ミニ・いんふぉめーしょん

目　次
【1】GitLabに複数の脆弱性
【2】Junos OSに任意のコード実行の脆弱性
【3】複数のApple製品に脆弱性
【4】Google Chromeに複数の脆弱性
【5】Apache Tomcat partial PUTにリモートコード実行、情報漏えいや改ざんの脆弱性
【6】警察庁が「令和６年におけるサイバー空間をめぐる脅威の情勢等について」を公開
【7】総務省、警察庁および経済産業省が「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」を公開
【8】内閣サイバーセキュリティセンターが「インターネットの安全・安心ハンドブック」を改訂
【9】JPCERT/CCが「JSAC2025 開催レポート - Workshop & Lightning Talk -」を公開
【10】複数のアドビ製品に脆弱性
【11】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/03/12/patch-release-gitlab-17-9-2-released/

概要
Gitlabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】Junos OSに任意のコード実行の脆弱性
情報源
https://supportportal.juniper.net/s/article/2025-03-Out-of-Cycle-Security-Bulletin-Junos-OS-A-local-attacker-with-shell-access-can-execute-arbitrary-code-CVE-2025-21590

概要
Junos OSには、任意のコード実行の脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/122281

概要
複数のApple製品には、脆弱性があります。Appleは、今回修正された脆弱性について悪用された可能性があるという報告を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/122283

https://support.apple.com/ja-jp/122284

https://support.apple.com/ja-jp/122285

【4】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_10.html

概要
Google Chromeには、複数の脆弱性があります。Googleは、今回修正された一部の脆弱性について悪用された可能性があるという報告を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】Apache Tomcat partial PUTにリモートコード実行、情報漏えいや改ざんの脆弱性
情報源
https://jvn.jp/vu/JVNVU93567491/

概要
Apache Tomcat partial PUTには、リモートコード実行、情報漏えいや改ざんの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】警察庁が「令和６年におけるサイバー空間をめぐる脅威の情勢等について」を公開
情報源
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6/R06_cyber_jousei.pdf

概要
警察庁は「令和６年におけるサイバー空間をめぐる脅威の情勢等について」を公開しました。この文書では、令和6年中におけるサイバー攻撃やサイバー犯罪の情勢および今後の取組についてまとめられています。サイバー攻撃の情勢では、政府機関、交通機関、金融機関などの重要インフラ事業者に対するDDoS攻撃とみられる被害や情報窃取を目的としたサイバー攻撃、国家を背景とする暗号資産獲得を目的としたサイバー攻撃事案などを挙げています。また、令和6年におけるランサムウェアの被害報告件数は、222件と引き続き高水準で推移しているとのことです。

【7】総務省、警察庁および経済産業省が「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」を公開
情報源
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00236.html

概要
総務省、警察庁および経済産業省は連名で「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」を公開しました。この文書では、令和6年1月1日から12月31日までの間における不正アクセス行為の発生状況、および国家公安委員会、総務省または経済産業省のいずれかに係るアクセス制御機能に関する技術の研究開発の状況および募集・調査した民間企業等におけるアクセス制御機能に関する技術の研究開発の状況について記載されています。

【8】内閣サイバーセキュリティセンターが「インターネットの安全・安心ハンドブック」を改訂
情報源
https://security-portal.nisc.go.jp/guidance/handbook.html

概要
内閣サイバーセキュリティセンター（NISC）は、サイバーセキュリティに関する普及啓発活動の一環として、「インターネットの安全・安心ハンドブック」のVer5.10を公開しました。Ver5.10では、サイバー空間の最新動向や、今特に気を付けるべきポイント等を踏まえた改訂がされています。

【9】JPCERT/CCが「JSAC2025 開催レポート - Workshop & Lightning Talk -」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/03/jsac2025-workshop-lightning-talk.html

概要
JPCERT/CCは、「JSAC2025 開催レポート - Workshop & Lightning Talk -」を公開しました。JSAC2025開催レポートは3回にわけてカンファレンスの様子を紹介します。第3回はWorkshopとLightning Talkについて紹介しています。

【10】複数のアドビ製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250006.html

概要
複数のアドビ製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://helpx.adobe.com/security/security-bulletin.html

【11】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250005.html

概要
複数のマイクロソフト製品には、脆弱性があります。同社は、今回修正された一部の脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2025/03/202503-security-update/

