2025年7月Patch Tuesday:MicrosoftとSAPの緊急脆弱性まとめ
概要
- Microsoftの7月定例パッチで14件のクリティカル脆弱性が修正。
- SAPでもCVSSスコア10(最高危険度)の重大な脆弱性が発表。
- ゼロデイや広範な実証コード公開は少ないが、即時対応が必須な高リスク脆弱性が複数。
Microsoft:最重要の脆弱性と優先対応ポイント
1. Windows SPNEGO拡張ネゴシエーションのヒープバッファオーバーフロー(CVE-2025-47981)
- CVSSスコア:9.8(極めて深刻)
- 影響範囲:Windows 10 1607以降(GPO「Network security: Allow PKU2U authentication requests to this computer to use online identities」がデフォルト有効)
- 内容:ネットワーク経由で認証不要のリモートコード実行が可能
- 対策:GPOを無効化することで一時的にリスク軽減
2. SharePointリモートコード実行(CVE-2025-49704)
- CVSSスコア:8.8
- 特徴:
- サイトオーナー権限を持つ認証ユーザーなら誰でも攻撃可能
- ユーザー操作不要
- 多くの企業が社外パートナーやインターネットに公開しているため被害拡大リスク大
3. SQL Serverの脆弱性
| CVE | 種別 | CVSS | 主なリスク |
|---|---|---|---|
| CVE-2025-49717 | リモートコード実行 | 8.5 | クリティカルなRCE |
| CVE-2025-49719 | 情報漏洩 | 7.5 | 認証不要・ネットワーク経由で実行可。未初期化メモリから資格情報等流出の恐れ。既に情報公開済みで攻撃リスク高 |
- OLE DBドライバの更新案内に不備があり、追加情報や臨時パッチの有無を常時監視・確認することが推奨される。
4. Netlogon(NOTLogon)DoS脆弱性(CVE-2025-47978)
- CVSSスコア:6.5
- 内容:最小権限のドメイン参加マシンから細工した認証リクエストを送るだけで、ドメインコントローラーをクラッシュ・再起動させることが可能。
- 影響:Active Directory基盤全体の停止リスク。複数DC同時攻撃で業務停止も。
5. Citrix NetScaler(CitrixBleed 2, CVE-2025-5777)にも注意
- CitrixBleed 2はセッショントークン流出による不正アクセスが可能。
- 既に攻撃が観測されており、セッショントークンの無効化やログ監査も必須。
SAP:CVSS 10の致命的脆弱性
1. SAP Supplier Relationship Management(SRM)のデシリアライズ脆弱性(CVE-2025-30012)
- CVSSスコア:10(最高危険度)
- 内容:HTTP(S)経由で認証不要、即座にシステム完全侵害が可能
- 影響:レガシーのSAP SRM利用中の全組織が対象。即時パッチ適用が必須。
2. その他のSAPデシリアライズ脆弱性
- CVSSスコア:9.1の重大脆弱性が4件追加。
- リスク:SAPの従来型セキュリティ(職務分掌やGRC制御)を全てバイパス可能。攻撃者が完全権限を取得し、スパイ行為・破壊・ランサムウェア展開も容易。
管理者・CSOが今すぐ取るべきアクション
- Windows・SharePoint・SQL Server・Netlogonのパッチを即時適用
- GPOや認証設定の見直し
- SAP SRM利用組織は直ちに最新パッチ適用、移行計画も検討
- Citrix NetScaler利用組織はセッショントークンの無効化とログ監査を徹底
- パッチ以外にも、基盤システムの設定・運用・監視体制の強化が必須
まとめ
- 2025年7月のPatch Tuesdayは、「ゼロデイなし」でも即時対応が求められるクリティカル脆弱性が多発。
- 特にWindows・SharePoint・SQL Server・SAP SRM・Citrix NetScalerを運用する組織は、パッチ適用と追加対策の徹底が急務。
- パッチ公開日以外の臨時アップデートにも常時注意を払い、セキュリティ情報の監視体制を強化することが、今後の被害防止につながる。
