「共有フォルダを開いただけで感染」…そんな悪夢に備える日が、また来た。
月イチ恒例の“パッチチューズデー”、今回は特に、現場の40代エンジニアに直撃するアップデート内容でした。
Patch Tuesday とは?(初心者向けざっくり解説)
まず、「Patch Tuesday(パッチチューズデー)」って何?という方のために説明を。
これは毎月第2火曜(日本では水曜早朝)に、Microsoftが一括で脆弱性パッチを公開する日です。WindowsやOfficeはもちろん、SQL Serverなど企業システムの根幹に関わる製品も対象です。
要は、「今日アップデートしないとヤバいやつが山ほどある」ってこと。
今月のアップデート:何がヤバいの?
2025年7月のPatch Tuesdayでは、なんと130件の脆弱性が一気に修正されました。
特に注目すべきは次の3点:
SPNEGOのリモートコード実行(CVSS 9.8)
SPNEGOという認証プロトコルの欠陥により、ネットワーク越しに認証なしでコード実行できてしまうという恐ろしいバグ。
しかもメール1通や共有フォルダ経由でワーム化する可能性も指摘されています。つまり、手を触れずに感染が広がるタイプです。
SQL Serverの情報漏えい(CVE-2025-49719)
SQL Serverの既知バグも今回修正対象に。ただし、このパッチ適用後はドライバの更新が必要になり、古めの接続ライブラリを使っているとエラーが出たり、パフォーマンスが落ちるリスクも。
BitLockerの暗号回避バグ
テレワーク端末でおなじみのBitLocker。実はこの暗号も“うっかり突破”される可能性があったそうで…。
端末盗難時の最悪シナリオ(「暗号化してたのに中身見られた」)を防ぐためにも、今回のパッチは超重要です。
40代エンジニアこそ要注意な理由
この手のパッチ、クラウドネイティブな世界では「自動更新でOK」で済む話かもしれません。でも、現場にはまだまだオンプレのWindows ServerやSQL Serverがゴロゴロしています。
クラウド移行の過渡期にある今、「古いけど止められない」システムの面倒を見るのは、我々40代の役割になりがち。
こういう状況でこそ、「テスト環境での事前検証」や「ロールバック計画」の有無が、運用スキルの差として如実に出ます。
今夜やるべきアクション(初心者でもできる3ステップ)
✅ 自宅&会社PCのWindows Updateを即実行
→ 自動更新OFFなら、ONに変更を。
✅ SQL Server/SharePointを扱ってる人は、まずテスト環境で検証を
→ 開発・運用メンバーと連携して週内対応を。
✅ WSUS/Intuneの配信ルール見直し
→ 「公開から48時間以内に適用」ルールを社内標準に。
キャリアTIP:守りの仕事で“攻めの強さ”が身につく
「脆弱性」を読む習慣は、キャリアを守る最強スキルになる。
今回のCVSS 9.8のCVE-2025-47981(SPNEGO)を調べ、攻撃の仕組みや想定される被害を1枚図解してみましょう。
地味に見える作業ですが、「説得力のある設計」や「監視体制の構築」につながる力がつきます。
40代からのセキュリティキャリアは、こうした“読み解き力”が鍵を握ります。
アップデートは「面倒な義務」ではなく「設計力を磨く演習」
コメント