はてなブックマーク

画像処理ライブラリ「ImageMagick」にあらたな脆弱性が判明した。深刻な影響があるとの指摘もあり注意が必要となる。 コア部分に含まれる一部コンポーネントに、域外メモリに書き込みを行う「CVE-2025-57807」が明らかとなったもの。不正なコードを実行されるおそれがある。 先日も整数オーバーフローの脆弱性「CVE-2025-57803」が確認され、8月24日にアップデートがリリースされているが、異なる脆弱性であり注意が必要。 CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv3.1」において同脆弱性のベーススコアを「4.2」、重要度を「中（Moderate）」とレーティング。ローカル環境より一定の権限が必要とし、難易度も高く影響も限定的と評価した。 一方脆弱性の報告者は、CVSSのベーススコアを「9.8」、重要度を「クリティカル（Critical）」に値すると

大阪健康安全基盤研究所は、メールの送信ミスがあり、事業者の担当者に関するメールアドレスが流出したことを明らかにした。 同法人によれば、2025年8月21日に「公開見積もり合わせのホームページ公開のお知らせ」を関係者へ送信した際、誤送信が発生したもの。 送信先となる事業者の担当者に関するメールアドレス58件を誤って「CC」に設定し、メールを送信したため、受信者間にメールアドレスや宛先となる表示名が流出した。 同日、内部の職員より指摘があり誤送信が判明。対象となる関係者にメールで経緯を説明するとともに謝罪し、誤送信したメールの削除を依頼した。 今回の問題を受け、職員に対して個人情報保護の重要性をあらためて周知し、複数によるチェックを徹底して再発を防ぐとしている。 （Security NEXT - 2025/09/05 ） ツイート

「HTTP/2」を実装する複数のソフトウェアにおいて、DoS攻撃を受けるおそれがある脆弱性「MadeYouReset」が明らかとなった。一部ソフトウェアでは、修正パッチの提供を開始している。 現地時間2025年8月13日、CERT/CCがセキュリティアドバイザリを公開し、「HTTP/2」の実装不備に起因する脆弱性「CVE-2025-8671」について明らかにしたもの。脆弱性は別名「MadeYouReset」と呼ばれている。 サーバに不要なリクエスト処理を継続させることで、リソースを枯渇させることが可能となり、2023年に判明した別名「Rapid Reset」としても知られる脆弱性「CVE-2023-44487」との類似性も指摘されている。 具体的には、「HTTP/2」においてクライアントやサーバが任意のタイミングでストリームをリセットできる仕様となっているが、多くの環境でリセット後もサーバ

ZscalerのSAML認証に深刻な脆弱性が明らかとなった。脆弱性の影響など詳細はわかっていない。 同社製品では、組織の要件に応じて複数のアイデンティティプロバイダ（IdP）を用いたシングルサインオンが可能だが、同社サーバー側のSAML認証機構に脆弱性「CVE-2025-54982」が確認されたという。 署名検証を適切に行っておらず、脆弱性を悪用することで不正な認証が可能だった。 同社がCVE番号を採番しており、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.6」と評価している。重要度は「クリティカル（Critical）」とレーティングされている。 同脆弱性は、現地時間2025年8月5日付けで米国立標準技術研究所（NIST）の脆弱性データベース「NVD」に登録された。 同社より同脆弱性に関するセキュリティアドバイザリは公開されておらず、脆弱性の具体的な影響、対応の必要性など

ウェブプロキシキャッシュサーバ「Squid」にリモートよりコードを実行されるおそれがある脆弱性が判明した。開発チームでは脆弱性を解消したアップデートを提供している。 インターネット上のリソースを識別するため利用する「URN（Uniform Resource Name）」の処理にバッファオーバーフローの脆弱性「CVE-2025-54574」が明らかとなったもの。 「URN Trivial-HTTP」レスポンスの受信時にバッファオーバーフローが生じ、認証情報や機密情報を含む最大4Kバイトの「Squid」が割り当てたヒープメモリがクライアント側に漏洩するおそれがある。 さらにリモートよりコードを実行される可能性もあるとしている。 CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.3」、重要度を4段階中もっとも高い「クリティカル（Critical

