ミニ・いんふぉめーしょん

目　次
【1】複数のSAP製品に脆弱性
【2】desknet's NEOに複数の脆弱性
【3】ChatLuckに複数の脆弱性
【4】複数のF5製品に脆弱性
【5】複数のMozilla製品に脆弱性
【6】Google Chromeに解放済みメモリの使用の脆弱性
【7】JPCERT/CCが2025年7月-9月分の「JPCERT/CC 四半期レポート」を公開
【8】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のSAP製品に脆弱性
情報源
https://support.sap.com/ja/my-support/knowledge-base/security-notes-news/october-2025.html

概要
複数のSAP製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】desknet's NEOに複数の脆弱性
情報源
https://jvn.jp/jp/JVN90757550/

概要
株式会社ネオジャパンが提供するグループウェア「desknet's NEO」には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することなどで解決します。なお、クラウド版は開発者にてすでに修正済みです。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.desknets.com/neo/support/mainte/17475/

【3】ChatLuckに複数の脆弱性
情報源
https://jvn.jp/jp/JVN13030751/

概要
株式会社ネオジャパンが提供するビジネスチャットツール「ChatLuck」には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。なお、クラウド版は開発者にてすでに修正済みです。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.chatluck.com/support/package/mainte/pchatluck-製品における、複数のセキュリティ上の問題に/

【4】複数のF5製品に脆弱性
情報源
https://my.f5.com/manage/s/article/K000154696

概要
F5は、2025年10月15日（現地時間）、BIG-IP製品の開発環境やエンジニアリングナレッジ管理プラットフォームに攻撃者が侵入し、ファイルを流出させた事実を本年8月に確認していたことを公表しました。流出したファイルには、BIG-IP製品のソースコードの一部やBIG-IPで対応中の未公表脆弱性に関する情報が含まれていたとのことです。同社は同日、BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ、およびAPMクライアント向けのアドバイザリを公表しており、迅速なアップデートをユーザーに推奨しています。詳細は、開発者が提供する情報を参照してください。
関連文書
https://my.f5.com/manage/s/article/K000156572

【5】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-81/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-82/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-83/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-84/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-85/

【6】Google Chromeに解放済みメモリの使用の脆弱性
情報源
https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_14.html

概要
Google Chromeには解放済みメモリの使用の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【7】JPCERT/CCが2025年7月-9月分の「JPCERT/CC 四半期レポート」を公開
情報源
https://www.jpcert.or.jp/qr/2025/QR_FY2025-Q2.pdf

概要
JPCERT/CCは、2025年7月から9月分の四半期レポートを公開しました。JPCERT/CCが報告を受けたインシデントの統計や事例をはじめ、国内外の活動についてまとめています。

【8】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250022.html

概要
複数のマイクロソフト製品には、脆弱性があります。マイクロソフトは、今回修正された一部の脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.microsoft.com/en-us/msrc/blog/2025/10/202510-security-update/

目　次
【1】Draytek製Vigorルーターに初期化されていないリソース使用の脆弱性
【2】GitLabに複数の脆弱性
【3】ArcGIS ServerにSQLインジェクションの脆弱性
【4】複数のJuniper Networks製品に脆弱性
【5】RedisのLuaスクリプト実行機能に解放済みメモリの使用の脆弱性
【6】複数のデンソーテン製ドライブレコーダー ビューアのインストーラーに任意のDLL読み込みの脆弱性
【7】Oracle E-Business Suiteにリモートコード実行の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Draytek製Vigorルーターに初期化されていないリソース使用の脆弱性
情報源
https://jvn.jp/vu/JVNVU95494957/

概要
Draytek製Vigorルーターには、初期化されていないリソース使用の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.draytek.com/about/security-advisory/use-of-uninitialized-variable-vulnerabilities/

【2】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/10/08/patch-release-gitlab-18-4-2-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】ArcGIS ServerにSQLインジェクションの脆弱性
情報源
https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/arcgis-server-feature-services-security-patch

