はてなブックマーク

テキストエディタ「Vim」に脆弱性が明らかとなった。細工されたファイルを開くだけで任意のコードを実行されるおそれがあるとしており、アップデートが呼びかけられている。 広くデフォルトで有効となっている「tabpanel」オプションにおいて式評価の制御が不十分である脆弱性「CVE-2026-34714」が明らかとなったもの。モデルラインから式を注入でき、評価が行われるという。 細工したファイルを開くと、追加の操作を必要とすることなくサンドボックス外で処理を実行させ、任意のOSコマンドが実行されるおそれがある。開発チームでは、重要度を4段階中2番目にあたる「高（High）」と評価した。 一方、CVE番号を採番したMITREでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.2」、重要度を4段階中もっとも高い「クリティカル（Critical）」とレーティングしている。 開発チーム

情報処理推進機構（IPA）は、2026年1月に発表した「情報セキュリティ10大脅威2026」の組織編の解説書を公開した。 「情報セキュリティ10大脅威」は、前年に発生したセキュリティ関連の事故やサイバー攻撃の状況から同機構が候補を選定。研究者や実務者による選考会を経て、社会的影響が大きかったセキュリティ関連のトピックスを毎年発表している。 2026年版は前年に引き続き、ランサムウェア被害やサプライチェーンおよび委託先を狙う攻撃などが大きな脅威として挙げられているほか、AI利用にともなうサイバーリスクも注目されており、今回はじめて上位に入った。 1月のランキング公開に続き、「組織」向けの脅威に関する解説書を用意し、公開した。同機構ウェブサイトで資料の利活用状況に関するアンケートへ回答することで無償でダウンロードできる。 2025年の組織における10大脅威（カッコ内は前回順位） 1位：ランサム

ウェブサーバ「NGINX」において中間者攻撃により応答が改ざんされるおそれがある脆弱性が判明した。商用版、オープンソース版のいずれも影響を受ける。 TLSで保護された上流サーバへプロキシを設定した場合に、中間者攻撃（MITM攻撃）で応答へ平文データを注入されるおそれがある脆弱性「CVE-2026-1642」が確認された。 信頼されたデータと信頼されていない外部データを適切に区別せず受け入れてしまうことに起因。改ざんされたデータがそのままクライアントへ送信されるおそれがある。 共通脆弱性評価システム「CVSSv4.0」のベーススコアは「8.2」、重要度は4段階中、上から2番目にあたる「高（High）」とレーティングされている。「CVSSv3.1」ではベーススコアが「5.9」、重要度は「中（Medium）」とされる。 F5では、同脆弱性へ対処した「NGINX Open Source 1.29.

Pythonベースの大規模言語モデル（LLM）アプリケーションの開発フレームワークである「LangChain」に深刻な脆弱性が明らかとなった。JavaScript環境向けの「LangChain JS」についても脆弱性が報告されている。 内部データの変換処理において適切にエスケープ処理が実施されない脆弱性「CVE-2025-68664」が判明したもの。特定の構成においてデシリアライズ時にコードが実行され、環境変数に格納されているAPIキーなどシークレット情報が取得されるおそれがある。 ストリーミング、メッセージ履歴の管理、ベクトルストアのロードなど幅広い処理で影響を受けるという。 CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.1」とし、重要度を4段階中もっとも高い「クリティカル（Critical）」とレーティングした。 開発チームでは脆

サカタのタネは、サイバー攻撃を受けた影響で、顧客や取引先、従業員の個人情報が流出した可能性があることを明らかにした。 同社によれば、同社サーバにおいて不正侵入を検知し、データの一部にアクセスされた形跡があることを2025年11月11日に確認。同月17日に事態を公表するとともに調査を進めていた。 外部と協力し、侵入経路やアクセスの痕跡などについて調査を進めているが、ログなどからリモートアクセス用の公開サーバを起点として攻撃が展開され、管理者権限を取得された可能性があることがわかった。 個人情報については、外部での流通や二次被害などは確認されていないものの、流出のおそれがあることが判明したという。 対象は卸売業務に関連する顧客や取引先関係者の個人情報最大約4万4000件。氏名、住所、電話番号、メールアドレスなどが含まれる。

「Node.js」の開発チームは、現地時間2025年12月15日にセキュリティアップデートをリリース予定であることを明らかにした。 「同25.x」「同24.x」「同22.x」「同20.x」向けにセキュリティアップデートの提供を計画しているとし、事前予告を行ったもの。 ブランチによって影響は異なるが、あわせて5件の脆弱性に対処するとしており、重要度が4段階中、上から2番目にあたる「高（High）」とされる脆弱性が3件、「中（Medium）」「低（Low）」がそれぞれ1件となる見込み。 サポートが終了したバージョンも脆弱性の影響を受けるが、アップデートの提供予定はないとし、旧バージョンを利用している場合はアップデートを実施するよう呼びかけている。 またメンテナンスフェーズを終えたバージョンに対し、セキュリティ上の問題を解決する一時的な対策として商用サポートサービスも提供されているとし、アップデ