目　次
【1】RemoteViewのAgent（Windows版）に複数の脆弱性
【2】Jenkinsに複数の脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のMozilla製品に脆弱性
【5】Paragon Software製Paragon Partition Managerに複数の脆弱性
【6】複数のVMware製品に脆弱性
【7】Androidに複数の脆弱性
【8】経済産業省が「クレジットカード・セキュリティガイドライン［6.0版］」を公開
【9】JPCERT/CCが「JSAC2025 開催レポート - DAY 2 -」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】RemoteViewのAgent（Windows版）に複数の脆弱性
情報源
https://jvn.jp/jp/JVN24992507/

概要
RSUPPORT株式会社が提供するRemoteViewのAgent（Windows版）には、複数の脆弱性が存在します。この問題は、当該Agentを修正済みのバージョンに更新することで解決します。開発者によると、「自動アップデート」機能により、修正済みバージョンに更新されるとのことです。詳細は、開発者が提供する情報を参照してください。
関連文書
https://help.rview.com/hc/ja/articles/38287019277843-緊急パッチ作業のご案内-2025-02-13-完了

【2】Jenkinsに複数の脆弱性
情報源
https://www.jenkins.io/security/advisory/2025-03-05/

概要
Jenkinsには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-14/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、ThunderbirdおよびThunderbird ESRが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-15/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-16/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-17/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-18/

【5】Paragon Software製Paragon Partition Managerに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU92971269/

概要
Paragon Softwareが提供するParagon Partition Managerには、複数の脆弱性が存在します。この問題は、当該製品を修正済みのバージョンへの更新することで解決します。詳細は、開発者が提供する情報を参照してください。なお、Microsoftは、今回修正された一部の脆弱性を悪用するランサムウェアを用いた攻撃を確認しており、脆弱なドライバーの実行を阻止するVulnerable Driver Blocklistの有効化を推奨しています。
関連文書
https://kb.cert.org/vuls/id/726882

https://paragon-software.zendesk.com/hc/en-us/articles/32993902732817-IMPORTANT-Paragon-Driver-Security-Patch-for-All-Products-of-Hard-Disk-Manager-Product-Line-Biontdrv-sys

【6】複数のVMware製品に脆弱性
情報源
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390

概要
複数のVMware製品には、脆弱性があります。Broadcomは、今回修正された脆弱性の悪用を示唆する情報を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【7】Androidに複数の脆弱性
情報源
https://source.android.com/docs/security/bulletin/2025-03-01

概要
Androidには、複数の脆弱性が存在します。Androidオープンソースプロジェクトは、今回修正された一部の脆弱性が悪用された兆候を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【8】経済産業省が「クレジットカード・セキュリティガイドライン［6.0版］」を公開
情報源
https://www.meti.go.jp/press/2024/03/20250305002/20250305002.html

概要
経済産業省は、「クレジットカード・セキュリティガイドライン［6.0版］」を公開しました。EC加盟店におけるクレジットカード情報保護対策や不正利用対策への指針対策などが追加され、カード会社やPSP（Payment Service Provider）がEC加盟店に対して、それらの対策の導入および運用に関して必要な助言や情報提供を行うなどの改訂がされています。

【9】JPCERT/CCが「JSAC2025 開催レポート - DAY 2 -」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/03/jsac2025day2.html

概要
JPCERT/CCは、「JSAC2025 開催レポート - DAY 2 -」を公開しました。JSAC2025開催レポートは3回にわけてカンファレンスの様子を紹介します。前回に引き続き、第2回はDAY 2 Main Trackの講演を紹介しています。

目　次
【1】センチュリー・システムズ製産業用ルータ（FutureNet ASシリーズ）およびプロトコル変換器（FutureNet FAシリーズ）に複数の脆弱性
【2】GitLabに複数の脆弱性
【3】IPAが「情報セキュリティ10大脅威 2025」解説書の一部を公開
【4】JPCERT/CCが「インターネット定点観測レポート（2024年 10-12月）」を公開
【5】JPCERT/CCが「JSAC2025 開催レポート DAY 1 」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】センチュリー・システムズ製産業用ルータ（FutureNet ASシリーズ）およびプロトコル変換器（FutureNet FAシリーズ）に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU96398949/

