【2025年10月Patch Tuesdayまとめ】Microsoftが175件の脆弱性を修正、うち3件は実際に悪用中のゼロデイ──Windows 10最終アップデートも同時終了

2025年10月15日（米国時間）、Microsoftは「October 2025 Patch Tuesday（定例更新）」を公開しました。
今月のアップデートでは、合計175件の脆弱性が修正され、そのうち3件はすでに実際の攻撃で悪用されているゼロデイ脆弱性、さらに3件は一般公開済みのゼロデイです。

特に注目すべきは、Windows 10の最終セキュリティアップデートでもあること。
サポート終了と重なった今回の更新は、Microsoftのセキュリティ戦略の節目ともいえる内容となっています。

• 今月の概要：175件の脆弱性と3件の“現行攻撃中ゼロデイ”を修正
• 実際に悪用されているゼロデイ脆弱性3件の詳細
  • CVE-2025-24990：古いAgereモデムドライバの権限昇格脆弱性（CVSS 7.8）
  • CVE-2025-59230：Remote Access Connection Managerの権限昇格脆弱性（CVSS 7.8）
  • CVE-2025-47827：Secure Boot回避（Linux系IGEL OSに影響／CVSS 4.6）
• 一般公開済みのゼロデイ3件：まだ攻撃は確認されず、だが危険
• 今月の“最も危険”なクリティカル脆弱性
• 「悪用されやすい」優先パッチ対象リスト（Microsoft推奨）
• Windows 10ユーザーへの“最後の警告”：ESU契約を忘れずに
• セキュリティ担当者への推奨行動：パッチ＋可視化＋教育の三本柱
• 今回のPatch Tuesdayが“過去最大級”といわれる理由
• 零細企業・学校・地方自治体ほど要注意：更新遅延の“盲点”
• 企業内システム管理者にとっての「更新の優先順位」
• Copilot関連の脆弱性が意味する“AI時代の新しい攻撃面”
• クラウド関連の脆弱性：Azure EntraとPlayFabに警戒を
• SOCRadarが示す「ゼロデイ分析の新指標」
• セキュリティ部門の現実：人手不足と更新疲労
• Windows 10最後のアップデートが意味するもの
• まとめ：175件の脆弱性より怖いのは“更新を後回しにする文化”
  • 💬コメント欄：あなたの組織の対応は？

今月の概要：175件の脆弱性と3件の“現行攻撃中ゼロデイ”を修正

SOCRadar® Cyber Intelligenceの分析によると、2025年10月のPatch Tuesdayで修正された脆弱性の内訳は以下の通りです。

• 権限昇格（Elevation of Privilege）：83件
  
  
• リモートコード実行（RCE）：30件
  
  
• 情報漏えい（Information Disclosure）：26件
  
  
• なりすまし（Spoofing）：14件
  
  
• サービス拒否（DoS）：11件
  
  
• セキュリティ機能バイパス（Security Feature Bypass）：10件
  
  
• 改ざん（Tampering）：1件
  
  
• クロスサイトスクリプティング（XSS）：1件
  
  

Microsoftのセキュリティチームは、「今月は特にローカル権限昇格とリモートコード実行の脆弱性が目立つ」とコメント。
既に実際の攻撃で悪用されているゼロデイ3件が含まれることから、緊急度は非常に高いとしています。

実際に悪用されているゼロデイ脆弱性3件の詳細

CVE-2025-24990：古いAgereモデムドライバの権限昇格脆弱性（CVSS 7.8）

もっとも注目を集めたのは、「ltmdm64.sys」ドライバ内の脆弱性。
この古いAgere Modemドライバはすでに実用的な役割を終えているにも関わらず、Windows内部に長年残されていました。

脆弱性は「不正なポインタ参照（untrusted pointer dereference）」が原因で、
ローカル攻撃者がSYSTEM権限を奪取できる可能性があります。