概要
Esriが提供する地理情報システム（GIS）ソフトウェアArcGIS Serverには、SQLインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】複数のJuniper Networks製品に脆弱性
情報源
https://supportportal.juniper.net/s/article/2025-10-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-Specific-BGP-EVPN-update-message-causes-rpd-crash-CVE-2025-60004

概要
複数のJuniper Networks製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://supportportal.juniper.net/s/global-search/%40uri#sortCriteria=date%20descending&f-sf_primarysourcename=Knowledge&f-sf_articletype=Security%20Advisories&numberOfResults=25

【5】RedisのLuaスクリプト実行機能に解放済みメモリの使用の脆弱性
情報源
https://redis.io/blog/security-advisory-cve-2025-49844/

概要
RedisのLuaスクリプト実行機能には、解放済みメモリの使用の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://github.com/redis/redis/security/advisories/GHSA-4789-qfc9-5f9q

【6】複数のデンソーテン製ドライブレコーダー ビューアのインストーラーに任意のDLL読み込みの脆弱性
情報源
https://jvn.jp/jp/JVN95806263/

概要
株式会社デンソーテンが提供する複数のドライブレコーダー ビューアのインストーラーには、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう脆弱性があります。この問題に対して、開発者から本脆弱性を修正したインストーラーが提供されています。製品をインストールする際は最新版のインストーラーを使用してください。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.denso-ten.com/jp/information/topics/2025/1002/

【7】Oracle E-Business Suiteにリモートコード実行の脆弱性
情報源
https://www.oracle.com/security-alerts/alert-cve-2025-61882.html

概要
Oracle E-Business Suiteには、遠隔から認証なしでコードを実行可能な脆弱性があります。開発者によると、本脆弱性は悪用された可能性があるとのことです。この問題は、当該製品を更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://blogs.oracle.com/security/post/apply-july-2025-cpu

目　次
【1】OpenSSLに複数の脆弱性
【2】複数のMozilla製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のApple製品に脆弱性
【5】npmで発生した大規模なサプライチェーン侵害について
【6】複数のVMware製品に脆弱性
【7】NICTが「NICTER観測統計 - 2025年4月-6月」を公開
【8】Cisco ASA、FTD、IOS、IOS XEおよびIOS XRにおける任意のコード実行の脆弱性（CVE-2025-20363）について
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】OpenSSLに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93161789/

概要
OpenSSLには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-80/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox for iOSが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-79/

【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_30.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/125326

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/125327

https://support.apple.com/ja-jp/125328

https://support.apple.com/ja-jp/125329

https://support.apple.com/ja-jp/125330

https://support.apple.com/ja-jp/125338

【5】npmで発生した大規模なサプライチェーン侵害について
情報源
https://kb.cert.org/vuls/id/534320

概要
2025年9月15日（現地時間）、ソフトウェアサプライチェーンセキュリティ企業のSocketが主要なnpmサプライチェーンにおける大規模なセキュリティ侵害の調査状況について公表しています。CERT/CCはこの件に関連して2025年9月29日（現地時間）にアドバイザリを発行し、npmユーザーおよび開発者向けに推奨事項を提示しています。
関連文書
https://socket.dev/blog/ongoing-supply-chain-attack-targets-crowdstrike-npm-packages

【6】複数のVMware製品に脆弱性
情報源
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36149

概要
Broadcomが提供する複数のVMware製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。なお、今回公表された脆弱性のうち、VMware Aria OperationおよびVMware Toolsにおけるローカル権限昇格の脆弱性（CVE-2025-41244）について、脆弱性を報告した海外セキュリティ企業のNVISOが脆弱性の悪用の可能性を示すブログ記事を公表しています。
関連文書
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36150

https://blog.nviso.eu/2025/09/29/you-name-it-vmware-elevates-it-cve-2025-41244/

【7】NICTが「NICTER観測統計 - 2025年4月-6月」を公開
情報源
https://blog.nicter.jp/2025/09/nicter_statistics_2025_2q/

概要
情報通信研究機構（NICT）は、「NICTER観測統計 - 2025年4月-6月」を公開しました。
NICTERプロジェクトのダークネット観測網における2025年第2四半期（4月-6月）の観測結果をまとめています。

