マイクロソフト、7月の「Patch Tuesday」で130件の脆弱性を修正
– SQL ServerにおけるPCI DSS関連リスクも判明
2025年7月9日、マイクロソフトは今月の定例更新「Patch Tuesday」を公開し、合計130件のセキュリティ脆弱性を修正しました。このうち10件は「緊急(Critical)」と評価されています。更新対象には、SQL Server、Windows、Office(Word、PowerPoint、Excel)など、主要なマイクロソフト製品が含まれます。
■ PCI DSSにも関連する重要な脆弱性
今回の修正の中で特に注目すべきは、Microsoft SQL Server における情報漏洩の脆弱性(CVE-2025-49719、CVSSスコア:7.5)です。
この脆弱性により、攻撃者が初期化されていないメモリを読み取れる可能性があり、パスワードや暗号鍵などの機密情報が漏洩するリスクが指摘されています。
Rapid7 の Principal Software Engineer である Adam Barnett 氏は、
攻撃者がすぐに意味のあるデータを取得できるわけではないが、熟練した操作により暗号鍵など重要情報を抽出できる可能性がある。
と警告しています。
また、Action1 の社長 Mike Walters 氏は、
脆弱性の原因は SQL Server のメモリ管理における入力検証の不備にあると考えられる。これにより認証情報、接続文字列、その他の機密データが漏洩する可能性がある。
と指摘しました。影響範囲は SQL Server エンジンおよび OLE DB ドライバーを利用するアプリケーションに及びます。
■ セキュリティ専門家からの警告
セキュリティ専門家は以下を強く推奨しています:
- システム管理者およびITチームは、直ちに今回の更新プログラムを適用すること
- 特に Microsoft SQL Server を運用している組織においては、大規模悪用のリスクを未然に防ぐための早急な対応が必要
出典
#Microsoft #CyberSecurity #PatchTuesday #InfoSec #VulnerabilityManagement #PCI #SQLServer #WindowsSecurity
【Secure Vectorsのセキュリティ豆知識】
📌 CVSSとは?
CVSS とは Common Vulnerability Scoring System(共通脆弱性評価システム) の略称です。これは、報告された脆弱性を 標準化された、再現性のある方法で評価・ランク付けする仕組み を指します。このスコアによって、組織はさまざまなセキュリティリスクへの対応優先度を決定することができます。
CVSS は、脆弱性の重大度に応じて 0 から 10 までのスコア を算出します。
10 が最も深刻であり、以下のような要素に基づいて評価されます:
- 脆弱性がどれだけ容易に悪用できるか
- 機密性・完全性・可用性への影響度
- 攻撃の複雑さ