Microsoftは今回の更新でこのドライバを完全に削除し、
「レガシーコンポーネントを放置したままではOS全体の安全性を保てない」と説明しています。

この修正は、“古いドライバが時限爆弾になる”というセキュリティの教訓を象徴するものとなりました。

CVE-2025-59230：Remote Access Connection Managerの権限昇格脆弱性（CVSS 7.8）

2件目のゼロデイは、Remote Access Connection Manager（RASMAN）におけるアクセス制御不備。
ローカル環境でこの脆弱性を利用されると、攻撃者はSYSTEMレベルの権限を取得可能となります。

Microsoftは「すでに実際の攻撃事例を確認済み」と公表しており、
他のRCE（リモートコード実行）脆弱性と組み合わせることで完全なシステム乗っ取りに発展する危険性があるとしています。

特にVPN接続やテレワークでRASMANを利用している環境では、優先的にパッチを適用する必要があります。

CVE-2025-47827：Secure Boot回避（Linux系IGEL OSに影響／CVSS 4.6）

3件目はMicrosoft製品そのものではなく、LinuxベースのIGEL OSに含まれる「igel-flash-driver」モジュールに存在するSecure Boot回避の欠陥です。
不適切な署名検証処理により、攻撃者が不正なブートローダーを読み込ませることが可能になります。

興味深いのは、この問題がWindowsのSecure Bootチェーンにも影響する可能性がある点。
IGEL OSはWindows仮想環境と併用されることが多く、セキュアブートを前提とした環境でも侵入経路となりうるのです。

実際、PoC（概念実証コード）は2025年5月から既に公開済みで、
SOCRadarの調査では“攻撃用ツール化の兆候”も確認されています。

一般公開済みのゼロデイ3件：まだ攻撃は確認されず、だが危険

実際の攻撃は確認されていないものの、技術情報が既に公開済みの脆弱性も3件含まれています。
これらはPoCが出回ることで今後悪用される可能性が高く、企業は早急な対策が必要です。

1. CVE-2025-0033：AMD EPYCプロセッサのSecure Encrypted Virtualization（SEV-SNP）機能におけるメモリ保護不備。
   　→ 悪意あるハイパーバイザーが保護領域を書き換える恐れあり。Azure Confidential Computing環境に影響。
   
   
2. CVE-2025-24052：Agere Modemドライバの別の欠陥。
   　→ CVE-2025-24990と同じドライバ由来。攻撃経路はローカル権限昇格。
   
   
3. CVE-2025-2884：TPM 2.0のCryptHmacSign関数における境界外読み取り。
   　→ ハードウェアセキュリティモジュール（HSM）やTPM依存の環境では、暗号鍵情報が漏洩する可能性。
   
   

これらのうち特にTPM関連の脆弱性は、セキュアブートやBitLockerに影響を及ぼす可能性があるため重大です。

今月の“最も危険”なクリティカル脆弱性

Microsoftは、CVSSスコア9.0以上の脆弱性を複数修正しています。
特に次の3件は、ネットワーク経由で感染が拡大する“ワーム化”のリスクがあると警告されています。

• CVE-2025-59287（CVSS 9.8）：Windows Server Update Services（WSUS）のRCE脆弱性。
  　→ オブジェクトの逆シリアル化処理に欠陥があり、認証不要で遠隔コード実行が可能。
  　　ZDI（Zero Day Initiative）は「サーバー間で感染が連鎖する可能性あり」と指摘。
  
  
• CVE-2025-49708（CVSS 9.9）：Windows GraphicsコンポーネントのRCE。
  　→ 特定の画像レンダリング処理でメモリ破壊が発生。ユーザー操作なしで攻撃可能。
  
  
• CVE-2025-59246（CVSS 9.8）：Azure Entra ID（旧Azure AD）の権限昇格脆弱性。
  　→ クラウド認証の根幹に関わる部分で、悪用されれば全テナントのアカウント乗っ取りに発展。
  
  