【8】Cisco ASA、FTD、IOS、IOS XEおよびIOS XRにおける任意のコード実行の脆弱性（CVE-2025-20363）について
情報源
https://www.jpcert.or.jp/newsflash/2025093001.html

概要
複数のCisco製品には、任意のコード実行につながる脆弱性（CVE-2025-20363）があります。本脆弱性は、ArcaneDoor攻撃キャンペーンに関連して悪用が確認されたとされる2件（CVE-2025-20333、CVE-2025-20362）と同時期に公表されたもので、Cisco ASA、FTD、IOS、IOS XEおよびIOS XRが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-http-code-exec-WmfP3h3O

https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks

目　次
【1】GitLabに複数の脆弱性
【2】複数のCisco製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】Cisco ASAおよびFTDにおける複数の脆弱性（CVE-2025-20333、CVE-2025-20362）に関する注意喚起
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/09/25/patch-release-gitlab-18-4-1-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計19件（Critical 2件、High 8件、Medium 9件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は開発者が提供する情報を参照してください。なお、CVE-2025-20333およびCVE-2025-20362は悪用が確認されており、JPCERT/CCは注意喚起を発行しています。また、CVE-2025-20363は悪用の観測は無いもののCriticalと評価されているため、早急に対処を検討してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_23.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】Cisco ASAおよびFTDにおける複数の脆弱性（CVE-2025-20333、CVE-2025-20362）に関する注意喚起
情報源
https://www.jpcert.or.jp/at/2025/at250021.html

概要
Cisco Adaptive Security Appliance（ASA）およびFirewall Threat Defense（FTD）には、複数の脆弱性があります。これらの脆弱性の悪用を開発元は確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB

https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks

目　次
【1】NECのUNIVERGE IX／IX-R／IX-Vシリーズルータにクロスサイトスクリプティングの脆弱性
【2】Google Chromeに複数の脆弱性
【3】WatchGuardのFireboxに任意のコード実行につながる脆弱性
【4】複数のAtlassian製品に脆弱性
【5】Spring FrameworkおよびSpring Securityに認可バイパスの脆弱性
【6】アイ・オー・データの無線LANルーターに複数の脆弱性
【7】複数のMozilla製品に脆弱性
【8】複数のApple製品に脆弱性
【9】警察庁が「令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開
【10】SonicWallがクラウドバックアップサービスに関連するインシデントの情報を公表
【11】JPCERT/CCが「解説：脆弱性関連情報取扱制度の運用と今後の課題について（後編）-脆弱性悪用情報のハンドリングと今後の課題-」を公開
【12】フィッシング対策協議会が「送信ドメイン認証技術導入実施状況について -ISP、CATV、モバイル事業者、フリーメール事業者における導入・設定状況-」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】NECのUNIVERGE IX／IX-R／IX-Vシリーズルータにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN95938761/

概要
日本電気株式会社（NEC）が提供するUNIVERGE IX／IX-R／IX-Vシリーズルータには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://jpn.nec.com/security-info/secinfo/nv25-005.html

【2】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_17.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。なお、Googleは、今回修正した一部の脆弱性について、エクスプロイトの存在を確認しているとのことです。詳細は、開発者が提供する情報を参照してください。

【3】WatchGuardのFireboxに任意のコード実行につながる脆弱性
情報源
https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00015

概要
WatchGuardが提供するFireboxには、任意のコード実行につながる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-september-16-2025-1627098357.html

概要
複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】Spring FrameworkおよびSpring Securityに認可バイパスの脆弱性
情報源
https://spring.io/security/cve-2025-41248

概要
Spring FrameworkおよびSpring Securityには、特定のアノテーションを用いている場合に認可処理がバイパスされる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://spring.io/security/cve-2025-41249

【6】アイ・オー・データの無線LANルーターに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU97490987/

概要
株式会社アイ・オー・データ機器が提供する無線LANルーターには、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.iodata.jp/support/information/2025/09_wn-7d36qr/index.htm

【7】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-73/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Focus for iOS、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-74/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-75/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-76/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-77/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-78/

