https://error-daizenn.hatenablog.com/entry/2025/11/05/192924

2025年11月4日公開

Windows Server 2025 環境で、**再起動不要のHotpatch（ホットパッチ）**を使っていた管理者に、思わぬトラブルが発生しています。
Microsoftが10月下旬に配信したWSUSのセキュリティ修正（KB5070881）が、
Hotpatchプログラムに登録済みのサーバーで再起動不要の更新機能を無効化してしまうというバグを引き起こしました。

■ 問題の概要 ― WSUSの脆弱性修正が“Hotpatch”を壊した

今回の問題の発端は、Windows Server Update Services（WSUS）の深刻な脆弱性です。
この脆弱性（CVE-2025-59287）は、悪意あるリクエストを通じて**リモートコード実行（RCE）**が可能になるという、企業環境において非常に危険なもの。

Microsoftはこの脆弱性を修正するため、10月に緊急のOut-of-Band（OOB）アップデート：KB5070881を配信しました。

ところが、この修正をインストールした一部のサーバーで、Hotpatch機能が突然動作しなくなるという予期せぬ副作用が確認されました。

「Hotpatch登録済みのごく一部のマシンにKB5070881が誤配信されました。現在はHotpatch対象外のマシンのみに配信しています。」
（Microsoft公式コメントより）

つまり、脆弱性を塞ぐための修正パッチが、逆に再起動不要更新の仕組みを壊してしまったのです。

■ どんな環境が影響を受けるのか？

影響範囲は次の条件に該当するサーバーです。

Windows Server 2025 を実行中
Hotpatchプログラムに登録済み（Azure Arc経由を含む）
KB5070881をインストール済み

これらの環境では、Hotpatch登録状態が失われ、以降の月例Hotpatch（11月・12月分）が配信されなくなります。
結果として、管理者は再起動が必要な通常の累積アップデートを利用せざるを得ません。

Microsoftによると、この問題は2026年1月に予定されている**Baseline Update（ベースライン更新）**を適用することで自動的に修復されるとのことですが、
それまではHotpatch機能を一時的に使用できません。

■ Hotpatchとは？（おさらい）

Hotpatch（ホットパッチ）は、Windows Server 2022以降で導入された「再起動不要の更新技術」。
カーネルやシステムライブラリのコードをライブで書き換えることで、サーバーを停止せずにセキュリティ更新を適用できます。

特に24時間稼働のサーバー環境やAzure仮想マシンで重宝されており、
「再起動＝ダウンタイム」を嫌う金融・医療・クラウド事業者にとって、まさに救世主のような機能でした。

そのHotpatchが止まるというのは、システム管理者にとって致命的な影響となります。

■ Microsoftが修正版KB5070893を緊急配布

この問題を受けて、Microsoftは即座に修正版パッチ KB5070893 を公開しました。
こちらは、CVE-2025-59287の脆弱性を修正しながら、Hotpatch機能を維持できる安全なバージョンです。

対応方法（公式推奨）

KB5070881をまだダウンロードしただけで未インストールの場合：
　Windows Updateを再スキャンし、KB5070893を自動取得する。
すでにKB5070881をインストールしてしまった場合：
　再起動後、標準累積更新プログラムを適用して維持。
　Hotpatchは2026年1月のBaseline Updateで自動的に復帰します。

Microsoftは、管理者に対して次のように案内しています。

「KB5070893を適用したサーバーは、11月および12月のHotpatch更新を引き続き受信します。」
（Microsoft公式サポートページより）

■ WSUS脆弱性（CVE-2025-59287）の技術的内容

WSUSは、Windows Updateの社内配信を管理するためのシステムですが、
今回のCVE-2025-59287は、そのリクエスト検証ロジックの欠陥を突くものでした。

