Microsoft の最新の Patch Tuesday リリースでは、サイバーセキュリティの専門家が異例と表現するほど多くのセキュリティ脆弱性に対応しています。2025年3月のアップデートでは合計67の脆弱性に対処しており、その中には攻撃者によってすでに積極的に悪用されている6つのゼロデイ脆弱性が含まれているため、セキュリティ機関から緊急警告が発せられています。
重大なセキュリティ状況
2025年3月の Patch Tuesday について、 Trend Micro の Zero Day Initiative は積極的に悪用されているバグの数が異例に多いと述べています。このアップデートでは合計67の CVE(共通脆弱性識別子)に対応しており、そのうち56は Windows 、 Office 、 Azure 、 .NET 、 Visual Studio 、 Remote Desktop Services 、 DNS Server 、および Hyper-V Server を含む Microsoft 自社製品に関するものです。残りの脆弱性はサードパーティコンポーネントに関連しています。米国サイバー防衛機関は厳しい警告を発し、潜在的な攻撃を避けるため、ユーザーに4月1日までにPCをアップデートするか、完全に電源を切ることを勧告しています。
2025年3月の Patch Tuesday の脆弱性
- 全CVE数:67
- Microsoft 製品のCVE:56
- ゼロデイ脆弱性:7
- 積極的に悪用されているゼロデイ:6
- 重大な脆弱性:6
修正された脆弱性の種類
- 権限昇格の欠陥:23
- リモートコード実行の欠陥:23
- セキュリティ機能バイパスの欠陥:3
- 情報漏洩の欠陥:4
- サービス拒否の欠陥:1
- なりすましの欠陥:3
Windows 10 のサポート終了タイムライン
- サポート終了日:2025年10月14日
- 現在の Windows 10 の市場シェア:60%以下
- 現在の Windows 11 の市場シェア:40%に接近中
- 月間移行率:インストールベースの約2%
攻撃下にあるゼロデイ脆弱性
特に懸念されるのは、このアップデートに含まれる7つのゼロデイ脆弱性で、そのうち6つはすでに攻撃者によって積極的に悪用されています。これには、攻撃者がユーザーに悪意のある VHD ファイルをマウントさせる2つのリモートコード実行脆弱性(CVE-2025-24985と CVE-2025-24993)、データ窃取につながる可能性がある Windows NTFS の2つの情報漏洩脆弱性、 Windows Win32 カーネルサブシステムの特権昇格の欠陥、および Microsoft Management Console のセキュリティ機能バイパス脆弱性が含まれます。まだ悪用されていない7つ目のゼロデイは、ユーザーが悪意のあるファイルを開いた際に Microsoft Office Access でリモートコード実行を可能にします。
Windows 10 サポート終了の懸念
このアップデートは、 Windows 10 が2025年10月14日にサポート終了を迎えることもあり、さらに重要性を増しています。現在約8億人のユーザーが依然として Windows 10 を使用しており、そのうち推定2億4000万人が Windows 11 にアップグレードできないデバイスを使用しています。これらのユーザーは今後数ヶ月の間に重要な決断を迫られています:Windows 11 と互換性のある新しいハードウェアを購入するか、延長セキュリティアップデートに対価を支払うか、あるいは将来の攻撃に対して脆弱なサポートされていないオペレーティングシステムを使用するリスクを負うかです。
Windows 11 への移行進捗状況
最近のデータによると、 Windows 10 の市場シェアは初めて60%を下回り、 Windows 11 は40%に近づいています。移行は毎月インストールベースの約2%の速度で加速しているようです。 Microsoft は、 Windows 11 へのアップグレードは技術要件を満たす完全にライセンスされた Windows 10 マシンでのみ利用可能であることを強調しており、アップデート時に迫りくるサポート終了について目立つ警告の表示を開始しています。
システムを保護する方法
Microsoft はほとんどのユーザーにセキュリティアップデートを自動的に配信していますが、システムが最新の状態であることを確認することが重要です。ユーザーはスタート > 設定 > Windows Update に移動し、「Windows 更新プログラムの確認」を選択して確認できます。修正される脆弱性の深刻さを考慮すると、サイバーセキュリティの専門家は潜在的な攻撃から保護するために、これらのアップデートを直ちにインストールすることを強く推奨しています。10月のサポート期限に直面している Windows 10 ユーザーは、セキュリティリスクを避けるために、アップグレードまたはシステムの交換を計画することを優先すべきです。