KB5070883とは?なぜ重要なのか
KB5070883 は 2025年10月23日に公開された臨時(Out-of-band)更新です。
WSUSの“報告用Webサービス”に見つかったリモートコード実行(RCE)脆弱性 CVE-2025-59287 を修正します。深刻度はCVSS 9.8(非常に高い)で、公開されたPoCをきっかけに実際の悪用も確認されたため、Microsoftが通常の月例外で急ぎ提供しました。
影響を受けるのはWSUSサーバーの役割を有効化した Windows Server(主に2019)です。WSUSを使っていないサーバーや、一般のWindows 10/11クライアントPCはこの脆弱性の影響を受けません。
💡WSUSを使っているサーバーなら早急に KB5070883 を適用しましょう。
適用後は再起動が必要です。
Microsoft が提供する 社内向けの更新サーバー です。管理者が 更新プログラムを一括で取得・承認・配信でき、配布タイミングや対象端末を細かく制御できます。 インターネット上の Windows Update に直接つながず、帯域や運用を最適化できるのが利点です。
自分に関係があるか確認する
これは“サーバー”の話?
ご自身が触っているのが「Windows 10/11のパソコン」なら、この更新は基本的に不要です。企業・学校・事務所などで使うWindows Server 2019の管理用マシンであれば、次へ進みます。
WSUSを使っている?
サーバー マネージャー →「役割と機能」に Windows Server Update Services(WSUS) がインストール済みなら対象です。WSUSを使っていない場合、この脆弱性の影響はありません。
いま問題が起きている?
Windows Update の適用で KB5070883 が失敗、またはエラーコード(例:0x800f0985)が表示されるという報告が一部で見られます。失敗時の対処はこの記事後半の手順へ。
すぐやるべき対策
最優先:更新を適用→再起動
Windows Update または Microsoft Update カタログ経由で KB5070883 を適用し、サーバーを再起動します。これでRCE脆弱性(CVE-2025-59287)への防御が入ります。
どうしても今すぐ適用できない場合の暫定策
一時的に WSUSの役割を無効化、または ポート 8530/8531 への受信をブロックするとリスク低減になります(その間、クライアントへの更新配信は止まる点に注意)。適用可能になり次第、早急に更新してください。
KB5070883 の既知の仕様変更・注意点
WSUSの同期エラー詳細が表示されなくなる
この更新以降、WSUSのエラー詳細表示が一時的に非表示になります(脆弱性対策の一環)。「エラーの中身が見えない…」と感じても仕様です。運用上はイベントログやサーバー側ログで補完してください。
手順①:通常のインストール手順(画面どおりに進めるだけ)
- バックアップとメンテナンス時間の確保
できればスナップショット(仮想環境)やシステム/WSUSのバックアップを取り、再起動できる時間帯を確保します。 - Windows Update で確認
「設定」→「更新とセキュリティ」→「Windows Update」→「更新プログラムのチェック」で KB5070883 を検出→ダウンロード→インストール→再起動。 - カタログから手動適用(代替ルート)
もしWindows Updateで出てこない/失敗する場合は、Microsoft Updateカタログから KB5070883(OSビルド 17763.7922) をダウンロードして手動インストール→再起動。 - 適用確認
「winver」や「設定→システム→バージョン情報」等でビルド番号(17763.7922 以降)を確認。WSUSコンソールがふつうに開け、クライアントへの同期が進むかも軽くチェックしておきます。
手順②:インストールが失敗する場合の対処(0x800f0985 など)
失敗報告の多くは 0x800f0985 という汎用的な更新エラーです。以下を上から順に試してみてください。難しいコマンドはそのまま貼って使えます。
①最新のSSU(サービススタック)と前提更新の確認
月例(10/14配信の KB5066586 など)→臨時OOB(KB5070883)という順で改善が入っています。先行更新が抜けていると失敗しやすいことがあります。Windows Update を複数回実行し、SSU/LCUの取りこぼしを解消してから KB5070883 を再実行。