攻撃者が特定のHTTPリクエストを細工することで、
認証をバイパスして任意のコードを実行できる可能性があったとされています。

この脆弱性はすでに「限定的ながら実際の攻撃に利用された」とMicrosoftが認めており、
特にオンプレミスのサーバー環境でリスクが高いものでした。

そのため、セキュリティ観点ではKB5070881は緊急対応が必要でしたが、
結果としてHotpatchユーザーには別の影響を与える“副作用パッチ”となってしまったわけです。

■ 企業環境への影響 ―「再起動なし」が消えた2か月

この不具合の本質的な問題は、「Hotpatch登録が解除される」という仕様です。
登録が外れることで、11月・12月のHotpatchが届かず、再起動を伴う通常更新に戻ってしまいます。

このため、可用性（Availability）を重視する企業では次のような運用上の影響が出る可能性があります。

システム再起動を伴うメンテナンス時間が発生
クラスターノードの順次更新（ローリングアップデート）が必要
Azure VM環境では一時的に“予定外の停止”が発生する可能性

MicrosoftはHotpatch登録の自動再加入を検討中ですが、2025年11月時点ではまだ提供されていません。

■ KB5070893で追加修正されたその他の要素

Hotpatch関連の修正以外にも、KB5070893では以下の更新が含まれています。

WSUS同期エラーレポートの内容を非表示化（セキュリティ強化の一環）
Windows 11のタスクマネージャーのクラッシュ修正
Media Creation Toolの動作安定化
Windows 11 24H2のアップデートエラー（0x80070002）修正

これらはサーバー管理者だけでなく、一般ユーザーにも恩恵のある修正です。

■ まとめ ― Microsoftの“修正が修正を壊す”構造的問題

・問題の原因： WSUS脆弱性（CVE-2025-59287）修正パッチKB5070881がHotpatch登録を解除
・影響範囲： Windows Server 2025／Hotpatchプログラム登録済みサーバー
・症状： 11月・12月のHotpatchが届かず、再起動が必要な通常アップデートのみになる
・対処法： KB5070893を適用するか、2026年1月Baseline Updateを待つ

コメント欄（フォーラム風）

管理者A：
WSUSの修正でHotpatch壊れるとか、本末転倒。夜間メンテ増えるじゃないか。

クラウドエンジニアB：
Azure VM全部再起動する羽目に。Hotpatchの意味が消えた2か月。

ITコンサルC：
でもCVE-2025-59287自体はかなり危険だったから仕方ない部分もあるね。

サーバー運用担当D：
修正版（KB5070893）はちゃんとHotpatch維持できてた。少し安心。

■ さらに詳しく：Hotpatchの“登録喪失”がもたらす影響の深刻さ

Hotpatch（ホットパッチ）とは、Windows Server 2022以降に導入された「再起動を必要としない更新技術」であり、クラウドやデータセンター運用では極めて重要な機能です。
しかし今回のWSUS修正バグで発生したのは、単に「一時的に更新が止まる」というレベルの問題ではありません。
実際には Hotpatchプログラムの登録そのものが解除されてしまう という、構造的なトラブルでした。

登録が失われた状態では、Windows UpdateのバックエンドがHotpatchサイクルを「対象外」と認識してしまうため、次の2か月間（2025年11月・12月）はHotpatchの適用が完全に停止します。
つまり、サーバーを止めずに更新できるという最大のメリットが2か月間失われるのです。

企業によっては、夜間でもシステム停止が許されない24時間稼働の基幹サーバー（金融、通信、病院など）が存在します。
そのため、「Hotpatchが使えない＝再起動ができないため更新を延期せざるを得ない」という事態が起き、結果としてセキュリティリスクが逆に高まるという矛盾を生みました。

Microsoft公式見解
「Hotpatch登録が解除された環境でも、セキュリティ更新は従来通り適用可能です。
ただし再起動が必要な累積更新（Cumulative Update）を使用する必要があります。」

