WSUS脆弱性対応パッチが「再起動不要」のHotpatch機能を無効化：セキュリティニュースアラート

2025年10月配信の更新プログラムKB5070881は、WSUSの脆弱性（CVE-2025-59287）に対応する緊急修正だが、一部のWindows Server 2025でHotpatch登録状態を損なう不具合を発生させた。Microsoftは修正版KB5070893を2025年10月24日に提供している。

[後藤大地，ITmedia]

　2025年10月下旬に配信したMicrosoftの「Windows Server Update Services」（WSUS）用緊急セキュリティ更新プログラム（KB5070881）において、一部の「Windows Server 2025」環境で「Hotpatch」機能を無効化する不具合を引き起こしていることが分かった。この問題はWSUSの重大なリモートコード実行の脆弱（ぜいじゃく）性（CVE-2025-59287）への対処を目的とした更新プログラムに起因している。

　Hotpatchは「Windows Server 2022 Datacenter: Azure Edition」以降に導入の更新方式であり、サーバを再起動することなくセキュリティ更新を反映できる仕組みだ。稼働停止リスクを最小化する点から、特に仮想化環境や高可用性構成で広く採用されている。

WSUS向け緊急セキュリティ更新プログラム適用で不具合　対処法は？

　CVE-2025-59287は、WSUSの更新承認処理に存在するデシリアライズの不備に起因する脆弱性とされ、悪用されるとリモートで任意のコードを実行される恐れがある。共通脆弱性評価システム（CVSS）v3.1の深刻度が9.8（Critical）と評価されているこの脆弱性はPoC（概念実証）コードが公開されており、攻撃に利用される可能性がある。

　MicrosoftはCVE-2025-59287に対処するため、2025年10月23日（現地時間、以下同）に緊急パッチKB5070881を公開し、直ちに配布を開始した。しかしこの更新プログラムは、当初Hotpatch機能の登録有無に関係なくWindows Server 2025全体に提供される設定となっていたため、Hotpatch登録済みの一部サーバに誤って配信され、Hotpatch登録状態が失われる不具合が発生した。この影響でHotpatch登録済みデバイスが今後2カ月間、通常の月例更新（再起動を要する更新）しか受け取れない状態となる。

　Microsoftによると、KB5070881をインストールしたサーバは、2025年11月および同年12月分のHotpatch更新を受け取らず、通常のセキュリティ更新プログラムが提供される。これらのシステムは2026年1月に予定されているベースライン更新を適用した後、2026年2月以降にHotpatch配信経路に復帰する計画となっている。

　KB5070881をダウンロード済みだが未インストールのサーバの場合については設定画面の「Windows Update」で更新を一時停止し、再開して再スキャンを実施することで、修正版のKB5070893を取得できる。KB5070893は2025年10月24日に公開のWSUS用のセキュリティ更新であり、CVE-2025-59287の脆弱性を修正しつつ、Hotpatch登録状態を維持できるよう設計されている。Hotpatch登録済みのシステムでは引き続き2025年11月および同年12月のHotpatch更新を受け取ることが可能とされている。

　KB5070893はWSUSが有効化されているサーバのみ再起動を要求するが、それ以外の構成では再起動は不要だ。MicrosoftはKB5070881の配信をHotpatch未登録のシステムのみに制限し、該当環境用にKB5070893を適切に提供する体制に移行している。

　今回の不具合は、ゼロダウンタイム更新の実現を目指す仕組みが抱える複雑さを示す一例となった。WSUSは企業内でのパッチ配布を集中管理する基盤として広く利用されており、その脆弱性放置は企業ネットワーク全体の安全性に影響する。Hotpatch登録済みのシステム管理者は、更新履歴と配信状況から、適切な更新プログラムが適用されているかどうかを確かめる必要がある。

　Microsoftは今回の件に関する詳細な手順と影響範囲をサポートサイトで公表しており、今後の月例更新で正常なHotpatch配信が再開される見通しだ。企業管理者は、CVE-2025-59287の修正を遅らせることが攻撃リスクを高めることを踏まえ、指示に従った更新運用をする必要がある。