【8】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/125108

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。今回、iOSおよびiPadOS 15系、16系に向けて、すでに悪用が確認されている脆弱性（CVE-2025-43300）の修正も提供されています。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/125109

https://support.apple.com/ja-jp/125110

https://support.apple.com/ja-jp/125111

https://support.apple.com/ja-jp/125112

https://support.apple.com/ja-jp/125113

https://support.apple.com/ja-jp/125114

https://support.apple.com/ja-jp/125115

https://support.apple.com/ja-jp/125116

https://support.apple.com/ja-jp/125117

https://support.apple.com/ja-jp/125141

https://support.apple.com/ja-jp/125142

【9】警察庁が「令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開
情報源
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf

概要
警察庁は「令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開しました。この文書では、令和7年上半期におけるサイバー攻撃やサイバー犯罪の情勢および警察の取り組みについてまとめられています。

【10】SonicWallがクラウドバックアップサービスに関連するインシデントの情報を公表
情報源
https://www.sonicwall.com/support/knowledge-base/mysonicwall-cloud-backup-file-incident/250915160910330

概要
SonicWallは、同社が運営するポータルサイト「MySonicWall」に保存されているファイアウォールの設定ファイルに第三者がアクセスしたとの情報を公表しました。SonicWallによると、クラウドバックアップ機能を有効にしている製品が本件の影響を受ける可能性があるとのことです。SonicWallは、MySonicWallにログインし、影響を受けたシリアル番号がリストされているかどうかの確認をユーザーに推奨しています。影響を受ける場合は、資格情報のリセットなど対処が必要です。詳細は、SonicWallが提供する情報を参照してください。

【11】JPCERT/CCが「解説：脆弱性関連情報取扱制度の運用と今後の課題について（後編）-脆弱性悪用情報のハンドリングと今後の課題-」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/09/handling_vul_info_2.html

概要
JPCERT/CCは、「脆弱性関連情報取扱制度の運用と今後の課題について（後編）-脆弱性悪用情報のハンドリングと今後の課題-」を公開しました。本記事（後編）では、脆弱性がすでに悪用されている、あるいは悪用の蓋然性が高まっている状況における対処オペレーションについて、JPCERT/CCとしての視点から解説しています。

【12】フィッシング対策協議会が「送信ドメイン認証技術導入実施状況について -ISP、CATV、モバイル事業者、フリーメール事業者における導入・設定状況-」を公開
情報源
https://www.antiphishing.jp/report/wg/cert_20250916.html

概要
フィッシング対策協議会の証明書普及促進ワーキンググループが「送信ドメイン認証技術導入実施状況について -ISP、CATV、モバイル事業者、フリーメール事業者における導入・設定状況-」を公開しました。本報告書では、一般財団法人日本データ通信協会の迷惑メール相談センターが実施した「送信ドメイン認証実施状況」の2023年ならびに2024年の調査結果をもとに、SPF／DKIM／DMARC／BIMIの導入率を集計した結果が示されています。

目　次
【1】複数のSAP製品に脆弱性
【2】GitLabに複数の脆弱性
【3】Google Chromeに複数の脆弱性
【4】JPCERT/CCが「解説：脆弱性関連情報取扱制度の運用と今後の課題について（前編）-公益性のある脆弱性情報開示とは何か-」を公開
【5】JPCERT/CCが「インターネット定点観測レポート（2025年 4-6月）」を公開
【6】複数のアドビ製品に脆弱性
【7】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のSAP製品に脆弱性
情報源
https://support.sap.com/ja/my-support/knowledge-base/security-notes-news/september-2025.html

概要
複数のSAP製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/09/10/patch-release-gitlab-18-3-2-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_9.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】JPCERT/CCが「解説：脆弱性関連情報取扱制度の運用と今後の課題について（前編）-公益性のある脆弱性情報開示とは何か-」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/09/handling_vul_info_1.html

概要
JPCERT/CCは、「解説：脆弱性関連情報取扱制度の運用と今後の課題について（前編）-公益性のある脆弱性情報開示とは何か-」を公開しました。本記事（前編）では、平時における脆弱性調整の課題や制度の意義について、JPCERT/CCとしての視点から解説しています。