「OAuth 2.0」による認証を提供するリバースプロキシ「oauth2-proxy」に脆弱性が明らかとなった。アップデートで修正されている。 「同7.10.0」および以前のバージョンに脆弱性「CVE-2025-54576」が明らかとなったもの。 「skip_auth_routes」オプションを正規表現を用いて設定している場合、クエリパラメータを正しく解釈できず、認証をバイパスすることが可能になるという。 共通脆弱性評価システム「CVSS v3.1」のベーススコアは「9.1」、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。 開発チームは、現地時間2025年7月30日にリリースした「同7.11.0」でバグの修正やセキュリティ対策の強化などとともに同脆弱性を解消した。あわせて緩和策をアナウンスしている。 （Security NEXT - 2025/0

ウェブサーバ「Apache HTTP Server」の開発チームは現地時間2025年7月23日、アクセス制御の処理に関する脆弱性が判明したことを受け、セキュリティアップデートをリリースした。 「同2.4.64」の「mod_rewrite」モジュールにおいて、リダイレクトなどのルール設定における条件処理に脆弱性「CVE-2025-54090」が明らかとなったもの。2025年7月16日に報告があったという。 関数の戻り値を正しく評価しておらず、一部指定において本来は条件に応じて動作が分岐するところ、すべての条件が「真」として評価されるという。 意図しないアクセス制御やリダイレクトが発生するおそれがあり、設定内容によってセキュリティポリシーやアクセス制御の回避につながるおそれがある。 米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）による共通脆弱性評価システム「CVSSv3.

国内主要上場企業の9割超が、少なくとも1件以上のドメインで「DMARC」の運用に取り組んでいるが、大学では45.1％と半数に届かなかった。 2025年5月時点における送信ドメイン認証技術である「DMARC」の導入実態について、TwoFiveが調査を実施し、結果を取りまとめたもの。 「日経225」に採用されている上場企業225社では、92.4％にあたる208社において少なくとも1件以上のドメインで「DMARC」を導入していた。前年同月の調査からは0.8ポイント増。 1件以上のドメインでポリシーを「隔離（quarantine）」や「拒否（reject）」に設定している企業は124社。1年間で6.7ポイント増加しており、55.1％と半数を超えている。 一方、225社で管理、運用されている8889件のドメインにおいて、「DMARC」が導入済みなのは、37.9％にあたる3367件。ドメイン全体に対す

国土交通省東北地方整備局は、全国道路施設点検データベースで公開している国道の一部図面に、個人情報の削除漏れがあったことを明らかにした。 同局によれば、2022年7月12日に全国道路施設点検データベースで有料公開した国道の図面のうち、同局管内の13道路事務所において個人情報の削除漏れが確認された。 土地所有者あわせて6万5488人の氏名が削除されていなかった。2024年11月1日に判明し、氏名が掲載されている図面の特定と氏名数の調査を進めていたが、データベースに登録された施設数が多く、確認に時間を要したという。 削除漏れの判明以降、氏名が掲載されている図面の公開を停止している。利用規約では、図面の閲覧は有料会員のみとされており、閲覧情報を無断で第三者へ提供することは禁止されているとしている。 （Security NEXT - 2025/07/07 ） ツイート

オープンソースのマルウェア対策ソフトウェア「ClamAV」に深刻な脆弱性が明らかとなった。開発チームではアップデートを呼びかけている。 バージョンによって影響を受ける脆弱性は異なるが、複数の脆弱性が報告されたことを受け、開発チームでは現地時間2025年6月18日にセキュリティパッチをリリースした。 「CVE-2025-20260」は、「PDFファイル」の解析処理に判明したヒープベースのバッファオーバーフローが生じる脆弱性。 特定以上のスキャンサイズが設定された環境において、細工されたPDFファイルをスキャンするとプロセスがクラッシュし、任意のコードを実行されたり、サービス拒否に陥るおそれがある。 また「UDFファイル」の解析においてもバッファオーバーフローにより、サービス拒否や情報漏洩が生じる「CVE-2025-20234」が判明した。

東京都教育委員会は、都立多摩図書館のメールアカウントに、大量の不達メールが届いたことを明らかにした。メールアカウントが不正アクセスを受けた可能性があるとして調べている。 同委員会によれば、5月13日23時から翌14日13時にかけて、同図書館のメールアカウントに大量の不達メールが着信したもの。 原因は調査中としているが、同メールアカウントが不正アクセスを受け、同メールアカウントで送受信されたメールに記載されていた個人情報が外部に流出した可能性があるという。 5月19日10時の時点で判明している対象範囲は、同図書館の利用者など60人と、同図書館と業務上の連絡を行っている団体90団体で、氏名や住所、電話番号、メールアドレスなどが記載されていた。 都教委では関係者に注意喚起のメールを送付。同メールアカウントの業務利用を停止し、関連するメールアカウントのパスワードを変更した。 使用する端末においてマ

