「パッチ」関連の最新 ニュース・レビュー・解説 記事 まとめ

週末の「気になるニュース」一気読み！：
PC業務を自動でこなすビジネス向けAIエージェント「DeepL Agent」登場／Windows 11 24H2向けパッチ「KB5064081」公開
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、8月31日週を中心に公開された主なニュースを一気にチェックしましょう！（2025/9/7）

世界中で相次ぐサイバー攻撃の今
「3日でパッチ」ではもう手遅れ　常態化する“48時間以内”の攻撃
サイバー攻撃にまつわる話題には事欠かない。企業を狙うサイバー攻撃被害が相次いでいる。復旧に平均68日かかる深刻な被害も報告される中、重要なのは「予防」と「初動対応」だ。（2025/8/27）

Microsoft、月例アップデートで修正も……
SharePointの欠陥「パッチで防げず」　ランサムウェア攻撃で“死角”が露呈
オンプレミス版の社内ポータルサイト構築ツール「SharePoint Server」の脆弱性を悪用したランサムウェア攻撃が拡大している。パッチを適用しただけでは防ぎ切れなかった、その実態とは。（2025/8/15）

「サポートなし＝即危険」ではない現実も
VMware旧ユーザーに届いた「最後通告」が問う“一律では語れないリスク”の正体
永久ライセンスを保有するVMwareユーザー企業に対して、Broadcomが停止命令を送り始めたことを受け、企業はセキュリティパッチを含むサポートを確保するためにどうしたらよいのか。（2025/8/6）

専門家が指摘する真の脅威
「Microsoft SharePoint Server」の脆弱性はパッチだけでは不十分　注意点は？
「Microsoft SharePoint Server」に脆弱性が見つかり、攻撃への悪用も確認されている。被害組織は全世界にある。パッチは出たが、その適用だけでは不十分だという。なぜなのか。（2025/7/31）

セキュリティニュースアラート：
SharePointの深刻な脆弱性「CVE-2025-53770」にPoCが公開される
SharePointの脆弱性CVE-2025-53770に関するPoCツールが公開され、不安全なデシリアライズによりリモートコード実行が可能となる。組織は早急なパッチ適用が推奨される。（2025/7/25）

SharePoint Serverへの攻撃は中国ハッカー集団によるもの──Microsoftが説明
Microsoftは、オンプレミス版「SharePoint Server」へのゼロデイ攻撃が、中国国家関連の複数のハッカー集団によるものだと発表した。「Linen Typhoon」など複数のグループの関与を確認。同社はパッチを公開済みだが、未適用のシステムは危険性が高まっていると警告した。（2025/7/23）

「あの人、本当は何を考えているんだろう？」　仕事中の“モヤモヤ”はレゴブロックで解決せよ
仕事をしている中で「あの人、本当は何を考えてるか分からないな」と感じた経験はありませんか？　仕事中の“モヤモヤ”をレゴで解決する方法を、グッドパッチが解説します。（2025/7/22）

Microsoft SharePointのゼロデイ脆弱性、RCE攻撃で悪用 パッチ公開済み
Microsoftのオンプレミス版「SharePoint Server」に、リモートでコードが実行されるゼロデイ脆弱性（CVE-2025-53770）が発見され、攻撃に悪用されている。同社は警告を発し、すでに対策パッチを公開済み。セキュリティ企業は多数のサーバで被害を確認している。（2025/7/21）

セキュリティニュースアラート：
セキュリティ強化のつもりが逆効果　人気WordPressプラグインに深刻な脆弱性
WordPressの「Malcure Malware Scanner」プラグインに任意のファイルを削除する脆弱性が見つかった。認証済みの低権限ユーザーでもファイル削除が可能となり、リモートコード実行などのリスクがある。現時点で修正パッチは提供されていない。（2025/7/18）

完璧を捨てる勇気が成果を引き寄せる：
PR：「“管理者任せ”からの脱却」――利用者が動き出すサイバーハイジーン自律化の方程式
病気になったら出社や業務を控えさせるように「端末が不健全なら業務利用させない」――「管理者主導でサイバーハイジーン（衛生管理）に取り組み始めるも、成果が得られない」「パッチが未適用、ソフトウェアの脆弱（ぜいじゃく）性を残した端末が稼働し続けており、これを狙うサイバー攻撃の脅威が残っている」こうした課題の裏には「完璧主義のわな」が潜んでいる。原因と解決策について、累計100万台の端末管理を支援してきた専門家が解説。わなを脱して、端末利用者自らがサイバーハイジーンに取り組む「自律的な運用」に至るプロセスを明らかにする。（2025/7/7）

Microsoftが脆弱性を修正
Windowsユーザーを危険にさらす「重大な欠陥」の悪用シナリオと深刻度
Microsoftの主力製品に影響する脆弱性が見つかり、同社はパッチを公開した。システムを守るために知っておきたい、脆弱性情報をまとめた。（2025/7/14）