言い換えれば、「サーバーは守れるが止まる」という状態。
クラウド時代の“止めない運用”を掲げていたMicrosoftにとっても痛恨のミスといえます。

■ どうしてHotpatch機能が壊れたのか？技術的背景を整理

今回の不具合を理解するには、Hotpatchの仕組みを少しだけ掘り下げる必要があります。
Hotpatchは、Windows Serverのカーネルメモリ空間をライブで書き換えるという極めて繊細な技術です。
通常の更新では「再起動＝メモリ初期化」を伴いますが、Hotpatchでは稼働中のプロセスを停止させずに差し替え処理を行うため、内部的に複雑な署名・整合性チェックが行われています。

WSUSの修正パッチ（KB5070881）は、本来このメカニズムには関与しないはずでした。
しかし、同パッチがWSUSの通信認証プロトコル（HTTPリクエスト検証ロジック）を強化する過程で、Hotpatch登録を制御している構成フラグの検証部分が誤って上書きされてしまったのです。

つまり、セキュリティ強化のための修正が、結果的にHotpatchの署名検証を「無効」と判定してしまい、登録が解除される形になりました。
この状態では、サーバーが自動的に「非Hotpatch対象マシン」とみなされ、Hotpatch配信サイクルから除外されてしまいます。

Microsoft内部の技術チームはこの問題を再現したうえで、修正版KB5070893にてWSUS認証ロジックを再構築。
Hotpatchプログラムを再認識できるようにしたことで、ようやく問題が解消されました。

■ システム管理者が今取るべき3つのステップ

(1) 適用済み更新の確認

PowerShellで以下のコマンドを実行し、KB5070881がインストールされているか確認します。

Get-HotFix | Where-Object {$_.HotFixID -eq "KB5070881"}

表示された場合は、Hotpatch登録が解除されている可能性があります。
KB5070893がインストールされていれば、問題は解決済みです。

Get-HotFix | Where-Object {$_.HotFixID -eq "KB5070893"}

(2) 修正版アップデートの入手と適用

KB5070881を削除する必要はありません。
Microsoft Update CatalogからKB5070893を直接ダウンロードしてインストールすることで上書き可能です。

ダウンロードページ：
https://www.catalog.update.microsoft.com/Search.aspx?q=KB5070893

(3) Hotpatch登録状態の確認（Azure環境）

Azure PortalまたはPowerShellで以下を実行して確認します。

Get-AzVm -ResourceGroup <GroupName> -Name <VMName> | Select -ExpandProperty PatchStatus

“HotpatchEnabled : True” となっていれば、正常に登録が維持されています。
もしFalseのままなら、2026年1月のBaseline Update適用を待つ必要があります。

■ 現場の混乱：クラウド事業者・企業IT部門の悲鳴

特に被害が大きかったのは、Azure上で数百台単位のWindows Server 2025を運用している企業。
「Hotpatchが突然届かなくなった」という報告が世界中のフォーラムで相次ぎました。

Reddit「r/sysadmin」では、あるユーザーが次のように投稿しています。

「11月に入ってHotpatchが来なくなった。WSUSパッチを入れた後だった。
すぐに累積更新が必要になり、クラスタ全体を再起動する羽目に。」

また、日本の技術コミュニティでも次のような声が上がっています。

「Hotpatch停止で夜間メンテが2倍になった。
うちは24時間稼働システムだから再起動の調整だけで週末が潰れた。」

Microsoftはこの問題を“非常に限定的な範囲”と表現していますが、実際の影響は予想以上に広範囲。
特にHotpatchプログラムを利用していたAzure Virtual Machine環境では、再起動が自動化されていなかったケースもあり、運用コスト増大につながりました。

■ WSUS脆弱性CVE-2025-59287の危険度を再評価

なお、今回の混乱の発端となったWSUSの脆弱性（CVE-2025-59287）は、攻撃成功時に完全な管理者権限を奪われる可能性があるほど深刻なものでした。

攻撃者は、特定のHTTPリクエストをWSUSサーバーに送信し、署名検証をバイパスして任意コードを実行できる可能性がありました。
これにより、悪意あるコードを配信して社内全体のクライアントを感染させることも理論上可能です。

