■03/30(日)~04/05(土) のセキュリティ関連情報
目 次
【1】MinIOにおける署名検証不備の脆弱性
【2】因幡電機産業製Wi-Fi AP UNIT「AC-WPS-11acシリーズ」における複数の脆弱性
【3】複数のMozilla製品に脆弱性
【4】Google Chromeに複数の脆弱性
【5】SnapCenterにおける権限昇格の脆弱性
【6】WordPress用プラグインWelcart e-Commerceにおける信頼できないデータのデシリアライゼーションの脆弱性
【7】キヤノン製プロダクション/オフィス/スモールオフィス向け複合機およびレーザービームプリンターの一部のプリンタドライバにおける複数の脆弱性
【8】複数のApple製品に脆弱性
【9】金融庁が証券会社のウェブサイトを装う偽サイト(フィッシングサイト)に関する注意喚起を公表
【10】CSIJがCSIJ共通評価フレームワーク(セキュリティ体制版)調査結果レポート「2024年度 一般公開版」を公開
【11】Ivanti Connect Secureなどにおけるスタックベースのバッファーオーバーフローの脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】MinIOにおける署名検証不備の脆弱性
情報源
https://github.com/minio/minio/security/advisories/GHSA-wg47-6jq2-q2hh
概要
MinIOには、署名検証不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【2】因幡電機産業製Wi-Fi AP UNIT「AC-WPS-11acシリーズ」における複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93925742/
概要
因幡電機産業製Wi-Fi AP UNIT「AC-WPS-11acシリーズ」には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.inaba.co.jp/abaniact/news/security_20250404.pdf
【3】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-20/
概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbird、Thunderbird ESRが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-21/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-22/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-23/
https://www.mozilla.org/en-US/security/advisories/mfsa2025-24/
【4】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/04/stable-channel-update-for-desktop.html
概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【5】SnapCenterにおける権限昇格の脆弱性
情報源
https://security.netapp.com/advisory/ntap-20250324-0001/
概要
SnapCenterには、権限昇格の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【6】WordPress用プラグインWelcart e-Commerceにおける信頼できないデータのデシリアライゼーションの脆弱性
情報源
https://jvn.jp/jp/JVN87266215/
概要
株式会社Welcartが提供するWordPress用プラグインWelcart e-Commerceには、信頼できないデータのデシリアライゼーションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.welcart.com/archives/23868.html
【7】キヤノン製プロダクション/オフィス/スモールオフィス向け複合機およびレーザービームプリンターの一部のプリンタドライバにおける複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93701955/
概要
キヤノン製プロダクション/オフィス/スモールオフィス向け複合機およびレーザービームプリンターの一部のプリンタドライバには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新するか、ワークアラウンドを実施することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://canon.jp/support/support-info/250328vulnerability-response
https://psirt.canon/advisory-information/cp2025-002/
https://psirt.canon/advisory-information/cp2025-003/
【8】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/122345
概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/122346
https://support.apple.com/ja-jp/122371
https://support.apple.com/ja-jp/122372
https://support.apple.com/ja-jp/122373
https://support.apple.com/ja-jp/122374
https://support.apple.com/ja-jp/122375
https://support.apple.com/ja-jp/122376
https://support.apple.com/ja-jp/122377
https://support.apple.com/ja-jp/122378
https://support.apple.com/ja-jp/122379
https://support.apple.com/ja-jp/122380
【9】金融庁が証券会社のウェブサイトを装う偽サイト(フィッシングサイト)に関する注意喚起を公表
情報源
https://www.fsa.go.jp/ordinary/chuui/chuui_phishing.html
概要
金融庁は、証券会社のウェブサイトを装う偽サイト(フィッシングサイト)に関する注意喚起を公表しました。実在する証券会社のウェブサイトを装った偽のウェブサイト(フィッシングサイト)に電子メール等で誘導し、ログインIDやパスワード等を入力させ、顧客情報を窃取する被害が多発しているとのことです。本注意喚起では、フィッシングの被害に遭わないための対応や対策を紹介しています。
【10】CSIJがCSIJ共通評価フレームワーク(セキュリティ体制版)調査結果レポート「2024年度 一般公開版」を公開
情報源
https://www.csi-japan.org/_files/ugd/e66227_5d77080aa4354852b5b2e0a2278f421a.pdf
概要
CSIJは、CSIJ共通評価フレームワーク(セキュリティ体制版)調査結果レポート「2024年度 一般公開版」を公開しました。本調査は、企業のセキュリティ体制の現状を把握・分析し、企業の課題への対策を提言することで日本の組織のセキュリティレベル向上を目指すことを目的としています。調査結果から「インシデントレスポンス」と「教育」の強化が必要であることや、企業規模によってセキュリティ体制の整備状況や重点項目が異なることが整理されています。
【11】Ivanti Connect Secureなどにおけるスタックベースのバッファーオーバーフローの脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250008.html
概要
Ivanti製Ivanti Connect Secure、Policy Secure、ZTAゲートウェイには、スタックベースのバッファーオーバーフローの脆弱性があります。Ivantiは、当該脆弱性を悪用した攻撃を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457