セキュリティニュースアラート：
FortiWebにSQLインジェクションの脆弱性　CVSS 9.6でアップデート推奨
Fortinetは、FortiWebにSQLインジェクションの深刻な脆弱性「CVE-2025-25257」が存在すると公表した。CVSSスコアは9.6で緊急と評価されており、対象バージョンにはパッチ適用が強く推奨されている。（2025/7/11）

「モンハンワイルズ」が修正パッチ配信　タイトルアプデの翌日に　SNSでは「PCがクラッシュした」の声
カプコンは、ゲームソフト「モンスターハンターワイルズ」（PlayStation 5／Xbox Series X|S／Steam）の修正パッチ「Ver.1.020.01.00」を配信すると発表した。一部ゲーム内機能の選択時に、クラッシュする場合がある不具合などを修正する。（2025/7/1）

「心理的安全性」で満足するな！　本当に“機能する”チームを作るための条件とは
働く中で一度は聞いたことがある「心理的安全性」という言葉。グッドパッチが「組織デザイン」の観点から解説します。（2025/6/25）

Broadcomの“非情な選択”
VMware永久ライセンスはもうおしまい？　“パッチ対象外”でも生き残る方法
VMware製品のサポート体制が激変し、永久ライセンスユーザーは重要なパッチを容易に入手できなくなる可能性に直面している。そのような状況下でも対策の糸口はあるのか。（2025/6/8）

VMware利用継続にまつわる新たな課題
「VMware永久ライセンス」を危険にさらす“ゼロデイ脆弱性”とは
Broadcomが公表したVMware製品のゼロデイ脆弱性は、永久ライセンスを使用している企業に対して、セキュリティパッチやサポート提供の課題を浮き彫りにした。ユーザー企業はどう対応すべきなのか。（2025/5/22）

Microsoftが公開した126件の脆弱性
ランサムウェアに悪用された“Windowsの穴”とは？　パッチで直らない脆弱性も
2025年4月8日、Microsoftは同社のサービスに存在する126件の脆弱性を公開した。すでに悪用が確認されたものも含まれている。特に危険性の高い脆弱性と、取るべき対処を紹介する。（2025/5/12）

セキュリティニュースアラート：
修正済みのWindows脆弱性を悪用　NTLMの欠陥を悪用する攻撃が急増中
Check Point Researchは、WindowsのNTLM認証に関連する脆弱性（CVE-2025-24054）が既に悪用されていると報告した。パッチ公開後わずか8日で複数のターゲットを狙った攻撃が確認されている。（2025/4/24）

セキュリティニュースアラート：
7年前のCisco機器の脆弱性　依然として悪用が可能と研究者が指摘
セキュリティ研究者がCiscoの機器に搭載されたSmart Install機能の脆弱性が依然として悪用対象である可能性を指摘した。パッチが未適用のCisco機器においてリモートコード実行のリスクがある。（2025/4/15）

「Office 2016」のWord／Excel／PowerPointが応答しない問題に対処法　新しい更新プログラムの適用で解消
Microsoftが、「Office 2016」のWord／Excel／PowerPointが応答しなくなる問題に対する修正パッチ（更新プログラム）を公開した。問題が発生している場合、適用することで解消するという。（2025/4/11）

Cybersecurity Dive：
3万7000以上のESXiに影響　セキュリティツールの監視を回避する3つのゼロデイ脆弱性
VMware ESXiなど複数のVMware製品に影響を及ぼす3つのゼロデイ脆弱性が見つかった。これらの脆弱性は既に悪用されているが、Broadcomのサポートポータルの不具合により、一部の顧客は修正パッチをダウンロードできない状況にある。（2025/3/20）

Cybersecurity Dive：
PAN-OSに認証回避のゼロデイ脆弱性　ファイアウォールへのアクセスが可能に
Palo Alto Networksの「PAN-OS」に重大な脆弱性が見つかった。以前に見つかった脆弱性と組み合わせることで、攻撃者はパッチの適用されていないファイアウォールにアクセスできるようになる。（2025/2/27）

セキュリティニュースアラート：
LinuxカーネルのeBPFに複数の深刻な脆弱性　PoC公開済みのため要注意
LinuxカーネルのeBPFに複数の脆弱性が見つかった。これらの脆弱性はDoS攻撃などに悪用される恐れがあり、早急なパッチ適用が必要とされる。既にPoCが公開され、攻撃者が脆弱性を悪用して攻撃を試みる可能性があるため要注意だ。（2025/2/2）

セキュリティニュースアラート：
RsyncにCVSS 9.8を含む複数の脆弱性　直ちに最新版のパッチ適用を推奨
Rsyncに深刻な脆弱性が複数見つかった。これらを悪用されると、攻撃者によるリモートコード実行や機密情報漏えいのリスクがある。ユーザーは直ちに最新版のパッチを適用する必要がある。（2025/1/17）