【5】JPCERT/CCが「インターネット定点観測レポート（2025年 4-6月）」を公開
情報源
https://www.jpcert.or.jp/tsubame/report/report202504-06.html

概要
JPCERT/CCは、「インターネット定点観測レポート（2025年 4-6月）」を公開しました。2025年4月から6月の間に、インターネット定点観測システム「TSUBAME」で観測した結果とその分析の概要について紹介しています。
関連文書
https://blogs.jpcert.or.jp/ja/2025/09/tsubame-overflow20250406.html

【6】複数のアドビ製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250020.html

概要
複数のアドビ製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://helpx.adobe.com/security/security-bulletin.html

【7】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250019.html

概要
複数のマイクロソフト製品には、脆弱性があります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2025/09/202509-security-update/

目　次
【1】Web Caster V130にクロスサイトリクエストフォージェリの脆弱性
【2】セイコーソリューションズ製SkyBridge BASIC MB-A130にOSコマンドインジェクションの脆弱性
【3】フィッシング対策協議会20周年記念セミナー開催のご案内
【4】JPCERT/CCが「Rustで作成されたバイナリのリバースエンジニアリング調査レポート」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Web Caster V130にクロスサイトリクエストフォージェリの脆弱性
情報源
https://jvn.jp/jp/JVN65839588/

概要
NTT東日本株式会社およびNTT西日本株式会社が提供するWeb Caster V130には、クロスサイトリクエストフォージェリの脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.ntt-east.co.jp/info/detail/220903_01.html

https://www.ntt-west.co.jp/info/support/oshirase20250903.html

【2】セイコーソリューションズ製SkyBridge BASIC MB-A130にOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN22016482/

概要
セイコーソリューションズ株式会社が提供するSkyBridge BASIC MB-A130には、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.seiko-sol.co.jp/archives/90289/

【3】フィッシング対策協議会20周年記念セミナー開催のご案内
情報源
https://www.antiphishing.jp/news/event/antiphishing_seminar2025.html

概要
2025年11月14日、フィッシング対策協議会は、「フィッシング対策協議会20周年記念セミナー」を開催します。フィッシング詐欺に関連する法執行機関、金融機関、学術機関などから有識者を招き、フィッシングの傾向とその対応策などを紹介します。また、会場にはフィッシング対策サービスや各種ソリューションの展示ブースも設置予定です。

【4】JPCERT/CCが「Rustで作成されたバイナリのリバースエンジニアリング調査レポート」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/09/rust_research.html

概要
JPCERT/CCは、「Rustで作成されたバイナリのリバースエンジニアリング調査レポート」を公開しました。本レポートは、Rustで作成されたバイナリに対するリバースエンジニアリングに関して検証した結果をまとめています。
関連文書
https://github.com/JPCERTCC/rust-binary-analysis-research-ja

目　次
【1】コニカミノルタ製bizhubシリーズにサービス運用妨害（DoS）の脆弱性
【2】複数のiND製品に脆弱性
【3】GitLabに複数の脆弱性
【4】複数のi-フィルター製品に不適切なファイルアクセス権設定の脆弱性
【5】SS1に複数の脆弱性
【6】ScanSnap Managerのインストーラに権限昇格につながる脆弱性
【7】Google Chromeに脆弱性
【8】複数のHTTP/2サーバー実装におけるストリームリセット処理の不備
【9】IPAが「企業における営業秘密管理に関する実態調査2024」を公開
【10】Citrix Netscaler ADCおよびGatewayに脆弱性
【11】制御システムセキュリティカンファレンス2026講演募集
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】コニカミノルタ製bizhubシリーズにサービス運用妨害（DoS）の脆弱性
情報源
https://jvn.jp/vu/JVNVU99831542/

概要
コニカミノルタ株式会社が提供するbizhubシリーズには、不正な形式のファイルをインポートすることによりサービス運用妨害（DoS）を引き起こされる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.konicaminolta.jp/business/support/important/250829_01_01.html

【2】複数のiND製品に脆弱性
情報源
https://jvn.jp/jp/JVN50585992/

概要
株式会社iNDが提供する複数の製品には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.i-netd.co.jp/vulnerability/dceid-2025-001/