②基本の整備:DISM と SFC
管理者PowerShell/コマンドで順に実行 → 完了後再起動 → KBを再適用
DISM /Online /Cleanup-Image /RestoreHealth
sfc /scannow
(システムファイルやコンポーネントの破損を修復します)
③Windows Update の一時領域をリセット
管理者PowerShellで(順に実行)→ 再起動 → KBを再適用
net stop wuauserv
net stop bits
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
ren C:\Windows\System32\catroot2 catroot2.old
net start bits
net start wuauserv
④カタログから“オフライン”インストール
.msu(または .cab)をダウンロード→サーバー上で右クリック実行。失敗する場合は保守時間帯にクリーンブート(不要サービスを切る)で再試行。
⑤ログ確認の入口
どうしても原因が見えない場合は、CBS.log / DISM.log のエラータイミングを確認。合わせて イベントビューアー(WindowsUpdateClient / Servicing)で該当時刻をチェック。似た事例(0x800f0985 と KB5070883)はコミュニティにも上がっているので、キーワードで照合して手がかりを探します。
手順③:どうしても時間がなく、まず危険だけ避けたい場合(暫定回避)
※恒久対策は“KB適用”です。以下は“数時間〜数日しのぐ”ための暫定策です。運用影響(更新が止まる等)を理解したうえで、保守時間を確保できたら必ずKBを適用してください。
- WSUSロールを一時的に無効化(役割の削除/停止)
- ファイアウォールで 8530/8531 を一時ブロック(HTTP/HTTPS のWSUS既定ポート)
- 外部公開は避ける(WSUSをインターネットに直接さらさない)
これらで“入り口”を絞り、被害リスクを下げられます。
よくある質問(初心者向け)
Q1:家庭のWindows 10/11にもKB5070883は必要ですか?
A:いいえ。サーバー(Windows Server 2019)でWSUSを使っている場合が主対象です。一般のPCは影響を受けません。BleepingComputer+1
Q2:更新後、WSUSのエラー詳細が見えなくなりました。故障ですか?
A:仕様変更です。脆弱性対策の一環で、同期エラーの詳細表示は一時的に無効化されます。ログやイベントビューアーで確認してください。マイクロソフトサポート
Q3:今すぐ止めるには?
A:KB適用が最優先ですが、どうしても時間が取れないならWSUS無効化や 8530/8531 ブロックで一時しのぎは可能です(ただしクライアントへの配信が止まります)。TechRadar+1
Q4:0x800f0985でどうしても進みません。
A:SSU/LCUの取りこぼし解消 → DISM/SFC → Updateリセット → カタログのオフライン適用の順で再試行。コミュニティでも同様事例が挙がっています。NinjaOne+2TECHCOMMUNITY.MICROSOFT.COM+2
まとめ
- KB5070883はWSUSの重大なRCE脆弱性(CVE-2025-59287)修正。WSUSを使うWindows Server 2019が対象。一般PCは対象外。
- 最優先で適用→再起動。当面はWSUSの同期エラー詳細が出ないのは仕様。
- 失敗時は SSU/LCU確認 → DISM/SFC → Updateリセット → カタログ適用の順で対処。必要なら一時的にWSUS停止やポート遮断でリスク低減。
パソコンの更新エラーやセキュリティ対策は、内容が専門的に見えても、
ひとつひとつ順を追っていけばきちんと解決できます。
今回の KB5070883 も、対象が限られているため慌てる必要はありません。
まずはご自身の環境に関係があるかを確認し、必要な場合は早めに更新を進めておきましょう。
サーバー運用をしていない方も、「こういう更新があるんだ」と知っておくだけで、
ニュースや職場のIT対応がぐっとわかりやすくなります。
おすすめ関連記事
・Windows 更新エラー 0x800705b9 の原因と対処法