概要
センチュリー・システムズ株式会社が提供する産業用ルータ（FutureNet ASシリーズ）およびプロトコル変換器（FutureNet FAシリーズ）には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新したり回避策を適用したりすることで解決します。なお、一部製品はすでにサポートが終了しており、開発者は後続製品への乗り換えなどの検討を推奨しています。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.centurysys.co.jp/backnumber/common/jvnvu96398949.html

【2】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/02/26/patch-release-gitlab-17-9-1-released/

概要
Gitlabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】IPAが「情報セキュリティ10大脅威 2025」解説書の一部を公開
情報源
https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kaisetsu_2025_soshiki.pdf

概要
IPAは、「情報セキュリティ10大脅威 2025」解説書の一部を公開しました。公開された文書は、[組織編]、情報セキュリティ10大脅威の活用法[組織編]、セキュリティ対策の基本と共通対策の3点で、[個人編]などの文書は今後公開予定とのことです。
関連文書
https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/katsuyouhou_2025_soshiki.pdf

https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kihontokyoutsuu_2025.pdf

【4】JPCERT/CCが「インターネット定点観測レポート（2024年 10-12月）」を公開
情報源
https://www.jpcert.or.jp/tsubame/report/report202410-12.html

概要
JPCERT/CCは、「インターネット定点観測レポート（2024年 10-12月）」を公開しました。2024年10月から12月の間に、インターネット定点観測システム「TSUBAME」で観測した結果とその分析の概要について紹介しています。
関連文書
https://blogs.jpcert.or.jp/ja/2025/02/tsubame-overflow20241012.html

【5】JPCERT/CCが「JSAC2025 開催レポート DAY 1 」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/02/jsac2025day1.html

概要
JPCERT/CCは、「JSAC2025 開催レポート DAY 1 」を公開しました。JSAC2025開催レポートは3回にわけてカンファレンスの様子を紹介します。第1回目となる本稿では、DAY 1 Main Trackの講演について紹介しています。

目　次
【1】PostgreSQLに不具合
【2】Drupal coreに複数の脆弱性
【3】Movable Typeに複数のクロスサイトスクリプティングの脆弱性
【4】JoomlaにSQLインジェクションの脆弱性
【5】Google Chromeに複数の脆弱性
【6】複数のAtlassian製品に脆弱性
【7】富士フイルムビジネスイノベーション製複合機（MFP）における境界外書き込みの脆弱性
【8】経済産業省が「AIの利用・開発に関する契約チェックリスト」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】PostgreSQLに不具合
情報源
https://www.postgresql.org/about/news/postgresql-174-168-1512-1417-and-1320-released-3018/

概要
PostgreSQLには、引用符の不適切な無害化の脆弱性（CVE-2025-1094）があります。この脆弱性は、2/13に対策されましたが、その後、不具合が見つかり、修正バージョンが公開されました。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.postgresql.org/about/news/postgresql-173-167-1511-1416-and-1319-released-3015/

【2】Drupal coreに複数の脆弱性
情報源
https://www.drupal.org/sa-core-2025-001

概要
Drupal coreには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.drupal.org/security

【3】Movable Typeに複数のクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN48742353/

概要
Movable Typeには、複数のクロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.sixapart.jp/movabletype/news/2025/02/19-1100.html

【4】JoomlaにSQLインジェクションの脆弱性
情報源
https://www.joomla.org/announcements/release-news/5920-joomla-5-2-4-security-bugfix-release.html

概要
Joomlaには、SQLインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://developer.joomla.org/security-centre/958-20250201-core-sql-injection-vulnerability-in-scheduled-tasks-component.html

【5】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/02/stable-channel-update-for-desktop_18.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-february-18-2025-1510670627.html

概要
複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【7】富士フイルムビジネスイノベーション製複合機（MFP）における境界外書き込みの脆弱性
情報源
https://jvn.jp/vu/JVNVU96297631/

概要
富士フイルムビジネスイノベーション製複合機（MFP）には、境界外書き込みの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fujifilm.com/fbglobal/eng/company/news/notice/2025/0217_announce.html

【8】経済産業省が「AIの利用・開発に関する契約チェックリスト」を公開
情報源
https://www.meti.go.jp/press/2024/02/20250218003/20250218003.html

概要
経済産業省は、「AIの利用・開発に関する契約チェックリスト」を公開しました。このチェックリストでは、AI技術を用いたサービスを導入する事業者が、契約時にチェックするべきポイントなどがまとめられています。