キヤノン製のプリンタや複合機など、200モデル以上が影響を受ける脆弱性が判明した。ファームウェアの更新や緩和策の実施が呼びかけられている。 外部の「SMTPサーバ」や「LDAPサーバ」などと連携設定を行っている環境において、「passback攻撃」が可能となる脆弱性「CVE-2025-3078」「CVE-2025-3079」が判明したもの。管理者権限が必要となるが、認証情報を平文で取得されるおそれがある。 共通脆弱性評価システム「CVSSv3.1」のベーススコアはいずれも「8.7」、「CVSSv4.0」では「6.3」と評価されている。脆弱性の悪用による被害は確認されていない。 「imageRUNNERシリーズ」「同ADVANCEシリーズ」「imagePRESSシリーズ」「同Vシリーズ」「Sateraシリーズ」などあわせて200モデル以上がこれら脆弱性の影響を受けるという。 同社は一部モデル

名古屋市は、鶴舞中央図書館で公開した行政文書において、一部墨塗り処理に不備があったことを明らかにした。 同市によれば、公開請求があり、光ディスクに保存して交付した行政文書に不備があったもの。個人情報にあたる利用者番号を墨塗り処理していたが、一定の操作により参照できることが4月29日に判明した。 2月28日時点で鶴舞中央図書館にて貸出中状態にあった個人の利用者番号4352件が含まれる。文書作成時に複数でチェックしていたが、担当者2人とも問題を認識していなかったという。 同市は、図書館における問い合わせやインターネット予約において、利用者番号のみでは情報を閲覧できず、氏名やパスワードが必要とし、現段階で影響はないと説明している。 同市では、文書公開請求者に謝罪し、メディアの回収を依頼。謝罪文を図書館ウェブサイトに掲載するとともに、市内の図書館で掲出している。 （Security NEXT -

「Node.js」の開発チームは、現地時間5月14日に複数の脆弱性を修正するセキュリティアップデートを公開した。 ブランチによって影響を受ける脆弱性は異なるが、事前予告が行われた3件の脆弱性に対処している。 「CVE-2025-23166」は、暗号処理中の例外処理に問題があり、プロセスがクラッシュするおそれがある脆弱性。重要度を「高（High）」としており、いずれのブランチも影響を受ける。 一方「CVE-2025-23167」は、「llhttp」のHTTPヘッダの終端処理における不備に起因。不正な改行シーケンスによりプロキシのアクセス制御を回避して「リクエストスマグリング」が可能となる。重要度は1段階低い「中（Medium）」とした。 あわせてメモリが枯渇し、サービス拒否に陥るおそれがある重要度「低（Low）」の脆弱性「CVE-2025-23165」が明らかとなっている。 開発チームは、こ

ウェブメールシステム「Active! mail」に深刻な脆弱性が存在し、脆弱性に対するゼロデイ攻撃なども確認されている問題で、クオリティアは侵害状況の確認方法を引き続き調査中であるとアナウンスした。 同製品に関しては、スタックベースのバッファオーバーフローの脆弱性「CVE-2025-42599」が見つかり、2025年4月16日にアップデートが緊急リリースされた。セキュリティ機関からも注意喚起が行われており、回避策などもアナウンスされている。 同脆弱性については、同製品を以前採用していたサービスプロバイダにおいて実際に侵害される被害が発生。少なくとも2024年8月以降、悪用されていることが判明している。 同社では同脆弱性の悪用により攻撃を受けた可能性があるか確認する方法について、脆弱性の公表時より調査を行っているが、5月8日時点でも調査を継続中であるとしている。 脆弱性に対する攻撃が確認され

情報処理推進機構（IPA）は、「情報セキュリティ10大脅威 2025」の解説書を公開した。同機構ウェブサイトよりダウンロードできる。 「情報セキュリティ10大脅威」は、前年に発生したセキュリティに関する事故や脅威のうち、社会的影響が大きかったものを専門家や実務者の観点からまとめたもの。 選出したトピックそのものは1月末に発表済みだが、「組織編」の解説書と活用法をまとめた資料をあらたに公開した。あわせて「セキュリティ対策の基本と共通対策」を提供しており、同機構ウェブサイトよりダウンロードできる。 「情報セキュリティ10大脅威 2025」のランキングは以下のとおり。なお「個人編」の解説書については、5月末に公開予定。「個人編」については「50音順」となっており、自身に関係のある脅威に対して対策を行うよう求めている。 2024年の組織における10大脅威（カッコ内は前回順位） 1位：ランサムウェア

