3 月の Microsoft 月例アップデート

** 本記事は、Little fires everywhere for March Patch Tuesday の翻訳です。最新の情報は英語記事をご覧ください。**

Microsoft は火曜日、10 種の製品ファミリに影響する 57 件のパッチをリリースしました。このうち 6 件は重大度が「緊急 (Critical)」であり、9 件は CVSS ベーススコアが 8.0 以上です。そのうち 6 件はすべて Windows に影響するもので、実環境で活発に悪用されています。また、ある問題は公表されているものの、悪用はまだ確認されていません。

ソフォスの推定によると、パッチ公開時から 30 日以内に悪用される可能性が高い CVE がさらに 11 件あります。今月の問題のうち 4 件はソフォス製品が直接検出可能であり、これらについての情報は以下の表に掲載しています。

今回のリリースには、これらのパッチに加えて、サービススタック更新プログラムに関するアドバイザリ情報と、数日前にリリースされた今月の 12 件の Edge パッチも含まれています。また、9 件の Adobe Reader に関連する問題も含まれています。

本記事の最後にはいつものように、Microsoft のすべてのパッチを重大度別、予想される悪用の時期別、CVSS ベーススコア別、製品ファミリ別にリストアップした付録、アドバイザリ形式のアップデートをカバーした付録、および現在もサポートされているさまざまな Windows Server プラットフォームに影響するパッチの内訳を掲載しています。

数字で見る

• CVE の件数: 57
• 公表済み: 1
• エクスプロイト検出済: 6
• 重大度
  • 緊急: 6
  • 重要: 51

影響

• リモートコード実行: 23
• 権限昇格: 23
• 情報漏洩: 4
• セキュリティ機能のバイパス: 3
• スプーフィング: 3
• サービス拒否 (DoS): 1
• CVSS ベーススコア 9.0 以上: 0
• CVSS ベーススコア 8.0 以上: 9

図 1: 今月はリモートコード実行の問題と権限昇格バグが同程度に流行していますが、重大度が「緊急」の問題はすべて前者です。

• Windows: 37
• 365: 11
• Office: 11
• Azure: 4
• Visual Studio: 4
• Excel: 3
• Word: 2
• .NET: 1
• ASP.NET: 1
• Access: 1

この種のリストにおけるソフォスの慣例として、複数の製品ファミリに適用される CVE は、影響する製品ファミリごとに 1 件とカウントしています。

図 2: Windows は、あまり一般的でないクライアントのみの問題 (CVE-2025-24994) を含め、相変わらずパッチの大半を占めています。なお、365 と Office の集計は同一の 11 件の CVE を対象としています。

注目すべき 3 月のアップデート

上記の問題に加えて、さまざまな項目が注目に値します。

CVE-2025-24057 — Microsoft Office リモートコード実行の脆弱性

365 と Office の両方に影響を及ぼすヒープベースのバッファオーバーフローの問題により、権限のない第三者がローカルでコードを実行できる可能性があります。この脆弱性はプレビュー表示で動作します。

CVE-2025-26645 — リモートデスクトップクライアント リモートコード実行の脆弱性

リモートデスクトップクライアントにおける相対パストラバーサルの問題です。CVSS ベーススコアは 8.8、Microsoft の重大度は緊急です。サポートされているすべてのバージョンのクライアントとサーバー、および Remote Desktop Client for Windows に脆弱性があります。攻撃者はリモートデスクトップサーバーをコントロールし、脆弱なクライアントが接続した際にこの問題を利用して RCE を引き起こす可能性があります。

CVE-2025-21180 – Windows exFAT ファイルシステム リモートコード実行の脆弱性
CVE-2025-24985 — Windows Fast FAT ファイルシステムドライバ リモートコード実行の脆弱性
CVE-2025-24984 — Windows NTFS 情報漏洩の脆弱性
CVE-2025-24991 – Windows NTFS 情報漏洩の脆弱性
CVE-2025-24992 — Windows NTFS 情報漏洩の脆弱性
CVE-2025-24993 — Windows NTFS リモートコード実行の脆弱性

