2025 年 9 月のセキュリティ更新プログラム (月例)

/ By Japan Security Team / September 9, 2025

2025 年 9 月 9 日 (米国時間) 、マイクロソフトは、マイクロソフト製品に影響する脆弱性を修正するために、セキュリティ更新プログラムを公開しました。影響を受ける製品をご利用のお客様は、できるだけ早期にセキュリティ更新プログラムを適用してください。なお、マイクロソフト製品では、一部の例外を除き既定で自動更新が有効になっており、自動的にセキュリティ更新プログラムが適用されます。最新の情報は、セキュリティ更新プログラムガイドを確認してください。

なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに対応を追加したファミリはありません。

セキュリティ更新プログラム、セキュリティアドバイザリに関する主な注意点

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に詳細が一般へ公開されていることを確認しています。お客様においては、更新プログラムの適用を早急に行ってください。脆弱性の詳細は、各 CVE のページを参照してください。
- CVE-2025-55234 Windows SMB の特権昇格の脆弱性
- CVE-2024-21907 VulnCheck: CVE-2024-21907 Newtonsoft.Json での例外的な状態の不適切な処理
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2025-55232 Microsoft のハイパフォーマンスコンピューティング (HPC) パックのリモートでコードが実行される脆弱性は、CVSS 基本値が 9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」を参照してください。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はありませんが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨しています。
今月のセキュリティ更新プログラムを適用すると、KB5014754: Windows ドメインコントローラーでの証明書ベースの認証の変更が完全適用モードに移行し、StrongCertificateBindingEnforcement レジストリキーがサポートされなくなります。StrongCertificateBindingEnforcement レジストリキーを利用している環境は、事前に検証を行った上で更新プログラムを適用してください。
今月のセキュリティ更新プログラムを適用すると、Windows Server 2025 および Windows 11 バージョン 24H2 において、Kerberos から DES (Data Encryption Standard) 暗号アルゴリズムが削除されます。DES を使用しているアプリケーションを利用している場合は、より強力な暗号を使用するように再構成することを推奨します。詳細は、Removal of DES in Kerberos for Windows Server and Client を参照してください。
セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してください。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2025 年 9 月セキュリティ更新プログラムリリースノートに掲載されています。

2025 年9 月のセキュリティ更新プログラムを公開した製品、コンポーネント一覧

2025 年 9 月 9 日 (米国時間) にセキュリティ更新プログラムを公開した製品およびコンポーネントの一覧は、2025 年 9 月セキュリティ更新プログラムリリースノートをご確認ください。

2025 年 9 月のセキュリティ更新プログラム一覧

2025 年9 月9 日 (米国時間) に公開したセキュリティ更新プログラムの一覧は次の通りです。

最新の情報は、セキュリティ更新プログラムガイドを確認してください。

製品ファミリ	最大深刻度	最も大きな影響	関連するサポート技術情報またはサポートの Web ページ
Windows 11 v24H2, v23H2	緊急	リモートでコードの実行が可能	v24H2 5065426 v24H2 Hotpatch 5065474 v23H2 5065431
Windows 10 v22H2	緊急	リモートでコードの実行が可能	5065429
Windows Server 2025 (Server Core installationを含む)	緊急	リモートでコードの実行が可能	5065426 Hotpatch 5065474
Windows Server 2022,23H2 (Server Core installationを含む)	緊急	リモートでコードの実行が可能	Windows Server 2022 5065432 Hotpatch 5065306 Windows Server 23H2 5065425
Windows Server 2019 , 2016 (Server Core installation を含む)	緊急	リモートでコードの実行が可能	Windows Server 2019 5065428 Windows Server 2016 5065427
Microsoft Office	緊急	リモートでコードの実行が可能	https://learn.microsoft.com/officeupdates
Microsoft SharePoint	緊急	リモートでコードの実行が可能	https://learn.microsoft.com/officeupdates/sharepoint-updates
Microsoft SQL Server	重要	特権の昇格	https://learn.microsoft.com/sql
Microsoft Azure	緊急	リモートでコードの実行が可能	https://learn.microsoft.com/azure

既存の脆弱性情報の更新

2025 年 9 月 9 日 (米国時間) に、既存の脆弱性 4 件を更新しました。

CVE-2025-53773 GitHub Copilot と Visual Studio のリモートでコードが実行される脆弱性
謝辞を追記しました。情報のみを変更しています。
CVE-2025-21293 Active Directory ドメインサービスの特権昇格の脆弱性 CVE-2025-21293 に包括的に対処するため、マイクロソフトは以下バージョンに 2025 年 9 月のセキュリティ更新プログラム KB5065426 をリリースしました。 Windows Server 2025 Windows Server 2025 (Server Core インストール) Windows 11 Version 24H2 for x64-based Systems Windows 11 Version 24H2 for ARM64-based Systems