【3】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/08/27/patch-release-gitlab-18-3-1-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】複数のi-フィルター製品に不適切なファイルアクセス権設定の脆弱性
情報源
https://jvn.jp/jp/JVN55678602/

概要
デジタルアーツ株式会社が提供する複数のi-フィルター製品には、不適切なファイルアクセス権設定の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することなどで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.daj.jp/shared/php/downloadset/c/parts.php?page=dl&filename=information_20250827_01.pdf

https://www.daj.jp/shared/php/downloadset/c/parts.php?page=dl&filename=information_20250827_02.pdf

【5】SS1に複数の脆弱性
情報源
https://jvn.jp/jp/JVN99577552/

概要
株式会社ディー・オー・エスが提供するSS1には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.dos-osaka.co.jp/news/2025/08/250827.html

【6】ScanSnap Managerのインストーラに権限昇格につながる脆弱性
情報源
https://jvn.jp/jp/JVN69684540/

概要
ScanSnap Managerのインストーラには、権限昇格につながる脆弱性があります。開発者によると、当該製品はサポートを終了しているとのことです。開発者が提供する情報を確認し、該当製品の使用停止および後継製品ScanSnap Homeへの移行を検討してください。
関連文書
https://www.pfu.ricoh.com/imaging/news/news20230606.html

【7】Google Chromeに脆弱性
情報源
https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop_26.html

概要
Google Chromeには、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【8】複数のHTTP/2サーバー実装におけるストリームリセット処理の不備
情報源
https://jvn.jp/vu/JVNVU92928084/

概要
複数のHTTP/2サーバー実装に対して、ストリームリセット処理の不備に関する「MadeYouReset」と呼ばれる脆弱性（CVE-2025-8671）が報告されています。幾つかの製品ベンダーは、この問題への対策に関する情報を提供しています。各製品ベンダーの対応状況については、JVNおよびCERT/CCの情報を参照してください。
関連文書
https://www.kb.cert.org/vuls/id/767506

【9】IPAが「企業における営業秘密管理に関する実態調査2024」を公開
情報源
https://www.ipa.go.jp/pressrelease/2025/press20250829.html

概要
独立行政法人情報処理推進機構（IPA）は、「企業における営業秘密管理に関する実態調査2024」を公開しました。この調査は、企業・組織のセキュリティ実務担当者や経営層を対象にしており、企業における営業秘密の漏えいの発生状況、漏えい対策等の実態をまとめています。

【10】Citrix Netscaler ADCおよびGatewayに脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250018.html

概要
Citrix Netscaler ADCおよびGatewayには、複数の脆弱性があります。これらの脆弱性のうち、任意のコード実行などにつながる脆弱性（CVE-2025-7775）の悪用を開発元は確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938

【11】制御システムセキュリティカンファレンス2026講演募集
情報源
https://www.jpcert.or.jp/event/ics-conf-cfp2026/

概要
JPCERTコーディネーションセンターは、2026年2月10日（火）に「制御システムセキュリティカンファレンス2026」の開催を予定しております。現在、講演希望者を広く募集しています。講演をご希望の方は、URLに記載の開催概要とCFP募集要項をお読みいただき、講演申込事項を記載の上、メールにてCFP担当までお送りください。

目　次
【1】複数のApple製品に境界外書き込みの脆弱性
【2】Movable Typeに複数の脆弱性
【3】複数のMozilla製品に脆弱性
【4】Google Chromeに脆弱性
【5】JPCERT/CCが「標準から学ぶICSセキュリティ #8 ICSのシステムに対するセキュリティ要件」を公開
【6】フィッシング対策協議会が「SSL/TLSサーバー証明書における 有効期間短縮化について」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のApple製品に境界外書き込みの脆弱性
情報源
https://support.apple.com/ja-jp/124925