目　次
【1】PostgreSQLに脆弱性
【2】NEC Atermシリーズに複数の脆弱性
【3】Centeミドルウェアに境界外読み取りの脆弱性
【4】OpenSSLにRFC7250ハンドシェイクによる認証の失敗を検知できない問題
【5】ファイルめがねに複数の脆弱性
【6】複数のPalo Alto Networks製品に脆弱性
【7】Google Chromeに複数の脆弱性
【8】複数のアドビ製品に脆弱性
【9】複数のIntel製品に脆弱性
【10】acmailer CGIおよびacmailer DBに脆弱性
【11】複数のApple製品に脆弱性
【12】JPCERT/CCが「Ivanti Connect Secureの脆弱性を利用して設置されたマルウェアSPAWNCHIMERA」に関するブログを公開
【13】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】PostgreSQLに脆弱性
情報源
https://www.postgresql.org/about/news/postgresql-173-167-1511-1416-and-1319-released-3015/

概要
PostgreSQLには、引用符の不適切な無害化の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。

【2】NEC Atermシリーズに複数の脆弱性
情報源
https://jvn.jp/jp/JVN65447879/

概要
日本電気株式会社が提供するAtermシリーズには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新したり回避策を適用したりすることで解決します。なお、一部製品はすでにサポートが終了しており、開発者は後続製品への乗り換えなどの検討を推奨しています。詳細は、開発者が提供する情報を参照してください。
関連文書
https://jpn.nec.com/security-info/secinfo/nv25-003.html

【3】Centeミドルウェアに境界外読み取りの脆弱性
情報源
https://jvn.jp/vu/JVNVU92227620/

概要
DMG MORI Digital株式会社が開発し、NXTech株式会社が提供するCenteミドルウェアTCP/IPネットワークシリーズの一部製品には、境界外読み取りの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.cente.jp/obstacle/5451/

【4】OpenSSLにRFC7250ハンドシェイクによる認証の失敗を検知できない問題
情報源
https://jvn.jp/vu/JVNVU91390536/

概要
OpenSSLには、RFC7250で定義されたRaw Public Key（RPK）を用いてサーバー認証を行う際に、認証の失敗をクライアント側で検知できない脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://openssl-library.org/news/secadv/20250211.txt

【5】ファイルめがねに複数の脆弱性
情報源
https://jvn.jp/jp/JVN80527854/

概要
ジップインフォブリッジ株式会社が提供するファイルめがねには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.info-brdg.co.jp/support/report/megane/sec20250201.html

【6】複数のPalo Alto Networks製品に脆弱性
情報源
https://security.paloaltonetworks.com/CVE-2025-0108

概要
複数のPalo Alto Networks製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新するか、緩和策などを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://security.paloaltonetworks.com/

【7】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/02/stable-channel-update-for-desktop_12.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【8】複数のアドビ製品に脆弱性
情報源
https://helpx.adobe.com/security/products/magento/apsb25-08.html

概要
複数のアドビ製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://helpx.adobe.com/security/security-bulletin.html

【9】複数のIntel製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU95019921/

概要
複数のIntel製品には、脆弱性があります。対象となる製品およびバージョンは多岐にわたります。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.intel.com/content/www/us/en/security-center/default.html

【10】acmailer CGIおよびacmailer DBに脆弱性
情報源
https://jvn.jp/jp/JVN84319378/

概要
エクストライノベーション株式会社が提供するacmailer CGIおよびacmailer DBには、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://acmailer.jp/info/de.cgi?id=113

https://jvn.jp/jp/JVN96957439/

【11】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/122174

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Appleは脆弱性を悪用された可能性があるという報告を確認しているとのことです。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/122173

【12】JPCERT/CCが「Ivanti Connect Secureの脆弱性を利用して設置されたマルウェアSPAWNCHIMERA」に関するブログを公開
情報源
https://blogs.jpcert.or.jp/ja/2025/02/spawnchimera.html

概要
JPCERT/CCが対応したインシデントの中で、Ivanti Connect Secureの脆弱性（CVE-2025-0282）悪用後に感染するマルウェアSPAWNファミリーのアップデートを確認しました。JPCERT/CCが公開した本記事では、アップデートされたSPAWN（SPAWNCHIMERA）について解説します。

