MicrosoftはWindows 10のサポートを2025年10月14日に終了すると発表し、利用者にはWindows 11への移行やESUプログラム加入を推奨している。同時期に公開された9月の月例更新では、特権昇格やリモートコード実行など深刻な脆弱性が修正された。JPCERT/CCの観測では、中国・韓国製DVR/NVRを悪用した感染拡大が確認され、IoT機器の脆弱性対策の重要性が浮き彫りになった。さらにAdobe Acrobat/Readerの重大脆弱性修正やCISAによるDELMIA Apriso脆弱性の警告も発表され、幅広い製品にリスクが存在することが明らかとなった。

連載のこれまでの回はこちらを参照

9月8日~14日の最新サイバーセキュリティ情報

本稿では9月8日から14日にかけて公表された最新のサイバーセキュリティ情報を整理し、利用者が直面するリスクとその対応策を解説する。Windows 10のサポート終了やMicrosoftの月例更新をはじめ、IoT機器の脆弱性、Adobe製品の重大欠陥、CISAによる既知の悪用脆弱性追加など、広範な分野におよぶ内容を取り上げる。

これらの情報は企業や個人が直面する脅威の深刻さを示すものであり、システム管理者だけでなく一般ユーザーにも直接関わる。サポート終了や更新適用の遅れは攻撃リスクを高めるため、各種情報を踏まえた具体的な行動が不可欠だ。

それでは以降で詳しく見ていこう。

Windows 10、2025年10月14日に正式サポート終了へ

Microsoftは9月12日(米国時間)、Windows 10 version 22H2が2025年10月14日にサポート終了を迎えることをあらためて通知した。同日には、Windows 10 2015 LTSBおよびWindows 10 IoT Enterprise LTSB 2015のサポートも終了する予定だ。これに伴い、10月の月例セキュリティ更新プログラムが最後の提供となり、それ以降は最新の脅威から保護するためのセキュリティ更新やプレビュー更新は受けられなくなる(参考「30-Day Reminder: Windows 10, version 22H2 will reach end of servicing on October 14, 2025 - Windows message center | Microsoft Learn」)。

  • 30-Day Reminder: Windows 10、version 22H2 will reach end of servicing on October 14、2025 - Windows message center|Microsoft Learn

    30-Day Reminder: Windows 10, version 22H2 will reach end of servicing on October 14, 2025 - Windows message center | Microsoft Learn

またMicrosoftは、昨年10月に告知したように、個人のWindows 10 PCでも「Extended Security Updates(ESU)」プログラムに加入できることを強調した(参考「Windows 10を無償で延長する方法 - 拡張セキュリティ更新プログラム(ESU)の登録方法 | TECH+(テックプラス)」)。このプログラムを利用することで、サポート終了後も重要なセキュリティ更新を受け続けることが可能である。法人向けにも同様にESUプログラムが用意されており、詳細は専用のガイドで確認できる。

さらにMicrosoftは、利用者に対して可能な限り最新のWindows 11へのアップデートを推奨している。併せて、Windows 10およびWindows 11のリリース情報、ライフサイクルに関するFAQや検索ツールを利用し、今後のアップデート計画を把握するよう呼びかけている。

ついにWindows 10のサポート終了が目前に迫ってきた。サポートが終了した後もWindows 10を使い続けることはサイバーセキュリティの観点からは推奨できない。依然としてWindows 10を使い続けている場合、今後どのように行動すべきか検討し、期限までに対応することが望まれている。

Microsoft、2025年9月の月例セキュリティ更新を公開 - 深刻度「緊急」含む脆弱性修正

Microsoftは9月9日、同社製品に影響を与える脆弱性を修正するためのセキュリティ更新プログラムを公開した。ほとんどの環境では自動更新が有効となっているが、利用者は速やかに更新を適用することが推奨されている。今月の「悪意のあるソフトウェアの削除ツール」については新規追加はなく、脆弱性情報や更新プログラムの詳細は「セキュリティ更新プログラム ガイド」で確認できる(参考「2025 年 9 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center」)。

