「Google Chrome」に致命的な脆弱性 修正版が展開中／経産省が脆弱性関連情報の取り扱いに関して声明を発表：週末の「気になるニュース」一気読み！（2/3 ページ）

うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、9月7日週を中心に公開された主なニュースを一気にチェックしましょう！

[山本竜也，ITmedia]

Microsoftが月例のセキュリティ更新プログラムを公開

　Microsoftは9月9日、現在サポートしているWindows 11およびWindows 10の全バージョンに対し、月例セキュリティ更新プログラムの配信を開始した。

　KB番号は、Windows 11 バージョン 24H2向けが「KB5065426」、23H2／22H2向けが「KB5065431」、Windows 10 バージョン 22H2／21H2向けが「KB5065429」、Windows 10 1809向けは「KB5065428」となる。

Microsoftが、Windows 10／11向けに9月度の月例更新プログラムの配信を開始した

　本更新プログラムでは、CVE番号ベースで86件の脆弱性に対応した。このうち深刻度を「Critical（緊急）」と評価しているのは以下の8件だ。

• CVE-2025-55236：グラフィックス カーネルのリモートでコードが実行される脆弱性
• CVE-2025-53800：Windows Graphics コンポーネントの特権の昇格の脆弱性
• CVE-2025-55224：Windows Hyper-Vのリモートでコードが実行される脆弱性
• CVE-2025-55226：グラフィックス カーネルのリモートでコードが実行される脆弱性
• CVE-2025-53799：Windows Imaging Componentの情報漏えいの脆弱性
• CVE-2025-54918：Windows NTLMの特権の昇格の脆弱性
• CVE-2025-54910：Microsoft Officeのリモート コードが実行される脆弱性
• CVE-2025-55228：Windows グラフィックス コンポーネントのリモートでコードが実行される脆弱性

　また、以下の2件は更新プログラムのリリースよりも前に脆弱性の詳細が公開されていることを確認しているという。

• CVE-2025-55234：Windows SMBの特権昇格の脆弱性
• CVE-2024-21907：VulnCheck: CVE-2024-21907 Newtonsoft.Jsonでの例外的な状態の不適切な処理

　この他、「CVE-2025-55232：Microsoft のハイ パフォーマンス コンピューティング（HPC）パックのリモートでコードが実行される脆弱性」は、CVSS基本値が9.8と高く、認証やユーザーの操作なしで悪用が可能な脆弱性となっている。

　悪用の報告などはないが、脆弱性の特性を鑑み、早急な更新プログラムの適用が推奨されている。

OpenAIが言語モデルで発生するハルシネーションの原因について研究結果を公開

　OpemAIは9月5日、言語モデルがハルシネーション（もっともらしいが事実と異なる情報を生成する現象）を起こす原因に関する研究結果を発表した。同社は、主に学習方法と評価方法の2つに根本的な原因があるとしている。

OpenAIは、言語モデルがハルシネーションを起こす原因ついての研究結果を発表した

　言語モデルは膨大なテキストデータから次の単語を予測する仕組みで学習されるが、従来の機械学習の問題とは異なり、各文に「真偽」のラベルは付与されない。

　この学習方法では、一貫したパターンや頻繁に出現する情報は学習と共にエラーが修正されるが、人の誕生日や論文のタイトルなど、出現頻度が低い特定の情報は正しく予測できず、ハルシネーションの原因となる。

　また、現在のベンチマークは、AIモデルが正直に「分からない」と回答するよりも、推測して正答率を上げる方が高い評価を得られる可能性がある。「分からない」と答えると評価を得られないが、推測して答えれば正解する可能性もあるわけだ。

　OpenAIは、ハルシネーションの抑制には、「分からない」と答えた場合に評価する仕組みが有効だとしている。ただし、不確実性を考慮した新しいテストをいくつか追加するだけでは不十分で、不確実性を適切に表現した場合に評価するよう、ベンチマークを修正する必要があるとのことだ。