グーグルは、重大度の高い脆弱性に対応して、すべてのChromeブラウザー利用者に緊急アップデート(CVE-2025-13042)を配信した。またその同時期に、マイクロソフトも「セキュリティ更新プログラム (月例)」の2025年11月分を公開し、独自のセキュリティ警告を発した。Windowsカーネルで新たに発見されたゼロデイ脆弱性により、攻撃者がシステム権限を取得できる可能性があるという。Windowsカーネルのゼロデイだ。攻撃はすでに始まっている。その通り! 今すぐ更新が必要だ。
編注:消費者向けWindows 10/Windows 11では、標準で自動的に「セキュリティ更新プログラム (月例)」が適用される。今すぐ適用する場合には、設定→Windows Update→「更新プログラムのチェック」を実行する。なお、次回のセキュリティ更新プログラムは、日本時間2025年12月10日を予定している。
マイクロソフト、すでに悪用されているカーネルの脆弱性を認める──今すぐWindowsを更新せよ
終わりのないサイバーセキュリティのドラマである「セキュリティ更新プログラム (月例)」の2025年11月分が公開され、今回は63件もの脆弱性が含まれていることが明らかになった。その中でもひときわ目を引くのが、Windowsカーネルそのものに存在し、すでに積極的に悪用されているゼロデイ「CVE-2025-62215」である。
「悪用には攻撃者がレースコンディション(競合状態)に勝つ必要がありますが」とTenableのシニア・スタッフ・リサーチエンジニアであるサトナム・ナラングは述べ、「マイクロソフトはこの脆弱性が実環境で積極的に悪用されていることを確認しました」と続けた。ここでいう“レースコンディション(競合状態)に勝つ”とは、OS内での複数の処理のタイミングが、攻撃者にとって都合の良い(脆弱性を突ける)特定の順序で実行される瞬間に割り込むことに成功するといった意味合いだ。
侵入後の活動の一部として使われた可能性が最も高い
ナラングは、CVE-2025-62215が特権昇格の欠陥であることから、「フィッシング、ソーシャルエンジニアリング、あるいは別の脆弱性を通じた初期侵入に続いた、侵入後の活動の一部として使われた可能性が最も高いです」と示唆した。
マイクロソフトの公式セキュリティアドバイザリは、「不適切な同期を伴う共有リソースの同時実行(『レースコンディション』)がWindowsカーネルに存在し、認可された攻撃者がローカルで権限を昇格できる」とし、実地での悪用が検出されたことを確認している。一方で、このWindowsカーネルの脆弱性をさらに掘り下げる見解もある。
誰にとっても最優先事項
Rapid7のリード・ソフトウェアエンジニアであるアダム・バーネットは筆者に対し、「これはマイクロソフトのソフトウェアを実行しているほぼすべてのリソースに影響する可能性が高いです」と語り、さらに「もし攻撃者にとって条件がすべて揃えば、既存の足がかりを必要とせずに、ネットワーク経由でシステム権限としてのリモートコード実行を達成できる可能性があります」と付け加えた。朗報として、修正プログラムがすでに利用可能であることに加え、バーネットはCVE-2025-62215はワーム化可能な(自己増殖して広がることができる)ものではないと考えている。
ただし、それでも彼は「今月のパッチ対応をどう進めるべきか検討している人にとって、これはほぼ誰にとっても最優先事項であり続けます」と助言することはやめなかった。
「いったん攻撃者が内部に入れば、その扉を大きく開け放ちます」
マイクロソフト自身が確認したところ、根本原因はCWE-362(不適切な同期を伴う共有リソースの同時実行)およびCWE-415(メモリーの二重解放)であるようだ。
Immersiveのリード・サイバーセキュリティエンジニアであるベン・マッカーシーは、これら2つの条件が組み合わさることで「低権限のローカルアクセスを持つ攻撃者が、特別に細工したアプリケーションを実行し、このレースコンディションを繰り返し誘発しようとすることができます。狙いは、複数のスレッドを同期なしに共有カーネルリソースと相互作用させ、カーネルのメモリー管理を混乱させて、同じメモリーブロックを二度解放させることです」と警告する。これによりカーネルヒープが破壊され、攻撃者がメモリーを書き換え、システムの実行フローが乗っ取られる。要するに、状況は相当にまずいということだ。
Sectigoのシニアフェローであるジェイソン・ソロコは次のように結論づける。「CVE-2025-62215はそれ自体で扉を開けるわけではありませんが、いったん攻撃者が内部に入れば、その扉を大きく開け放ちます」。