【13】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250004.html

概要
複数のマイクロソフト製品には、脆弱性があります。同社は、今回修正された一部の脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2025/02/202502-security-update/

目　次
【1】複数のCisco製品に脆弱性
【2】Defense Platform Home Editionに複数の脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のMozilla製品に脆弱性
【5】内閣サイバーセキュリティセンターが「DDoS 攻撃への対策について（注意喚起）」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-multivuls-FTW9AOXF

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計8件（Critical 1件、High 1件、Medium 6件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【2】Defense Platform Home Editionに複数の脆弱性
情報源
https://jvn.jp/jp/JVN66673020/

概要
ハミングヘッズ株式会社が提供するDefense Platform Home Editionには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.hummingheads.co.jp/dep/storelist/

【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/02/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-07/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbird、およびThunderbird ESRが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-08/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-09/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-10/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-11/

【5】内閣サイバーセキュリティセンターが「DDoS 攻撃への対策について（注意喚起）」を公開
情報源
https://www.nisc.go.jp/pdf/news/press/20250204_ddos.pdf

概要
内閣サイバーセキュリティセンター（NISC）は、2024年12月から2025年1月の年末年始にかけて相次いだDDoS攻撃を受け、各事業者、各インターネット利用者に対して注意喚起を公開しました。本文書に記載された事項を参照の上、リスク低減に向けたセキュリティ対策を進めてください。

目　次
【1】ISC BIND 9に複数の脆弱性
【2】Google Chromeに複数の脆弱性
【3】キヤノン製スモールオフィス向け複合機およびレーザービームプリンターにおける複数の脆弱性
【4】WordPress用プラグインSimple Image Sizesにクロスサイトスクリプティングの脆弱性
【5】複数のApple製品に脆弱性
【6】IPA が「情報セキュリティ10大脅威 2025」を公表
【7】JSSECが『Android アプリのセキュア設計・セキュアコーディングガイド』2025年1月29日版を公開
【8】フィッシング対策協議会が「送信ドメイン認証技術「DMARC」の導入状況と必要性について」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】ISC BIND 9に複数の脆弱性
情報源
https://www.jpcert.or.jp/newsflash/2025013001.html

概要
ISC BIND 9には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://kb.isc.org/docs/cve-2024-12705

https://kb.isc.org/docs/cve-2024-11187

【2】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_28.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】キヤノン製スモールオフィス向け複合機およびレーザービームプリンターにおける複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93455283/

概要
キヤノン製スモールオフィス向け複合機およびレーザービームプリンターには、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://canon.jp/support/support-info/250127vulnerability-response

【4】WordPress用プラグインSimple Image Sizesにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN88046370/

概要
WordPress用プラグインSimple Image Sizesには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://ja.wordpress.org/plugins/simple-image-sizes/#developers

【5】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/122066

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Appleは脆弱性を悪用された可能性があるという報告を確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/122067

https://support.apple.com/ja-jp/122068

https://support.apple.com/ja-jp/122069

https://support.apple.com/ja-jp/122070

https://support.apple.com/ja-jp/122071

https://support.apple.com/ja-jp/122072

https://support.apple.com/ja-jp/122073

https://support.apple.com/ja-jp/122074

https://support.apple.com/ja-jp/121866

【6】IPA が「情報セキュリティ10大脅威 2025」を公表
情報源
https://www.ipa.go.jp/security/10threats/10threats2025.html

概要
IPAは「情報セキュリティ10大脅威 2025」を公表しました。「情報セキュリティ10大脅威 2025」は、2024年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者などのメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。

【7】JSSECが『Android アプリのセキュア設計・セキュアコーディングガイド』2025年1月29日版を公開
情報源
https://www.jssec.org/report/android_securecoding_20250129.html

概要
一般社団法人日本スマートフォンセキュリティ協会（JSSEC）は、2012年6月に公開した『Android アプリのセキュア設計・セキュアコーディングガイド』の16版目の改定版である2025年1月29日版を公開しました。本ガイドはAndroidアプリケーションのセキュリティを考慮した設計・開発のノウハウを集めた文書です。

【8】フィッシング対策協議会が「送信ドメイン認証技術「DMARC」の導入状況と必要性について」を公開
情報源
https://www.antiphishing.jp/report/wg/cert_explaindoc_20250130.html