これらはいずれもMicrosoft自身が「今後悪用される可能性が高い（More Likely to Be Exploited）」と明記しています。

「悪用されやすい」優先パッチ対象リスト（Microsoft推奨）

SOCRadarの脆弱性インテリジェンスによると、
Microsoftは今月以下の脆弱性を「近い将来、攻撃に利用される可能性が高い」と分類しています。

• CVE-2025-55680：Windows Cloud Files Mini Filter Driver 権限昇格
  
  
• CVE-2025-55692／55694：Windows Error Reporting Service 権限昇格
  
  
• CVE-2025-58722：Microsoft DWM Core Library 権限昇格
  
  
• CVE-2025-59199：Software Protection Platform 権限昇格
  
  
• CVE-2025-59502：RPC（リモートプロシージャコール）DoS攻撃
  
  
• CVE-2025-48004：Microsoft Brokering File System 権限昇格
  
  

いずれも共通点は「ローカル権限昇格」または「DoS」。
単体では致命的でなくとも、他のRCEと組み合わせれば完全侵入が成立します。

Windows 10ユーザーへの“最後の警告”：ESU契約を忘れずに

今回のPatch Tuesdayは、Windows 10に対する最後の無料セキュリティアップデートでもあります。
以降は、Microsoftの**「Extended Security Updates（ESU）」プログラム**を契約しない限り、
新たな脆弱性修正は受け取れません。

ESUは2028年まで提供予定で、企業・教育機関を中心に導入が進むと見られます。
ただし、個人ユーザーは現時点で対象外。
つまり、Windows 10を使い続ける一般ユーザーは、今後完全に無防備な状態になるということです。

セキュリティ担当者への推奨行動：パッチ＋可視化＋教育の三本柱

SOCRadarは、今月の更新を「2025年で最も影響範囲が広いPatch Tuesday」と位置付け、
企業に対して次の3つの行動を推奨しています。

(1) パッチ適用の即時実施
　ゼロデイ3件を含むため、WSUS・Intune・Azure Update Managementなどを使い、一括適用を最優先に。

(2) 攻撃面の可視化（Attack Surface Management）
　脆弱な資産を特定し、公開ポートや古いドライバを監査する。
　特に、AgereやRASMANなどレガシー構成を残している環境はリスクが高い。

(3) 従業員へのセキュリティ教育
　リモート接続やVPN設定の安全運用を周知。
　脆弱性パッチと同じくらい「ヒューマンファクター」対策が重要です。

今回のPatch Tuesdayが“過去最大級”といわれる理由

今回の2025年10月のPatch Tuesdayが、セキュリティ業界で特別な注目を集めている理由は単純です。
修正件数175件という量だけでなく、構成要素の深さと影響範囲が歴代最高レベルに達しているからです。

Microsoftはここ数年、AI統合やクラウドサービス拡張を急速に進めてきました。
しかしその一方で、**Windowsカーネル、Azure、Office、M365 Copilotといった「相互接続された複雑な生態系」**が攻撃面を広げる結果となっています。

つまり今回のパッチ群は、単なる不具合修正ではなく、**Windowsというプラットフォームの構造的リスクを再設計レベルで封じる“構造的アップデート”**でもあるのです。

セキュリティ研究者たちはこの10月更新を「ミニWindowsリセット」と呼び、
「ここで更新を怠ると、来月以降のパッチでも追いつけないほど脆弱な状態に陥る」と警告しています。

零細企業・学校・地方自治体ほど要注意：更新遅延の“盲点”

SOCRadarの報告では、中小規模組織の約43％が過去3か月間にセキュリティ更新を1回以上見送っていることが分かっています。
その理由は「動作検証に時間がかかる」「社内のアプリが動かなくなるのが怖い」といったものですが、
実際にはそれこそが攻撃者にとっての“ゴールデンウィーク”になります。