このリスクを考えると、Microsoftが“Hotpatchが壊れる可能性を承知で即日修正を配信した”背景も理解できます。
結果的にHotpatch環境が犠牲となりましたが、セキュリティ優先の判断は妥当だったともいえます。

■ 修正版KB5070893の新要素：見えない改良

修正版KB5070893では、単なるHotpatch再有効化だけでなく、内部的に次の変更が行われています。

WSUS同期エラーログの出力制御：攻撃者が内部構成情報を読み取れないよう、エラーメッセージを匿名化。
Azure Hotpatch APIの検証強化：登録状態を定期チェックするサーバー側のスクリプトを追加。
Telemetry（診断情報）の改善：Hotpatch再登録失敗時に自動的にMicrosoftに送信。

さらに、Windows 11関連の周辺修正（タスクマネージャーやMedia Creation Toolの安定性向上）も統合されており、運用面での完成度は高いアップデートとなっています。

■ エンジニアコミュニティの反応

システム管理者（米国）
「Hotpatchが止まったときの沈黙は恐怖だった。でもMicrosoftが1週間で修正版を出したのは早かった方。」

セキュリティエンジニア（日本）
「再起動不要という概念は便利だが、こうした脆弱性修正では逆に足かせになることもある。
今回の件はHotpatch技術の限界を浮き彫りにした。」

クラウド運用担当（EU）
「修正版を手動で展開するのが一番大変だった。Azure Update Managerが自動判別してくれたら楽だったのに。」

■ 今後の教訓 ― 再起動を“ゼロ”にするための条件

今回のトラブルから見えてきたのは、「セキュリティと無停止運用の両立はまだ難しい」という現実です。

Hotpatchは完璧ではありません。
更新の根幹となるWSUSやWindows Update自体が破損すれば、どんなに緻密な設計でも再起動を回避することはできません。

Microsoftは今後、Hotpatchをより堅牢化するため、AIベースの更新監視と自動ロールバック機能を追加予定としています。
将来的には、バグを検出した瞬間に「影響を受けるサーバーをHotpatch配信リストから自動除外」する仕組みも検討中とのこと。

この進化が実現すれば、今回のような“修正が別の修正を壊す”構造的問題も減るはずです。

■ 最後に ― 運用者の冷静な判断がシステムを守る

KB5070893によって事態は沈静化しましたが、今回の件は“更新管理”の難しさを改めて突きつける出来事でした。

・脆弱性を放置すれば攻撃リスク
・修正を急げば安定性リスク

その狭間で最適な判断を下さなければならないのが、システム管理者です。
重要なのは「常にアップデートの内容を理解し、テスト環境で検証してから本番に適用する」こと。

MicrosoftのHotpatchは確かに画期的ですが、万能ではない。
だからこそ、アップデートを“盲目的に信じる”のではなく、“理解して制御する”姿勢が求められています。

2026年1月のBaseline Updateが配信されれば、Hotpatchは再び完全に復活します。
それまでの2か月は、セキュリティと稼働率のバランスを取りながら、慎重な運用を続けるのが最善策です。

まとめ：

KB5070881はWSUS脆弱性CVE-2025-59287を修正するが、Hotpatch登録を解除する不具合あり。
影響はWindows Server 2025のHotpatch登録済みマシンに限定。
修正版KB5070893で問題は解消。11月・12月のHotpatchが継続可能に。
すでにKB5070881を適用した場合でも、2026年1月Baseline Updateで自動復帰。
今後は「セキュリティ修正×可用性維持」の両立がMicrosoftの課題に。

この一件は、たった一つの更新が巨大なサーバー群を止めかねないという事実を再確認させました。
それでも、修正版の迅速な提供とHotpatch技術の成熟が、次の時代の信頼性につながる第一歩になるはずです。