担当者の負荷を自動化＆効率化で削減
脆弱性管理の3大課題、工数／優先順位／経営判断の問題をAIはどう解決する？
従来の脆弱性管理は、公的機関などから脆弱性情報を入手し、自施設内を調査したのち、脆弱性が発見されたらパッチを入手し適用するものだったが、工数がかかり、対応の優先順位付けも難しかった。こうした問題を、AIはどう解決するのか。（2025/1/17）

セキュリティニュースアラート：
パッチ適用済みのはずが……BitLockerに脆弱性が残存　暗号化回避が可能
Microsoftによって修正済みとされていたBitLockerの脆弱性が依然として残っていたことが判明した。これを悪用することで攻撃者がメモリの暗号化キーを抽出し、暗号化データにアクセスできる。（2025/1/8）

ゼロデイ攻撃は増加傾向に
パッチ公開後“2年以内”にも要注意　悪用されるIT製品の脆弱性とは
IT製品の脆弱性は、ランサムウェアなどの攻撃の入り口として悪用される。特に、パッチが未提供の「ゼロデイ脆弱性」が危険だが、注意が必要なのはそれだけではない。（2024/12/23）

他のエコシステムにも拡張可能：
Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開　多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
Googleは、オープンソースのセキュリティパッチ検証ツール「Vanir」の提供を開始した。未適用のセキュリティパッチを迅速かつ効率的にスキャンし、適用可能なパッチの特定を支援するという。（2024/12/11）

Cybersecurity Dive：
パッチ適用も効果なし？　Veeam製品を悪用したランサムウェア亜種を確認
複数のランサムウェアの亜種がVeeam製品の重大な脆弱性を標的にしており、悪用のリスクが高まっている。共通脆弱性評価システム（CVSS）における同脆弱性のスコアは9.8だ。Veeamによるパッチ適用も効果が薄い可能性もある。（2024/11/23）

セキュリティニュースアラート：
「Fortinetのパッチ適用は不完全」セキュリティ企業が指摘　新たな脆弱性も見つかる
FortiManagerに新たな脆弱性「FortiJump Higher」が見つかった。この脆弱性によって攻撃者が管理対象のFortiGateの権限を昇格させ、FortiManagerを制御する可能性がある。この脆弱性はFortinetのパッチ適用が不完全であることから発覚した。（2024/11/19）

医療機器ニュース：
バイタル情報を無線でリアルタイム送信できる柔軟なセンサーパッチを開発
北海道大学は、心電図、呼吸、皮膚の温湿度を常時連続計測できる、ばんそうこうのように柔らかい無線型のフレキシブルマルチモーダルセンサーパッチを開発した。（2024/11/13）

セキュリティニュース：
ServiceNowのNow Platformに「緊急」の脆弱性　リモートコード実行のリスク
ServiceNowはNow Platformの重大な脆弱性CVE-2024-8923および8924に対応したパッチを公表した。リモートからの不正アクセスやコード実行を許可する可能性があるため注意が必要だ。（2024/11/2）

半径300メートルのIT：
半数以上が「最新のパッチを適用済み」なのに、サイバー被害に遭うワケ
サイバー攻撃の被害を防ぐには一にも二にも最新のパッチ適用が重要です。ただ、最近のサイバー攻撃者の気になる動きから、これだけでは攻撃を防げない実態が見えてきました。（2024/10/29）

セキュリティニュースアラート：
FortiManagerに未公開の重大な脆弱性　一部の顧客に先行警告か
Help Net Securityは、FortinetがFortiManagerの重大な脆弱性に対するパッチをリリースしたことを報じた。この脆弱性は中国の脅威アクターによって既に悪用されている。Fortinetは一部の顧客に非公開で通知し、緩和策を提示している。（2024/10/24）

セキュリティニュースアラート：
Oracleが最新セキュリティパッチを公開　334の脆弱性に対処
Oracleは2024年10月の「Oracle Critical Patch Update Advisory」を公開した。このアップデートでは334の脆弱性が修正されている。緊急度の高い脆弱性も複数含まれるため注意が必要だ。（2024/10/23）

Windows Server 2025で「ホットパッチ」がプレビュー開始　Azure Arc環境が対象
MicrosoftはWindows Server 2025プレビュー版で、再起動不要のセキュリティ更新「ホットパッチ」を提供開始した。「Azure Arc」対応の環境でのみ利用できる。（2024/9/25）

セキュリティニュースアラート：
「パッチ適用だけでは限界」　横浜銀行、Active Directory保護に向けてTenable製品を導入
横浜銀行はActive Directoryを標的にしたサイバー攻撃への耐性を高めるためTenable Identity Exposureを導入した。アイデンティティー侵害による攻撃が増加する中にあってActive Directoryの保護は急務となっていた。（2024/9/23）

