2025年9月のMicrosoft月例セキュリティ更新(Patch Tuesday)では、80件以上の脆弱性 が修正されました。そのうち 8件はCritical、さらに 2件のゼロデイ脆弱性 が含まれています。いずれも企業にとって看過できない内容であり、早急な対応が求められます。
Security Update Guide - Microsoft Security Response Center
msrc.microsoft.com
ゼロデイ脆弱性の概要
今回特に深刻とされるのは、SharePointサーバーに関する脆弱性 です。
- すでに攻撃に利用されていることが確認済み。
- 社内ポータルや業務アプリの基盤をSharePointに依存する企業は影響が大きい。
- 認証回避や権限昇格から情報流出に直結する可能性がある。
さらにWindows OSコンポーネントのゼロデイも含まれ、リモートコード実行(RCE)のリスクが指摘されています。
Criticalマターの焦点
Criticalランクで特に注視すべきは以下の2点です。
- Windows OS カーネル/ネットワークスタックのRCE脆弱性
- リモートから任意コード実行を許す可能性あり。
- インターネット接続端末やリモートワーク環境では即リスク化。
- SharePoint関連脆弱性(ゼロデイ含む)
- 社内システムの基盤に利用されるケースが多く、被害が広がりやすい。
企業への実務的影響
パッチ未適用状態は攻撃対象になりやすい。
ただし更新適用は互換性リスクを伴うため、検証と段階的展開 が必須。
中小企業では検証環境がないことも多く、リスクと業務継続のバランスを取る判断が重要。
優先度と対応策
ゼロデイ対象のパッチ適用を最優先
- SharePointやOSの該当部分を即時更新。
Criticalランクを段階展開
- WSUS/Intune/SCCM利用時はテストグループを経由しつつ全社展開。
再起動の徹底
- 適用後の再起動が行われなければ脆弱性は残存。
- 夜間や休日に計画を組み、確実に再起動まで完了させる。
まとめ
2025年9月のPatch Tuesdayは、通常の大量修正の中に ゼロデイとCriticalが複数混在 する、非常にリスクの高い内容でした。
- ゼロデイ(SharePoint/Windows OS) → 今すぐ対応
- Critical(OSカーネルRCEなど) → 検証後ただちに展開
毎月の更新は「単なるルーチン」ではなく、攻撃者に先んじる防御策 です。特に今月は迅速な対応が被害防止の分かれ目となるでしょう。
