Microsoft、2025年10月の月例セキュリティ更新プログラムを公開 Windows 10サポート終了も発表：IPAも更新を呼び掛け

既に悪用が確認されている脆弱性やCVSS基本値9.8以上の高リスクな脆弱性の更新が含まれており、企業ユーザーには早急な適用が推奨される。

[＠IT]

　Microsoftは2025年10月14日（米国時間）、「Windows」「Microsoft Office」など同社主要製品を対象とした月例セキュリティ更新プログラムを公開した。更新プログラムが公開されるよりも前に攻撃で悪用が確認されている脆弱（ぜいじゃく）性や、CVSS基本値9.8以上の高リスク脆弱性が含まれており、同社は「できるだけ早期の適用」を強く推奨している。

　加えて、同日をもって「Windows 10」のサポートを正式に終了した。今後の機能更新プログラムとセキュリティ更新プログラムではWindows 10は対象外となるので、「Windows 11」への移行や「拡張セキュリティアップデート」（ESU）プログラムの適用を早急に進めるよう呼び掛けている。

　2025年10月のセキュリティ更新プログラム一覧は次の通り。今回の更新では、Windows 11、Office、「Windows Server 2025」「Microsoft Exchange Server」「Microsoft Azure」といった製品が対象となっている。中でもWindowsおよびOffice製品群は「リモートでコード実行が可能」となる緊急レベルの脆弱性を修正している。

2025年10月のセキュリティ更新プログラム（提供：Microsoft）

既に悪用が確認された脆弱性

　今月修正された脆弱性のうち、以下の5件は攻撃者による悪用が確認済み、または脆弱性情報が既に公開済みだ。

• CVE-2025-2884：TPM（Trusted Platform Module）2.0レファレンス実装における境界外読み取りの脆弱性（Cert CC報告）
• CVE-2025-59230：「Windows Remote Access Connection Manager」の特権昇格の脆弱性
• CVE-2025-47827：リモートアクセスツール「IGEL OS」のバージョン11以前のセキュアブートバイパスの脆弱性
• CVE-2025-24052：Windows用「Agere」モデムドライバの特権昇格の脆弱性
• CVE-2025-24990：Windows用Agereモデムドライバの特権昇格の脆弱性

高深刻度（CVSS 9.8以上）の脆弱性

　悪用は未確認ながら、深刻度が「緊急」とされる脆弱性も複数含まれる。

• CVE-2025-55315：「ASP.NET」のセキュリティ機能バイパス
• CVE-2025-49708：「Microsoft Graphics」コンポーネントの特権昇格
• CVE-2025-59287：「Windows Server Update Service」（WSUS）のリモートコード実行

IPAも呼び掛け

　今回の更新プログラムについて、IPA（情報処理推進機構）も「Microsoft 製品の脆弱性対策について（2025年10月）」で「脆弱性を悪用された場合、アプリケーションプログラムが異常終了する、攻撃者によってPCを制御される、といった被害が発生する恐れがある」として、更新プログラムの適用を推奨している。

　最新情報はセキュリティ更新プログラムガイドで確認できる。