攻撃者は、Patch Tuesdayの更新内容が公開されたその日の夜から、
修正対象のバイナリを解析して**「未更新端末専用のエクスプロイト」を作り始める**のです。

つまり、パッチ公開＝攻撃マニュアルが公開された瞬間でもあります。
更新を1週間遅らせるだけで、世界中の攻撃者が“その穴”を突く準備を完了させているのです。

特に学校や地方自治体など、運用予算や人材が限られている環境では、
パッチ適用の遅延がそのまま組織全体の危険度に直結します。
こうした現場では、WSUSやIntuneの自動配信を止めず、
“テスト後すぐ反映”を徹底する運用文化の確立が鍵になります。

企業内システム管理者にとっての「更新の優先順位」

セキュリティパッチは毎月大量に配信されますが、現実には「すべてを即日適用」は難しい。
そこでSOCRadarは今回、企業向けに「優先順位を3段階で整理」する指針を提示しています。

【優先度A：即時適用（24時間以内）】
・CVE-2025-24990（Agereモデムドライバ）
・CVE-2025-59230（RASMAN）
・CVE-2025-59287（WSUS RCE）
・CVE-2025-59246／59218（Azure Entra ID）
・CVE-2025-49708（Windows Graphics）

これらはすでに実際の攻撃で悪用された、もしくは「ワーム化の恐れ」がある脆弱性群です。
遅延は許されません。

【優先度B：72時間以内に展開】
・CVE-2025-24052（Agere公開ゼロデイ）
・CVE-2025-2884（TPM 2.0情報漏えい）
・CVE-2025-59271（Redis Enterprise EoP）
・CVE-2025-59236（Excel RCE）
・CVE-2025-59234（Office RCE）

主に社内ユーザーの操作を前提とする脆弱性ですが、
放置するとランサムウェア連鎖攻撃に組み込まれる危険があります。

【優先度C：週内適用でOK】
・M365 Copilot関連のSpoofing（なりすまし）脆弱性
・Windows USB Video Class情報漏えい（CVE-2025-55676）

これらは現時点で悪用の兆候はありませんが、将来的にフィッシング詐欺や
偽AIツール配布に転用されるリスクが指摘されています。

Copilot関連の脆弱性が意味する“AI時代の新しい攻撃面”

今回のパッチの中でも特異なのが、M365 CopilotおよびMicrosoft Copilot関連のSpoofing（なりすまし）脆弱性です。
CVE-2025-59252／59272／59286の3件はいずれもCVSSスコア6.5と数値上は中程度ですが、
AIを介してユーザーと対話する新しい層のセキュリティリスクを象徴しています。

これらの脆弱性は、Copilotがユーザー入力を不正に解釈することで、
悪意あるスクリプトや偽コンテンツを「正当なAI応答」として提示してしまう可能性があります。

要するに、攻撃者が“AIの口を使って”フィッシングやマルウェア誘導を行うという新しい手口です。
Microsoftは即座に修正を行いましたが、専門家は「今後のAIツールでは、コードよりも“文脈”が攻撃対象になる」と指摘しています。

セキュリティはコードベースから**コンテキストベース（文脈防御）**へ――。
この流れを象徴するアップデートといえるでしょう。

クラウド関連の脆弱性：Azure EntraとPlayFabに警戒を

Azure利用企業にとって、今回の更新は非常に重要です。
CVE-2025-59246および59218のEntra ID権限昇格脆弱性は、
**テナント全体の認証を乗っ取る可能性がある“IDレベルのゼロトラスト崩壊”**につながります。

また、CVE-2025-59247のAzure PlayFab脆弱性も要注意。
PlayFabは多くのオンラインゲームやアプリのバックエンドに利用されていますが、
この欠陥を突かれると、ユーザーのアカウント認証トークンが外部に漏れる恐れがあります。

つまり、Azureはもちろん、エンタメ系クラウドアプリ全体が影響を受ける可能性があるのです。
Microsoftも公式ブログで「クラウド環境では即日再起動を伴う更新を推奨」と記載しており、
この分野の深刻度の高さを物語っています。

