ここでは2025年2月に発表されたマイクロソフトの月例セキュリティ更新プログラムについて解説します。
管理者やIT担当者にとって重要な背景や、今すぐ着手すべき具体的な対策をわかりやすくまとめてますので、最後までご覧くださいね。
今回の更新はすでに一部が悪用されている脆弱性への対応も含まれており、迅速な対応が推奨されますので、サクッと見ていきましょう。
なぜ今月のアップデートが重要なのか
2025年2月11日(米国時間)、マイクロソフト製品に影響を及ぼす深刻な脆弱性が公表されました。
これらの脆弱性を突かれると、リモートで不正コードが実行されるなど重大なリスクが生じる可能性があるので、結構怖いです。
自動更新が有効の場合でも一部例外を除き、最新の状態を確認することでトラブルを最小限に抑えられますので、ぜひやっておきましょう。
セキュリティ更新の概要と対象製品
今回の月例更新でセキュリティ修正が行われた主な製品・コンポーネントは下記のとおりです。
Windows OSシリーズをはじめとして、Microsoft Office、Azure、Visual Studioなど幅広く含まれます。
- Windows 11 (v24H2, v23H2, v22H2)
- Windows 10 (v22H2)
- Windows Server 2025、Windows Server 2022/23H2、Windows Server 2019、Windows Server 2016
- Microsoft Office / SharePoint
- Microsoft Visual Studio
- Microsoft Azure
- Microsoft Surface など
特にリモートコード実行やセキュリティ機能のバイパスなど深刻度の高い脆弱性が含まれているため、早急な対応が求められます。
悪用が確認された脆弱性と更新内容
今月の修正には、すでに一部で悪用が確認されている脆弱性への対応が含まれています。
早期適用を怠ると、システムの不正アクセスや情報流出につながるおそれがあるため要注意だ。
主要な脆弱性例
- CVE-2025-21377(NTLMハッシュ開示スプーフィング)
- CVE-2025-21194(Microsoft Surfaceのセキュリティ機能バイパス)
- CVE-2025-21418(WinSockドライバの特権昇格)
- CVE-2025-21391(Windowsストレージの特権昇格)
これらはすでに技術的詳細が公開されている場合があり、攻撃者に悪用されるリスクが高い。
既存脆弱性のアップデート
- CVE-2023-24932(セキュアブートのセキュリティ機能バイパス)
- CVE-2025-21176, CVE-2025-21178, CVE-2025-21172(.NET、.NET Framework、Visual Studio関連のリモートコード実行)
特にVisual Studio 2015 Update 3も影響を受ける点が追加されています。
今まで対象外だと思っていた場合でも、今回の更新によって再度確認が必要です。
新たに追加されたマルウェア削除対応と「悪意のあるソフトウェアの削除ツール」
今月の悪意のあるソフトウェアの削除ツールには、新規マルウェアが追加されています。
定期的に実行することで、既知・新規を含めた悪意のあるソフトウェアの駆除に役立つので、リスクを低減させるためにも最新の削除ツールを活用することをオススメします。
今すぐ行うべき対策のステップ
早急なアップデートの適用が最優先だが、システム管理者や個人ユーザーが取り組む際には下記を参考にすると効率的ですよ。
- 現在のWindows Update設定を確認し、自動更新が有効かどうかを確かめる
- 月例セキュリティ更新プログラムを手動で適用し、更新が完了しているかを検証する
- 再起動が必要な更新の場合は早めにスケジュールを組む
- Visual Studioなど開発環境も含め、最新アップデートを適用する
- セキュリティ更新プログラムガイドやリリースノートに目を通し、既知の問題を事前に把握する
更新後は、念のためイベントログや動作確認を行い、トラブルがないかチェックすると安心です。
カスタムレポートやSSU更新の活用
マイクロソフトはセキュリティ更新プログラム ガイドAPIを公開しています。
大規模組織などでは、独自のレポートを自動生成し、脆弱性対応の進捗を可視化できます。
また、サービススタック更新プログラム(SSU)の最新版を把握することは、円滑な更新の鍵となるので要チェック!
「ADV990001」ではSSUの詳細が更新されているため、これを参照して最新の状態を保つことが重要です。
よくある質問(FAQ)
自動更新が有効でも手動で確認したほうがいい?
自動更新で問題ないケースもあるが、組織によっては更新が停止されていたり、ポリシーで制限されている場合もあります。
あなたの環境次第なので、ケースバイケースですが。
手動で「更新の確認」を行うと安心ですよ。
適用後に不具合が出たときはどう対処すればいい?
公開されているリリースノートや各サポート技術情報の「既知の問題」セクションをチェックしましょう。
そこで提案されているワークアラウンドを試すと解決できる場合が多いですよ。
Visual Studio 2015 Update 3を使っているが今すぐアップデートすべき?
影響を受けるので早期アップデートがおすすめです。
自動更新を受信する設定でも、念のため手動で確認すると確実です。
悪意のあるソフトウェアの削除ツールはどれくらいの頻度で実行する?
月例更新時には必ず実行されるが、定期的に手動実行するのも有効です。
万一感染が疑われる場合は早めに実行したほうがいいです。
通知方法と次回リリース予定
マイクロソフトはセキュリティ更新情報をよりタイムリーに受け取れるよう通知方法をリニューアルしています。
下記のいずれかを利用して新しい情報をゲットできるようにしておくと便利です。
- セキュリティ更新プログラム ガイドでプロファイルを作成し、対象製品の更新情報を受け取る
- RSSフィードを購読して新しいアップデートを自動取得する
次回のセキュリティ更新プログラムは2025年3月11日(米国時間)を予定とのこと。
今後も最新の情報を追跡し、脆弱性への対応を怠らないようにしてください。
まとめと今後のアクション
今回の2025年2月月例セキュリティ更新は、多数の深刻な脆弱性を修正しています。
すでに悪用が確認されているケースもあるため、今すぐアップデートを適用することが最優先事項です。
更新後の動作チェックやマルウェア削除ツールの活用も含め、慎重かつ早急な対応がリスク回避につながります。
継続的に最新情報を追跡し、月例更新や追加の緊急パッチが出た際には速やかに対応しましょう。
セキュリティを強化する取り組みを続ければ、自社や自身の環境を守る大きな一歩となる。
コメント