macOS向けターミナルエミュレーター「iTerm2」に脆弱性が明らかとなった。アップデートなどが呼びかけられている。 同ソフトウェアにおいて、情報漏洩の脆弱性「CVE-2025-22275」が判明したもの。特定環境においてログファイルが作成され、攻撃者が読み取ることで、ターミナルコマンドなどの機密情報を取得することが可能になる。 「SSH」を利用する環境において、リモートホストにPython 3.7以降がインストールされている場合に脆弱性の影響を受ける。 CVE番号を採番したMITREでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.3」、重要度を4段階中もっとも高い「クリティカル（Critical）」とレーティングしている。 開発者は2025年1月2日にリリースした「同3.5.11」で脆弱性を修正した。脆弱性の影響を受ける環境で利用していた場合は、アップデートすると

大和ハウス工業は、ネットワーク対応ストレージ（NAS）の設定不備により、一部顧客情報がインターネットからアクセスでき、流出したことを明らかにした。 同社によれば、同社が施工する物件の仮設現場事務所内で使用していた「NAS」に設定不備があったもの。顧客情報を含むプロジェクト情報の一部が外部からアクセス可能だった。 具体的には、集合住宅事業部門の一部工事現場に関する情報で、図面や工事概要書、工程表、施工計画書、竣工検査報告書、発注先リストなどとしている。 個人情報としては、物件名称に含まれる施主の氏名約5500件、取引先担当者の氏名や作業員に関する情報など約8300件が含まれる。 そのほか、近隣住民説明会の参加者の氏名約50件、物件に関係する施主の氏名、工事関係資料など36件なども対象としている。

システム監視ソフトウェア「Zabbix」において権限の昇格が可能となる脆弱性が明らかとなった。重要度が「クリティカル」とレーティングされており、アップデートが呼びかけられている。 一部関数にSQLインジェクションの脆弱性「CVE-2024-42327」が明らかとなったもの。バグ報奨金プログラムを通じて報告を受けた。「同7.0.0」「同6.4.16」「同6.0.31」および以前のバージョンに影響がある。 フロントエンドにおけるデフォルトのユーザーロールを持つか、APIに対するアクセスが可能であるロールを持つ場合に、ネットワーク経由で権限の昇格が可能になるという。 Zabbixは、同脆弱性について共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.9」と評価。重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングしている。 同社は「同7.0.1rc1」「同6

データベース「PostgreSQL」の開発チームは、現地時間11月14日にアップデートをリリースした。報告を受けた4件の脆弱性や35件以上のバグを修正している。 今回のアップデートでは、「PL/Perl」の環境変数を操作することでコードを実行されるおそれがある「CVE-2024-10979」を修正した。 セキュリティポリシーを回避してデータを操作できる可能性のある「CVE-2024-10976」や、セッションの認可において誤ったユーザーIDにリセットされる脆弱性「CVE-2024-10978」に対処。あわせて「libpq」におけるエラーメッセージ処理に関する脆弱性「CVE-2024-10977」を解消している。 共通脆弱性評価システム「CVSSv3.1」のベーススコアを見ると、今回修正されたなかで「CVE-2024-10979」がもっとも高く、「8.8」と評価した。「CVE-2024-10

GNUプロジェクトのコマンドラインツール「Wget」に脆弱性が明らかとなった。アップデートが提供されている。 「同1.24.5」および以前のバージョンにおいて、URLスキームを省略したURLを処理すると意図しない挙動が発生し、細工されたホストへ誘導される脆弱性「CVE-2024-10524」が判明したもの。 CVE番号を採番し、脆弱性を報告したJFrogによると、「CVE-2024-38428」の調査中に発見した脆弱性で、サーバサイドリクエストフォージェリ（SSRF）やフィッシング攻撃、中間者攻撃（MITM）などにつながるおそれがあると同社は指摘している。 共通脆弱性評価システム「CVSSv3.1」のベーススコアを「6.5」と評価しており、重要度を「中（Medium）」とレーティングした。 悪用には認証部分を制御できる必要があり、ユーザーの入力においてURLスキームが省略されることは少ない