SOCRadarが示す「ゼロデイ分析の新指標」

SOCRadarは今回の分析で、独自の「Vulnerability Intelligenceスコア」を公表しています。
これは、**公表直後から攻撃が始まるまでの平均時間（TTW: Time To Weaponization）**を指標化したものです。

2025年上半期の平均TTWは 6.2日。
つまり、ゼロデイが公開されてから1週間以内に攻撃ツールが出回るという意味です。

SOCRadarはこの数値をもとに、企業に次の指針を提案しています。

• パッチを「適用する」ではなく「72時間以内に全社配布を完了する」ことを前提に計画を立てる。
  
  
• 攻撃トレンドをリアルタイムで監視し、PoC公開を検知した時点で緊急パッチ扱いに切り替える。
  
  
• SOCRadarのASM（Attack Surface Management）モジュールなどを使い、自社環境の露出範囲を可視化する。
  
  

これにより、パッチ管理と脆弱性監視を**“静的”から“動的”**に変えることができます。

セキュリティ部門の現実：人手不足と更新疲労

現場では「パッチ疲れ（Patch Fatigue）」という言葉が広がっています。
月ごとに数百件の脆弱性が報告され、対応する人員も時間も足りないという嘆きです。
特にクラウド＋オンプレ＋モバイルの混在環境では、更新テストだけで1週間を要するケースも珍しくありません。

その一方で、攻撃者はAIによる自動スキャンを導入し、脆弱性検出から攻撃展開までを自動化しています。
人間の遅延こそが、最大の攻撃機会。

SOCRadarは「更新プロセスを人間中心ではなく“システム中心”に切り替えることが、
今後のセキュリティ運用の分かれ目」と分析しています。
つまり、自動更新を恐れず、失敗よりも放置を恐れよということです。

Windows 10最後のアップデートが意味するもの

2025年10月14日をもって、Windows 10はついに「通常サポートの幕を閉じ」ました。
このPatch Tuesdayが、無料で配布される最後の更新です。

企業ユーザーはESU（Extended Security Updates）を契約することで
2028年まで最低限の脆弱性修正を受け取ることができますが、
個人ユーザーにはそれが提供されません。

つまり、今後Windows 10を使い続ける個人利用者は、無防備な環境でネットに接続するリスクを抱えることになります。

セキュリティ専門家は口を揃えてこう言います。

「“まだ動く”は“もう危険”と同義。
更新しないWindows 10は、サポートを外れた瞬間から“標的OS”になる。」

まとめ：175件の脆弱性より怖いのは“更新を後回しにする文化”

今回のPatch Tuesdayが教えてくれたのは、
脆弱性そのものよりも、それを放置する組織文化が最大のリスクであるという現実です。

セキュリティとは「アップデートをクリックする勇気」であり、
それを72時間以内に実行するチームワークです。

ゼロデイは待ってくれない。
だからこそ、今日・今この瞬間に更新ボタンを押すことが、最も有効な防御になります。

Microsoftは言います。

「Patch Tuesdayは“防御の日”であり、行動のきっかけの日である。」

もしあなたがまだ更新をしていないなら、
それは攻撃者に“あなたの番です”と告げているのと同じかもしれません。

💬コメント欄：あなたの組織の対応は？

• 「ESUを契約したけど、更新配信の仕組みがまだ整ってない」
  
  
• 「Azureとオンプレの両方にパッチ当てた。久々に夜通し作業」
  
  
• 「Copilot脆弱性が出て、AIセキュリティの重要性を再認識した」
  
  
• 「うちは更新自動化済み。手動対応ゼロを目指してます」
  
  

今月の更新、あなたはどう動いた？
コメント欄でぜひ教えてください。

Patch Tuesdayは終わっても、セキュリティは終わらない。
それが、2025年の“新しい常識”です。