  • 2025 年 9 月のセキュリティ更新プログラム (月例)|MSRC Blog|Microsoft Security Response Center

    2025 年 9 月のセキュリティ更新プログラム(月例)| MSRC Blog | Microsoft Security Response Center

今回の更新では、Windows SMBの特権昇格(CVE-2025-55234)、Newtonsoft.Jsonの不適切な例外処理(CVE-2024-21907)など、一般公開済みの脆弱性も修正された。とくにHPC Packにおけるリモートコード実行の脆弱性(CVE-2025-55232)はCVSS基本値9.8と深刻度が高く、認証や操作を必要とせずに悪用可能であるため、組織における早急なリスク評価と更新適用が強く求められる。

また、更新の適用に伴い、Windowsドメインコントローラーでの証明書ベース認証に関する変更(KB5014754)が完全適用モードへ移行し、関連するレジストリキーのサポートが終了する。さらにWindows Server 2025およびWindows 11 v24H2では、KerberosからDES暗号アルゴリズムが削除される。これにより、DESに依存するアプリケーションはより強力な暗号方式へ移行する必要がある。

対象製品はWindows 11、Windows 10、Windows Server各バージョンに加え、Office、SharePoint、SQL Server、Azureなど広範におよぶ。多くはリモートコード実行が可能となる深刻な脆弱性に対応しており、関連するサポート技術情報やWebページも公開されている。既存の脆弱性についてもGitHub Copilot、Active Directory、LDAP、Hyper-Vに関する情報が更新され、特定バージョン向けに追加の更新プログラムが提供された。

今月、新規のセキュリティアドバイザリーは公開されなかったが、サービススタック更新プログラム(ADV990001)が更新された。補足情報として、Microsoft Edgeの更新は月例リリースとは別に提供されていること、セキュリティ更新プログラムガイドAPIを活用したレポート作成の案内、通知方法の刷新などが紹介された。次回のセキュリティ更新プログラムは2025年10月14日に予定されている。

中国・韓国製DVR/NVRに脆弱性、感染拡大に悪用 - JPCERT/CCレポート

JPCERTコーディネーションセンター(JPCERT/CC:Japan Computer Emergency Response Team Coordination Center)は9月11日、2025年4月~6月にかけてのインターネット定点観測レポートを公表した。本レポートは、インターネット上の複数地点に配置されたセンサーによる観測結果を分析し、攻撃活動やその準備行為の傾向を明らかにするもの。観測データは宛先ポート番号や送信元地域ごとに分類され、脆弱性情報やマルウェアの挙動と照らし合わせることで、攻撃の兆候を把握し、必要に応じて関係者へ対応を依頼している(参考「インターネット定点観測レポート(2025年 4~6月)」)。

  • インターネット定点観測レポート(2025年 4~6月)

    インターネット定点観測レポート(2025年 4~6月)

今期の観測において最も多く探索されたサービスはTelnet(23/TCP)であり、次いでhttp(80/TCP)、https(443/TCP)が上位に位置した。前期上位であった8728/TCPは順位を落として4位、ssh(22/TCP)が5位となった。探索元地域については、米国、ブルガリア、中国が上位3位を維持し、オランダとカナダが新たに4位と5位に浮上した。これらの活動は主に機器探索や脆弱性の調査を目的とした不審なパケットによるものとみられる。

観測された不審パケットの多くは、Miraiなどのマルウェアに感染した機器から送信されたスキャン活動に起因すると考えられる。とくにTelnet宛パケットでは、Mirai特有の特徴を持つものと持たないものが観測され、6月初めには非Mirai型の増加も確認された。送信元の解析からは、DVR/NVR、NAS、ルーター、太陽光発電モニターなど、主に海外製で脆弱性が報告されている機器の存在が確認された。これらは監視システムやSOHO環境で用いられるものであり、攻撃者に悪用されやすい状況に置かれている。

とくにDVR/NVRについては、中国や韓国製が多く、脆弱性を突かれて感染拡大に利用されていた。NASについては台湾製品やオープンソースソフトを用いたサーバが見つかり、なかにはランサムウェア感染が疑われる事例もあった。多くの機器がUPNPなどによりインターネット上に公開されており、攻撃対象となっていた。利用者には、不要な公開設定を避けること、VPNやファイアウォールの活用、ファームウェア更新、強固な認証設定などの対策が強く求められる。

JPCERT/CCは、不審なパケットの送信元となったIPアドレスについて、ISPを通じて利用者に確認や対応を依頼する場合があるとし、その際には調査活動への理解と協力を呼びかけている。とくに使用機器やファームウェアの情報、侵害の有無などの提供は、新たな攻撃活動の解明に資する重要な手掛かりとなる。本レポートは、インターネットに接続される機器の脆弱性が依然として深刻であることを示し、利用者の意識と対策の徹底を促している。

