Microsoft の月次セキュリティアップデートサイクルは今週、特定のデバイスに影響を与える未公開の互換性問題により、同社が6月の Patch Tuesday リリースを延期せざるを得なくなったことで、前例のない障害に見舞われました。これは、新たな脅威からユーザーを保護するためにセキュリティ修正を迅速に展開するという Microsoft の典型的なアプローチからの稀な逸脱を示しています。
重要なセキュリティ修正が保留に
延期されたアップデート KB5060842 は、 Windows および Microsoft システム全体で66のセキュリティ脆弱性に対処することを意図していました。これらの修正の中には、特に懸念される2つのゼロデイ脆弱性が含まれており、1つは実際に悪用されており、もう1つは公開されています。実際に悪用されている脆弱性は CVE-2025-33053 として追跡されており、 Microsoft Windows Web Distributed Authoring and Versioning におけるリモートコード実行脆弱性で、ユーザーが特別に細工された WebDav URL をクリックした際に攻撃者が悪意のあるコードを実行することを可能にする可能性があります。
2025年6月 Patch Tuesday 統計:
- 対処された脆弱性の総数: 66件
- 重要度が緊急のバグ: 10件
- ゼロデイ脆弱性: 2件(1件は積極的に悪用済み、1件は公開済み)
- リモートコード実行の欠陥: 25件(8件が緊急)
- 権限昇格の欠陥: 13件(2件が緊急)
- 情報漏洩の欠陥: 17件
- サービス拒否攻撃の欠陥: 6件
- セキュリティ機能回避の欠陥: 3件
- なりすましの欠陥: 2件
前例のない延期が懸念を引き起こす
セキュリティ専門家は、 Microsoft がこのような方法で Windows セキュリティアップデートの配布を制限したことは過去にないと指摘しています。同社は通常、既知の悪用や脆弱性からユーザーを保護するために、これらのパッチの即座の展開を優先しています。 Microsoft サポート担当者は互換性問題を確認しましたが、詳細は限定的で、少数のデバイスが影響を受けており、修正されたアップデートが近い将来にリリースされると述べるにとどまりました。
影響を受けるシステムの範囲は不明のまま
互換性問題の具体的な性質と、どのデバイスモデルが影響を受けているかは不明のままです。 Microsoft の曖昧なコミュニケーションにより、IT管理者とユーザーは自分たちのシステムが問題を経験しているデバイスの中に含まれているかどうか確信が持てない状況にあります。同社は Windows 11 バージョン 24H2 を実行するデバイスにアップデートが段階的に展開されていることを示しており、通常よりも慎重な展開戦略を示唆しています。
影響を受ける Microsoft 製品:
- Windows 11 バージョン 24H2
- Microsoft Office ( Excel 、 SharePoint )
- Power Automate
- Windows 暗号化サービス
- Windows KDC プロキシサービス
- Windows Netlogon
- Windows リモートデスクトップサービス
より広範なセキュリティへの影響
ゼロデイ脆弱性を超えて、延期されたパッチは10の重要度の高いバグに対処しており、その中には Excel や SharePoint などの Microsoft Office アプリケーションに影響する5つが含まれています。残りの重要な問題は Power Automate 、 Windows Cryptographic Services 、 Windows KDC Proxy Service 、 Windows Netlogon 、および Windows Remote Desktop Services にわたって広がっています。2つ目のゼロデイ脆弱性 CVE-2025-33073 は、攻撃者が悪意のあるスクリプトを通じてシステムレベルのアクセスを獲得することを可能にする可能性がある Windows SMB 特権昇格の欠陥に関わっています。
主要なゼロデイ脆弱性:
- CVE-2025-33053: Windows Web Distributed Authoring and Versioning におけるリモートコード実行の脆弱性( Stealth Falcon グループによって積極的に悪用されている)
- CVE-2025-33073: 悪意のあるスクリプトを通じて SYSTEM 特権を許可する Windows SMB 特権昇格脆弱性
ユーザーが期待すべきこと
Microsoft は、影響を受けるデバイスを持つユーザーが、2025年6月のセキュリティ改善をすべて含む修正版のアップデートを受け取ることを保証しています。同社は、文書化されたセキュリティ脅威からユーザーを保護する緊急の必要性とのバランスを取りながら、互換性問題の解決に取り組み続けています。ほとんどのユーザーにとって、 Windows アップデートは自動的にインストールされますが、利用可能になった最新のパッチが確実に適用されるよう、 Windows Update 設定を通じて手動チェックを実行することができます。