マイクロソフトは、この脆弱性から完全に保護するために更新プログラムをインストールすることを推奨します。システムが自動で更新を受け取るように構成されているお客様は、対応は必要ありません。
上記バージョンの Windows を実行し、ホットパッチ更新プログラムをインストールするお客様向けに、ホットパッチ KB5065474 をリリースしました。ホットパッチ更新プログラムをインストールするお客様は、この脆弱性から保護するために KB5065474 をインストールください。
CVE-2025-29954 Windows Lightweight Directory Access Protocol (LDAP) のサービス拒否の脆弱性 KB5066014—Netlogon RPC Hardening (CVE-2025-49716) のリンクをお知らせするために、 FAQ を追加しました。この記事では、認証されていない RPC 呼び出しに対してシステムをセキュリティ強化するための詳細なガイダンスを説明しています。これは情報提供のみの変更です。
CVE-2025-48807 Windows Hyper-V のリモートコード実行の脆弱性 CVE-2025-48807 に包括的に対処するために、マイクロソフトは以下バージョンに 2025 年 9 月のセキュリティ更新プログラムをリリースしました。 Windows Server 2016 以降 Windows 10 バージョン 1607 for x64-based Systems 以降 Windows 10 バージョン 1809 以降サポートしているすべてのバージョンの Windows 10 バージョン 21H2 以降サポートしているすべてのバージョンの Windows 11 バージョン 22H2 以降マイクロソフトは、この脆弱性から完全に保護するために更新プログラムをインストールすることを推奨します。システムが自動で更新を受け取るように構成されているお客様は、対応は必要ありません。

新規セキュリティアドバイザリの公開

今月、新たに公開したセキュリティアドバイザリはありません。

既存のセキュリティアドバイザリの更新

2025 年 9 月9 日 (米国時間) に、既存のアドバイザリ 1 件を更新しました。

ADV990001 最新のサービススタック更新プログラム
新しいバージョンのサービススタック更新プログラムが入手可能であることをお知らせするために、アドバイザリが更新されました。詳細については、FAQ を参照してください。

補足情報

最新のサービススタック更新プログラム (SSU) は、アドバイザリ ADV990001 を確認してください。
Microsoft Edge (Chromium-based) のセキュリティ情報は、公開のスケジュールが月例のリリースとは異なりますので、セキュリティ更新プログラムガイド上で製品にて Microsoft Edge (Chromium-based) を選択し、確認してください。または、Edge のセキュリティリリース情報にてご確認ください。
各脆弱性情報 (CVE) のページには、緩和策、回避策、注意事項やよく寄せられる質問など、追加の情報が掲載されている場合があります。セキュリティ更新プログラムの適用の前に、併せてご確認ください。
最新の情報は、セキュリティ更新プログラムガイドを確認してください。セキュリティ更新プログラムガイドでは、セキュリティの脆弱性および更新プログラムの情報を、CVE、KB 番号、製品、またはリリース日別に並べ替えたりフィルターをかけたりすることができます。各月のセキュリティ更新プログラムを絞り込むには、日付範囲に絞り込む月の第 2 火曜日を指定して検索してください。なお、セキュリティ更新プログラムガイド API を活用して、自社に特化したカスタムレポートを作成することができます。API の活用方法を紹介する 6 つのビデオ (API の情報 (GitHub)、API へのアクセス、HTML ファイルの出力、Excel へのエクスポート、CVE リストの取得、KB リストの取得) を公開していますので、是非ご活用ください。
マイクロソフトでは、セキュリティ更新プログラムの新着情報及び更新情報を、お客様がタイムリーに受け取れるように、通知方法法をリニューアルしました。まだ購読されていない方、これまでのメールでの通知のみ受信している方は、この機会にどちらかの方法で、是非ご登録ください。
- 通知方法1 プロファイルを作成する方法 : セキュリティ更新プログラムガイドの通知システム : 今すぐプロファイルを作成しましょう
- 通知方法2 RSS フィードで購読する方法 : セキュリティ更新プログラムの通知・配信の改善 – 新しい配信方法について

次回のセキュリティ更新プログラムのリリースは、2025 年 10 月 14 日 (米国時間) を予定しています。詳しくは、年間スケジュールを参照してください。