概要
複数のApple製品には、境界外書き込みの脆弱性があります。Appleは、今回修正された脆弱性について、特定の個人を標的とした限定的な攻撃で悪用された可能性があるという報告を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/124926

https://support.apple.com/ja-jp/124927

https://support.apple.com/ja-jp/124928

https://support.apple.com/ja-jp/124929

【2】Movable Typeに複数の脆弱性
情報源
https://jvn.jp/jp/JVN76729865/

概要
シックス・アパート株式会社が提供するMovable Typeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.sixapart.jp/movabletype/news/2025/08/20-1100.html

【3】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-64/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Firefox for iOS、Focus for iOS、Thunderbirdが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-65/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-66/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-67/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-68/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-69/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-70/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-71/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-72/

【4】Google Chromeに脆弱性
情報源
https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop_19.html

概要
Google Chromeには、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】JPCERT/CCが「標準から学ぶICSセキュリティ #8 ICSのシステムに対するセキュリティ要件」を公開
情報源
https://www.jpcert.or.jp/ics/20250821_ICSsecStandards-08.pdf

概要
JPCERT/CCは、「標準から学ぶICSセキュリティ #8 ICSのシステムに対するセキュリティ要件」を公開しました。ICSのシステムに対するセキュリティ認証基準をベースに、ICSのシステムが満たすべきセキュリティ要件を定義した IEC62443-3-3 「システムのセキュリティ要件とセキュリティ水準」について解説しています。
関連文書
https://www.jpcert.or.jp/ics/information07.html

【6】フィッシング対策協議会が「SSL/TLSサーバー証明書における 有効期間短縮化について」を公開
情報源
https://www.antiphishing.jp/report/wg/cert_explaindoc_20250819.html

概要
フィッシング対策協議会の証明書普及促進ワーキンググループは、「SSL/TLSサーバー証明書における 有効期間短縮化について」を公開しました。2025年4月にパブリックな証明書の要件を定める業界団体CA/Browser Forumで可決されたサーバー証明書の有効期限の段階的な短縮により、最終的に2029年3月15日以降に発行されるサーバー証明書の最大有効期間は47日まで短縮されます。本ドキュメントでは、この有効期間を短縮する目的について解説しています。

目　次
【1】PostgreSQLに複数の脆弱性
【2】Seagate Toolkitに引用符で囲まれていない検索パスの脆弱性
【3】複数のIntel製品に脆弱性
【4】GitLabに複数の脆弱性
【5】複数のSAP製品に脆弱性
【6】Google Chromeに複数の脆弱性
【7】JPCERT/CCが「Cobalt Strike Beaconの機能をクロスプラットフォームへと拡張するツール「CrossC2」を使った攻撃」を公開
【8】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】PostgreSQLに複数の脆弱性
情報源
https://www.postgresql.org/about/news/postgresql-176-1610-1514-1419-1322-and-18-beta-3-released-3118/

概要
PostgreSQLには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】Seagate Toolkitに引用符で囲まれていない検索パスの脆弱性
情報源
https://jvn.jp/jp/JVN89385114/

概要
Seagate Technologyが提供するSeagate Toolkitには、引用符で囲まれていない検索パスの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.seagate.com/product-security/#security-advisories

【3】複数のIntel製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU90372902/

概要
複数のIntel製品には、脆弱性があります。対象となる製品およびバージョンは多岐にわたります。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.intel.com/content/www/us/en/security-center/default.html

【4】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/08/13/patch-release-gitlab-18-2-2-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】複数のSAP製品に脆弱性
情報源
https://support.sap.com/ja/my-support/knowledge-base/security-notes-news/august-2025.html

概要
複数のSAP製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop_12.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【7】JPCERT/CCが「Cobalt Strike Beaconの機能をクロスプラットフォームへと拡張するツール「CrossC2」を使った攻撃」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/08/crossc2.html

概要
JPCERT/CCは、2024年9月から12月にかけて行われた攻撃キャンペーンで、Linux上で動作するCobalt Strike Beaconを作成可能な拡張ツールCrossC2を用いる手法を確認しました。本ブログでは、この攻撃キャンペーンで確認したマルウェアやツールの解説に加え、JPCERT/CCが公開したCrossC2の分析をサポートするツールを紹介しています。

【8】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250017.html

概要
複数のマイクロソフト製品には、脆弱性があります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2025/08/202508-security-update/