概要
フィッシング対策協議会は、国内のフィッシング詐欺における送信ドメイン認証技術「DMARC」の導入状況と必要性を解説する文書を公開しました。本文書では、国内企業におけるDMARCの導入状況と運用実態を示すとともに、より強力な対策を実現するためにポリシー強度を引きあげる必要があることを指摘しています。

目　次
【1】SonicWall SMA1000 AMCおよびCMCに信頼されていないデータがデシリアライズされる脆弱性
【2】Google Chromeに複数の脆弱性
【3】GitLabに複数の脆弱性
【4】アイ・オー・データ製ルーターUD-LT2における複数の脆弱性
【5】複数のAtlassian製品に脆弱性
【6】2025年1月Oracle Critical Patch Updateについて
【7】JPCERT/CCが2024年10月-12月分の「JPCERT/CC 活動四半期レポート」などを公開
【8】JPCERT/CCが「APTアクターの分類“中毒” -Lazarus のサブグループ分類に見るアトリビューションの実務的課題-」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】SonicWall SMA1000 AMCおよびCMCに信頼されていないデータがデシリアライズされる脆弱性
情報源
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0002

概要
SonicWallが提供するSMA1000 アプライアンス管理コンソール（AMC）および中央管理コンソール（CMC）には、信頼されていないデータがデシリアライズされる脆弱性があり、悪用も確認されています。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_22.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/01/22/patch-release-gitlab-17-8-1-released/

概要
Gitlabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】アイ・オー・データ製ルーターUD-LT2における複数の脆弱性
情報源
https://jvn.jp/jp/JVN15293958/

概要
株式会社アイ・オー・データ機器が提供するルーターUD-LT2には、OS コマンドインジェクションとドキュメント化されていない機能の脆弱性が存在します。 詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.ipa.go.jp/security/security-alert/2024/20250122-jvn.html

【5】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-january-21-2025-1489803942.html

概要
複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】2025年1月Oracle Critical Patch Updateについて
情報源
https://www.oracle.com/security-alerts/cpujan2025.html

概要
Oracleから、複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公表されました。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.ipa.go.jp/security/security-alert/2024/0122-jre.html

【7】JPCERT/CCが2024年10月-12月分の「JPCERT/CC 活動四半期レポート」などを公開
情報源
https://www.jpcert.or.jp/pr/2025/PR_Report2024Q3.pdf

概要
JPCERT/CCは、2024年10月から12月分の「JPCERT/CC 活動四半期レポート」「JPCERT/CC インシデント報告対応レポート」「ソフトウェア等の脆弱性関連情報に関する届出状況」を公開しました。JPCERT/CCの国内外の活動に加え、報告を受けたインシデントの統計や事例などについてまとめています。参考資料としてご活用ください。
関連文書
https://www.jpcert.or.jp/pr/2025/IR_Report2024Q3.pdf

https://www.jpcert.or.jp/pr/2025/vulnREPORT_2024q4.pdf

【8】JPCERT/CCが「APTアクターの分類“中毒” -Lazarus のサブグループ分類に見るアトリビューションの実務的課題-」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/01/grouping-lazarus-subgroups.html

概要
JPCERT/CCが公開した本記事では、APTグループLazarusを構成する多数のサブグループの攻撃活動を、それぞれサブグループ単位で特定する必要性と利点を解説しています。

目　次
【1】rsyncに複数の脆弱性
【2】Google Chromeに複数の脆弱性
【3】複数のアドビ製品に脆弱性
【4】複数のIvanti製品に脆弱性
【5】複数のFortinet製品に脆弱性
【6】ワイズ製STEALTHONE D220/D340/D440に複数の脆弱性
【7】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】rsyncに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU94903505/

概要
rsyncには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://kb.cert.org/vuls/id/952657

https://rsync.samba.org/

【2】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_14.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】複数のアドビ製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2025/01/14/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://helpx.adobe.com/security/security-bulletin.html

【4】複数のIvanti製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2025/01/14/ivanti-releases-security-updates-multiple-products

概要
複数のIvaniti製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。また、一部の製品については影響を軽減する緩和策が提供されています。詳細は、開発者が提供する情報を参照してください。
関連文書
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Avalanche-6-4-7-Multiple-CVEs

https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Application-Control-Engine-CVE-2024-10630

https://forums.ivanti.com/s/article/Security-Advisory-EPM-January-2025-for-EPM-2024-and-EPM-2022-SU6