Adobe、AcrobatとReaderの重大脆弱性を修正するセキュリティアップデート公開

Adobeは9月9日(米国時間)、WindowsおよびmacOS向けのAdobe AcrobatおよびReaderに関するセキュリティアップデートを公開した。本アップデートは、任意コード実行を可能にする重大な脆弱性と、セキュリティ機能を回避される中程度の脆弱性を修正するものだ(参考「Security update available for Adobe Acrobat and Reader | APSB25-85 - Adobe Security Bulletin」)。

  • Security update available for Adobe Acrobat and Reader |APSB25-85 - Adobe Security Bulletin

    Security update available for Adobe Acrobat and Reader | APSB25-85 - Adobe Security Bulletin

セキュリティ脆弱性が存在する製品およびバージョンは次のとおり。

  • Adobe Acrobat DC Continuous (25.001.20672)およびそれより前のバージョン(Windows)
  • Adobe Acrobat DC Continuous (25.001.20668)およびそれより前のバージョン(macOS)
  • Adobe Acrobat Reader DC Continuous (25.001.20672)およびそれより前のバージョン(Windows)
  • Adobe Acrobat Reader DC Continuous (25.001.20668)およびそれより前のバージョン(macOS)
  • Adobe Acrobat 2024 Classic 2024 (24.001.30254)およびそれより前のバージョン(Windows、macOS)
  • Adobe Acrobat 2020 Classic 2020 (20.005.30774)およびそれより前のバージョン(Windows、macOS)
  • Adobe Acrobat Reader 2020 Classic 2020 (20.005.30774)およびそれより前のバージョン(Windows、macOS)

アップデートは自動的に適用されるが、手動で「ヘルプ」メニューから更新確認を行うこともできる。また、Acrobat Readerのフルインストーラーは公式ダウンロードセンターから入手できる。管理環境下のIT管理者向けには、リリースノート経由でのインストーラー提供や、WindowsでのAIP-GPOやSCCM、macOSでのApple Remote DesktopやSSHによる配布方法が案内されている。

今回修正された脆弱性には、Cisco Talosにより報告された「Use After Free」による任意コード実行(CVE-2025-54257、深刻度Critical)と、研究者Titus Vollbracht氏により報告されたセキュア設計原則違反によるセキュリティ機能回避(CVE-2025-54255、深刻度Moderate)が含まれる。Adobeは引き続き外部研究者との協力体制を維持しており、バグバウンティプログラムも運用している。

CISA、DELMIA Aprisoに関するCVE-2025-5086を既知の悪用脆弱性カタログに追加

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、9月8日~14日にカタログに1つのエクスプロイトを追加した。

CISAが追加したエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • Dassault Systèmes DELMIA Apriso Release 2020 GoldenからRelease 2020 SP4までのバージョン
  • Dassault Systèmes DELMIA Apriso Release 2021 GoldenからRelease 2021 SP3までのバージョン
  • Dassault Systèmes DELMIA Apriso Release 2022 GoldenからRelease 2022 SP3までのバージョン
  • Dassault Systèmes DELMIA Apriso Release 2023 GoldenからRelease 2023 SP3までのバージョン

今回CISAが既知の悪用脆弱性カタログに追加したCVE-2025-5086は、Dassault SystèmesのDELMIA Apriso製品の複数バージョンに影響を及ぼすものであり、組織におけるシステム運用や製造関連プロセスに深刻なリスクをもたらす可能性がある。影響を受ける製品を利用している組織は、速やかなパッチ適用やリスク軽減策の実施を通じてサイバー攻撃からの防御態勢を強化することが求められる。

* * *

Windows 10のサポート終了が目前に迫ってきた。未対応のまま利用し続けることはリスクが大きい。今週は、MicrosoftやAdobeの製品更新、IoT機器の脆弱性対策、CISAによる警告など、幅広い領域で注意喚起が行われた。

利用者にはOSやアプリケーションを最新状態に保ち、不要な設定を見直し、強固な認証やファイアウォールの活用が望まれている。セキュリティは待ったなしの課題であり、積極的な対策を講じることが被害を未然に防ぐ第一歩となる。

参考