ファイルシステムにとっては厳しい月となりました。Fast FAT は、古くからある FAT (ファイルアロケーションテーブル) システムと密接に関連しており、最近では主に USB キー、SD カード、フロッピー (!) などの記憶装置に使用されています。FAT の「より現代的な」バージョンである exFAT は約 20 年前に登場し、従来の 4GB のファイルサイズ制限からユーザーを解放しました。なお、「ex」は 「拡張」を意味します。これらのバグのいずれについても、攻撃者は脆弱なシステムのユーザーを騙して、悪意のある VHD をマウントさせる必要があります。NTFS の 4 つの問題のうち、CVE-2025-24984 は標的マシンへの物理的なアクセス (USB を差し込むなど) を必要とします。他の 3 件は、上述の VHD の問題と類似しているようです。NTFS の問題のうち 3 件と Fast FAT の問題はすでに悪用されており、残りの 2 件は高確率で今後 30 日以内に悪用されると考えられています。

CVE-2024-9157 — Synaptics: CVE-2024-9157 Synaptics サービスバイナリ DLL ローディングの脆弱性

Synaptics 社が公表したこの CVE については、まだ多くは分かっていませんが、断片的な知見を総合するに、愉快な話ではないようです。権限昇格の問題は Synaptics のオーディオ強化コンポーネントである Audio Effects に存在する DLL ロードのバグであり、Microsoft は来月悪用される可能性が高いものの 1 つだと考えています。ただし、Windows の最新ビルドにはもはやこの脆弱性が存在しないことを Microsoft が世界中に保証しているのは良いニュースです。

図 3: 2025 年第 1 四半期、RCE の問題は CVE 数 100 件の大台を超えました。

ソフォス製品による直接保護

今までと同様に、Microsoft の更新プログラムが自動的にダウンロードするのを待てない場合は、Windows Update カタログの Web サイトから手動でダウンロードできます。winver.exe ツールを実行して Windows 10 または 11 のどのビルドを実行しているかを確認し、特定のシステムのアーキテクチャとビルド番号に対応する累積更新プログラムパッケージをダウンロードしてください。

付録 A: 脆弱性の影響と重大度

3 月のパッチを影響度順に並べ、さらに重大度順に並べたリストです。各リストはさらに CVE 順に並んでいます。

リモートコード実行 (23 件の CVE)

権限昇格 (23 件の CVE)

情報漏洩 (4 件の CVE)

セキュリティ機能のバイパス (3 件の CVE)

スプーフィング (3 件の CVE)

サービス拒否 (1 件の CVE)

付録 B: エクスプロイト可能性と CVSS

Microsoft が、公表後 30 日以内に実環境で悪用されている、あるいは悪用される可能性が高いと判断した 3 月の CVE のリストです。各リストはさらに CVE 順に並んでいます。

これは、Microsoft による CVSS ベーススコアが 8.0 以上である 3 月の CVE のリストです。スコア順に並べ、さらに CVE 順にソートしています。CVSS の仕組みについては、パッチの優先順位付けスキーマについて記した以前の記事を参照してください。

付録 C: 影響を受ける製品

3 月のパッチを製品ファミリ別にソートし、さらに重大度別にソートしたリストです。各リストはさらに CVE 順に並んでいます。複数の製品ファミリで共通のパッチは、製品ファミリごとに複数回リストに記載されています。Windows Server に影響する問題は、付録 E にさらにソートされています。

Windows (37 件の CVE)

365 (11 件の CVE)

Office (11 件の CVE)

Azure (4 件の CVE)

Visual Studio (4 件の CVE)

Excel (3 件の CVE)

Word (2 件の CVE)

ASP.NET (1 件の CVE)

.NET (1 件の CVE)

Access (1 件の CVE)

付録 D: アドバイザリおよび他の製品

3 月の Microsoft によるリリースに含まれるアドバイザリおよびその他の関連する CVE についての情報のリストです。

これらの CVE に関係する問題はすでに Chrome によって緩和されていますが、透明性を保つためにリリースに記載されています。なお、CVE-2025-21353 は Android にのみ適用されます。

Microsoft の情報:

今月のリリースには 9 件の Adobe によるアドバイザリがあります。

付録 E: 影響を受ける Windows Server のバージョン

以下に示すのは、2008 年から 2025 年までの 9 バージョンの Windows Server に影響する 3 月リリースの CVE の表です。この表は、プラットフォームの主要なバージョンを区別していますが、詳細 (Server Core など) には踏み込んでいません。重大度「緊急」の問題は赤で強調されており、「x」はその CVE がそのバージョンには適用されないことを示しています。特にメインストリームサポートから外れている製品に関しては、各組織において状況が異なるため、IT 管理者は本付録を出発点として具体的なエクスポージャを確認することが推奨されます。具体的なナレッジベースの番号については、Microsoft にお問い合わせください。