【5】複数のFortinet製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2025/01/14/fortinet-releases-security-updates-multiple-products

概要
複数のFortinet製品には、脆弱性があります。同社は、FortiOSおよびFortiProxyに関する脆弱性（CVE-2024-55591）の悪用をすでに確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fortiguard.com/psirt

https://www.jpcert.or.jp/at/2025/at250003.html

【6】ワイズ製STEALTHONE D220/D340/D440に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU99653331/

概要
株式会社ワイズが提供するネットワークストレージサーバーSTEALTHONE D220/D340/D440には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://stealthone.net/product_info/d220-d340%e3%80%8cv6-03-03%e3%80%8d%e5%8f%8a%e3%81%b3d440%e3%80%8cv7-00-11%e3%80%8d%e3%83%95%e3%82%a1%e3%83%bc%e3%83%a0%e3%82%a6%e3%82%a7%e3%82%a2%e3%82%92%e3%83%aa%e3%83%aa%e3%83%bc%e3%82%b9%e8%87%b4/

【7】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250002.html

概要
複数のマイクロソフト製品には、脆弱性があります。同社は、今回修正された一部の脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2025/01/202501-security-update/

目　次
【1】GitLabに複数の脆弱性
【2】Ivanti Connect Secureなどに複数の脆弱性
【3】Xerox FreeFlow Coreに複数の脆弱性
【4】SonicWall製SonicOSに複数の脆弱性
【5】Google Chromeに脆弱性
【6】複数のMozilla製品に脆弱性
【7】フィッシング対策協議会が「第11回フィッシング対策勉強会」を開催予定
【8】JPCERT/CCが「あなたではなく組織の財産を狙うLinkedIn経由のコンタクトにご用心」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/01/08/patch-release-gitlab-17-7-1-released/

概要
Gitlabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】Ivanti Connect Secureなどに複数の脆弱性
情報源
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283

概要
Ivantiが提供するIvanti Connect Secure、Policy Secure、およびZTA Gatewayには複数の脆弱性が存在します。Ivantiは本脆弱性を悪用した攻撃をすでに確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。なお、Ivanti Policy SecureおよびZTA Gatewayの修正バージョンは、順次提供予定とのことです。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2025/at250001.html

https://www.cisa.gov/news-events/alerts/2025/01/08/ivanti-releases-security-updates-connect-secure-policy-secure-and-zta-gateways

【3】Xerox FreeFlow Coreに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU99901190/

概要
富士フイルムビジネスイノベーション株式会社が提供するXerox FreeFlow デジタル・ワークフロー・コレクションに含まれるXerox FreeFlow Coreには、複数の脆弱性が存在します。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fujifilm.com/fb/company/news/notice/2025/0107_announce.html

https://securitydocs.business.xerox.com/wp-content/uploads/2024/10/Xerox-Security-Bulletin-XRX24-014-for-Xerox%C2%AE-FreeFlow%C2%AE-Core-v7.0-.pdf

【4】SonicWall製SonicOSに複数の脆弱性
情報源
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0003

概要
SonicWallが提供するSonicOSには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】Google Chromeに脆弱性
情報源
https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop.html

概要
Google Chromeには、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-01/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Firefox for iOS、Thunderbird、およびThunderbird ESRが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-02/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-03/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-04/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-05/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-06/

【7】フィッシング対策協議会が「第11回フィッシング対策勉強会」を開催予定
情報源
https://www.antiphishing.jp/news/event/antiphishing_11th_studygroup.html

概要
フィッシング対策協議会は、2025年2月6日（木）に「第11回フィッシング対策勉強会」をオンラインで開催します。正会員6組織から「フィッシングの最新動向」および、「対策に役立つサービス」について紹介されます。協議会会員だけではなく、一般の方の参加も受け付けています。講演内容や、参加登録の手順についてはフィッシング対策協議会が公開する情報をご参照ください。

【8】JPCERT/CCが「あなたではなく組織の財産を狙うLinkedIn経由のコンタクトにご用心」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/01/initial_attack_vector.html

概要
国内で確認されている、LinkedInを初期感染経路とする不正アクセスに関連して、JPCERT/CCが2019年ごろから確認している攻撃事案を紹介しています。