで137件の脆弱性が修正され、うち1件がSQL Serverのゼロデイ脆弱性であることを報告。14件の重要度「Critical」脆弱性を含む詳細な分析。
Microsoft Patch Tuesday July 2025: 130 Vulnerabilities Patched(外部)
2025年7月8日にリリースされたMicrosoftのセキュリティアップデートについて、130件の脆弱性(41件のRCE、53件の権限昇格など)の詳細な分類と分析を提供。
Critical Remote Code Execution Vulnerability in SPNEGO Extended Negotiation Security Mechanism(外部)
SPNEGO Extended Negotiation(NEGOEX)Security Mechanismの重要なリモートコード実行脆弱性について、IBM X-Forceによる技術的解説。
【編集部後記】
今回のMicrosoftセキュリティアップデートを見て、皆さんはどのように感じられましたか?137件という数字に驚かれた方も多いのではないでしょうか。私たちの日常業務で使っているOfficeやSharePoint、そしてWindows自体にこれほど多くの脆弱性が潜んでいたという事実は、改めてサイバーセキュリティの重要性を実感させられます。特に気になるのは、皆さんの組織ではこうした大規模なセキュリティアップデートにどのように対応されているかということです。IT部門任せになっていませんか?それとも全社的な取り組みとして捉えられているでしょうか?CVE-2025-47981のような「数日以内に武器化される」脅威に対して、私たちはどのような備えができるのか、ぜひ一緒に考えてみませんか?