Appleは現地時間11月19日、「iOS」および「iPadOS」向けに複数の脆弱性を修正するセキュリティアップデートをリリースした。すでに悪用されている可能性があるという。 「iOS 18.1.1」および「iPadOS 18.1.1」、さらに「iOS 17.7.2」「iPadOS 17.7.2」をリリースした。これらアップデートにおいて2件の脆弱性に対処している。 具体的には、JavaScriptエンジン「JavaScriptCore」において、任意のコードを実行されるおそれがある「CVE-2024-44308」を修正した。 さらに「WebKit」においてCookie管理の不備に起因するクロスサイトスクリプティング（XSS）の脆弱性「CVE-2024-44309」を解消している。 いずれの脆弱性もGoogleの研究者より報告を受けた。Intel製CPU上で稼働するmacOSを標的に攻撃が

コーヒーの輸入販売をはじめ、食品事業を手がける石光商事は、同社国内グループ会社のサーバがランサムウェアの被害を受けた問題で、対応状況を明らかにした。データ流出の痕跡が確認されたものの、個人情報は含まれていないとしている。 同社やグループ会社である東京アライドコーヒーロースターズ、関西アライドコーヒーロースターズ、ユーエスフーズで利用している一部サーバーが外部よりサイバー攻撃を受けたもの。ランサムウェアによってサーバ内に保存されていたファイルを暗号化された。 同社は9月20日に事態を公表。個人情報保護委員会へ報告するとともに警察へ相談、外部協力のもと、原因や影響範囲の調査や復旧作業を進めていた。 同社によると、SIMカードを搭載するノートパソコンがリモートデスクトップ接続を介した攻撃を受け、同端末経由でグループで利用するサーバにアクセス。データの暗号化が行われたと見られている。 攻撃を通じて

QNAP SystemsのNAS製品向けに提供されているファイル共有やバックアップツールに深刻な脆弱性が明らかとなった。 2件の脆弱性「CVE-2024-50387」「CVE-2024-50388」について、10月29日、30日にアドバイザリを公表したもの。いずれもバグバウンティコンテスト「Pwn2Own 2024」で報告を受けたという。 「CVE-2024-50387」は、ファイルやプリンタの共有に用いられる「SMB Service」に明らかとなった脆弱性で、同社は「同4.15.002」および「同h4.15.002」にて修正した。 またバックアップ機能を提供するアプリ「HBS 3 Hybrid Backup Sync」に「CVE-2024-50388」が判明。「同25.1.1.673」以降で解消されている。 いずれもアドバイザリで脆弱性の具体的な影響について言及していないが、重要度を4段

「SharePoint」においてリモートよりコードを実行されるおそれがある脆弱性「CVE-2024-38094」の悪用が確認された。米政府が注意を呼びかけている。 同脆弱性は、「SharePoint」においてサイト所有者の権限を持つ場合にリモートより任意のコードを実行できる脆弱性。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.2」、重要度は「Important」と評価されており、現地時間7月9日の月例セキュリティ更新にて修正を行っている。 同脆弱性に関しては、7月の月例更新プログラムで修正されており、当初悪用は確認されていなかったが、公表の翌日には「CVE-2024-38023」「CVE-2024-38024」などとあわせて実証コード（PoC）が公開されている。 現地時間10月22日に米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、「CVE-20

Grafana Labsが開発するオープンソースのデータ可視化ツール「Grafana」において、試験的に導入されている機能に脆弱性が明らかとなった。アップデートが呼びかけられている。 ユーザーが「SQL Expressions機能」を有効化している場合に、コマンドインジェクションやローカルファイルインクルージョン（LFI）が可能となる脆弱性「CVE-2024-9264」が明らかとなったもの。 「duckdb」が導入されている環境において、クエリのサニタイズが十分行われていないことに起因し、「VIEWER」以上の権限を持つユーザーによって悪用されるおそれがある。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.9」、「CVSSv4.0」のスコアは「9.4」と評価されており、重要度は「クリティカル（Critical）」とレーティングされている。 開発チームは脆弱性を修正した「同

コンテンツマネジメントシステム（CMS）の「WordPress」向けに提供されているプラグイン「WordPress File Upload」に脆弱性が判明した。アップデートが提供されている。 「同4.24.11」および以前のバージョンに「パストラバーサル」の脆弱性「CVE-2024-9047」が明らかとなったもの。リモートより認証を必要とすることなく、ファイルの読み取りや削除が可能となる。 DefiantのWordfenceによると、特に「PHP 7.4」以下で同プラグインを使用している場合に影響を受けるという。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。 最新版となる「同4.24.12」において同脆弱性は修正されており、アップデートが呼びかけられている。 （Securit