マイクロソフト、7月の「Patch Tuesday」で130件の脆弱性を修正

– SQL ServerにおけるPCI DSS関連リスクも判明

2025年7月9日、マイクロソフトは今月の定例更新「Patch Tuesday」を公開し、合計130件のセキュリティ脆弱性を修正しました。このうち10件は「緊急（Critical）」と評価されています。更新対象には、SQL Server、Windows、Office（Word、PowerPoint、Excel）など、主要なマイクロソフト製品が含まれます。

■ PCI DSSにも関連する重要な脆弱性

今回の修正の中で特に注目すべきは、Microsoft SQL Server における情報漏洩の脆弱性（CVE-2025-49719、CVSSスコア：7.5）です。

この脆弱性により、攻撃者が初期化されていないメモリを読み取れる可能性があり、パスワードや暗号鍵などの機密情報が漏洩するリスクが指摘されています。

Rapid7 の Principal Software Engineer である Adam Barnett 氏は、

攻撃者がすぐに意味のあるデータを取得できるわけではないが、熟練した操作により暗号鍵など重要情報を抽出できる可能性がある。

と警告しています。

また、Action1 の社長 Mike Walters 氏は、

脆弱性の原因は SQL Server のメモリ管理における入力検証の不備にあると考えられる。これにより認証情報、接続文字列、その他の機密データが漏洩する可能性がある。

と指摘しました。影響範囲は SQL Server エンジンおよび OLE DB ドライバーを利用するアプリケーションに及びます。

■ セキュリティ専門家からの警告

セキュリティ専門家は以下を強く推奨しています：

• システム管理者およびITチームは、直ちに今回の更新プログラムを適用すること
• 特に Microsoft SQL Server を運用している組織においては、大規模悪用のリスクを未然に防ぐための早急な対応が必要

出典

• The Hacker News
• Krebs on Security

#Microsoft #CyberSecurity #PatchTuesday #InfoSec #VulnerabilityManagement #PCI #SQLServer #WindowsSecurity