「笑うしかない」　舞台「ボーボボ」キャラビジュ公開、100％再現された首領パッチやところ天の助の斬新な仕上がりに「天才すぎ」
これは期待できる……！（2024/9/13）

セキュリティニュースアラート：
Perlツール「cpanm」に深刻な脆弱性　パッチ未公開のため緩和策の適用を
CPAN Security Groupは、Perlツール「App::cpanminus」（通称：cpanm）に重大な脆弱性が存在すると報告した。この脆弱性はCVE-2024-45321として特定されており、パッチが公開されていないため緩和策を講じることが推奨されている。（2024/8/31）

セキュリティニュースアラート：
Windowsのセキュリティパッチを全て巻き戻すゼロデイ脆弱性が見つかる
SafeBreachはWindowsに複数のゼロデイ脆弱性を発見したと発表した。これらの脆弱性は「Windows Downdate」と呼ばれ、悪用されると修正パッチがロールバックされる恐れがある。（2024/8/9）

チェック・ポイント・リサーチが攻撃の概要を明らかに：
廃止済みの「Internet Explorer」を悪用したリモートコード実行の脆弱性、Microsoftは対策パッチをリリース
チェック・ポイント・リサーチは公式ブログで、廃止済みのInternet Explorerを悪用する攻撃手法を報告した。この攻撃手法はリモートコード実行を可能にする手口であり、2023年から2024年5月まで悪用されていることを確認済みだという。Microsoftは2024年7月9日に対策パッチをリリースしている。（2024/7/29）

Intel、一部のデスクトップ向けプロセッサの不安定性問題に対処するパッチ提供へ
Intelは、第13世代／第14世代のデスクトップ向けCoreプロセッサの不安定性の原因を発見したと発表した。8月中旬までにパッチを配布する計画だ。（2024/7/23）

IIJが「特製LANケーブル」を一般販売　自社のデータセンターでも使っている“プロ仕様”
インターネットイニシアティブ（IIJ）の子会社で、ネットワーク構築・関連ソリューション事業を手掛けるネットチャートは7月18日、カテゴリー6（Cat.6）のLANケーブル「eco-patch」（エコパッチ）を、26日より「IIJmioサプライサービス」にて一般販売すると発表した。（2024/7/18）

Cybersecurity Dive：
パッチリリースに先んじた攻撃　CISAはどのように侵入を許したか？
CISAを標的にしたサイバー攻撃によって化学施設のデータが盗まれた可能性があることが判明した。攻撃者はどのようにシステムに侵入したのか。（2024/7/14）

セキュリティソリューション：
アストラゼネカ、タニウムのXEMプラットフォームを導入してパッチ適用時間を大幅短縮
アストラゼネカはタニウムのXEMプラットフォームを導入し、125カ国で12万5000以上のエンドポイントを保護していると発表した。サイバー攻撃のリスクを最小限に抑え、患者ケアに集中するための効率性と可視性の向上に成功したという。（2024/7/6）

「Nデイ攻撃」に注意：
攻撃者は脆弱性公開から約5日で攻撃開始、パッチ適用できるか？　フォーティネット、セキュリティレポート
フォーティネットジャパンは「フォーティネット グローバル脅威レポート 2023年下半期版」を発表した。新しい脆弱性の公開から攻撃者がそのエクスプロイトを利用して攻撃するまでの日数が2023年上半期と比べて43％短縮していた。（2024/6/20）

セキュリティニュースアラート：
「Fortinet FortiSIEM」にCVSS v3.1スコア10の脆弱性　初期パッチで修正漏れ　ただちに確認を
「Fortinet FortiSIEM」にCVSS v3.1のスコア10.0脆弱性が見つかった。初期の修正パッチは不十分で類似のセキュリティ脆弱性に対して対応できていなかったと指摘した。簡単に脆弱性を悪用できるため注意が必要だ。該当する製品を使用している場合には確認を行うことが望まれる。（2024/5/30）

ある調査で分かった脅威の実態【前編】
Googleが調査、「ゼロデイ攻撃」増加の背景に“あの商用ツール”
Googleによると、パッチが提供されていない脆弱性を悪用する「ゼロデイ攻撃」が、2023年に再び増加傾向に転じた。その背景には、“ある商用ツール”の存在がある。（2024/5/7）

Windowsファイルサーバ移行の方法
サポート切れ「Windows Server 2012」放置はNG　サーバ移行に使えるあの方法
Windows Serverのサポート終了後はパッチの提供がなくなるので、使い続けることにリスクが伴う。「Windows Server 2012」でファイルサーバを運用してきた場合、どのような選択が求められるのか。（2024/3/21）