ウェブアプリケーションフレームワーク「Next.js」に深刻な脆弱性が明らかとなった。早急に対処するよう呼びかけられている。 オブジェクトのデシリアライズに起因する脆弱性「CVE-2025-66478」が明らかとなったもの。「App Router」構成に影響があり、リモートより細工したデータが送信されると、任意のコードを実行されるおそれがある。 「React」のサーバコンポーネントに脆弱性「CVE-2025-55182」が判明し、依存関係による影響を受けた。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは、最高値である「10.0」と評価されており、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。 「Next.js 16.0.7」「同15.5.7」「同15.4.8」「同15.3.6」「同15.2.6」「同15.1.9」「同15.0.5」に

JavaScriptライブラリ「React」のサーバコンポーネントに深刻な脆弱性が明らかとなった。依存関係があるプログラムも含め、すぐに対策を講じるよう利用者に注意が呼びかけられている。 「React Server Components」において、信頼できないデータをデシリアライズする脆弱性「CVE-2025-55182」が明らかとなったもの。認証は不要で細工したHTTPリクエストを処理した際、リモートよりコードを実行されるおそれがある。 バグバウンティプログラムを通じて2025年11月29日に報告を受けた。共通脆弱性評価システム「CVSSv3.1」のベーススコアは最高値となる「10.0」、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。 「Server関数」を利用していない場合も「React Server Components」が導入されている構

日本の文化や商品を海外に広めることを目的に設立された官民ファンドである海外需要開拓支援機構（クールジャパン機構）は、サーバより個人情報が流出した可能性があることを明らかにした。 同社では、2025年5月1日にネットワーク機器経由でサーバが侵害されたことを確認。アクセスを制限するとともに、外部協力のもと、原因や影響範囲について詳しく調べていた。 調査の結果、サーバ内部に保存されていた情報が外部へ流出したことを示す明確な痕跡などは見つかっておらず、二次被害も確認されていないが、外部へ流出した可能性があることが判明したという。 対象となる個人データとしては、投資先の役職員、株主、関係者の氏名、住所、連絡先、投資評価に関する情報など約1080件。 さらに同社の役職員の氏名、住所、連絡先、役職、健康診断の結果、人事情報など約100件や、同社の株主である法人の名称、住所、担当者の氏名、所属、役職など2

画像処理ライブラリ「ImageMagick」にあらたな脆弱性が判明した。深刻な影響があるとの指摘もあり注意が必要となる。 コア部分に含まれる一部コンポーネントに、域外メモリに書き込みを行う「CVE-2025-57807」が明らかとなったもの。不正なコードを実行されるおそれがある。 先日も整数オーバーフローの脆弱性「CVE-2025-57803」が確認され、8月24日にアップデートがリリースされているが、異なる脆弱性であり注意が必要。 CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv3.1」において同脆弱性のベーススコアを「4.2」、重要度を「中（Moderate）」とレーティング。ローカル環境より一定の権限が必要とし、難易度も高く影響も限定的と評価した。 一方脆弱性の報告者は、CVSSのベーススコアを「9.8」、重要度を「クリティカル（Critical）」に値すると

大阪健康安全基盤研究所は、メールの送信ミスがあり、事業者の担当者に関するメールアドレスが流出したことを明らかにした。 同法人によれば、2025年8月21日に「公開見積もり合わせのホームページ公開のお知らせ」を関係者へ送信した際、誤送信が発生したもの。 送信先となる事業者の担当者に関するメールアドレス58件を誤って「CC」に設定し、メールを送信したため、受信者間にメールアドレスや宛先となる表示名が流出した。 同日、内部の職員より指摘があり誤送信が判明。対象となる関係者にメールで経緯を説明するとともに謝罪し、誤送信したメールの削除を依頼した。 今回の問題を受け、職員に対して個人情報保護の重要性をあらためて周知し、複数によるチェックを徹底して再発を防ぐとしている。 （Security NEXT - 2025/09/05 ） ツイート

「HTTP/2」を実装する複数のソフトウェアにおいて、DoS攻撃を受けるおそれがある脆弱性「MadeYouReset」が明らかとなった。一部ソフトウェアでは、修正パッチの提供を開始している。 現地時間2025年8月13日、CERT/CCがセキュリティアドバイザリを公開し、「HTTP/2」の実装不備に起因する脆弱性「CVE-2025-8671」について明らかにしたもの。脆弱性は別名「MadeYouReset」と呼ばれている。 サーバに不要なリクエスト処理を継続させることで、リソースを枯渇させることが可能となり、2023年に判明した別名「Rapid Reset」としても知られる脆弱性「CVE-2023-44487」との類似性も指摘されている。 具体的には、「HTTP/2」においてクライアントやサーバが任意のタイミングでストリームをリセットできる仕様となっているが、多くの環境でリセット後もサーバ

ZscalerのSAML認証に深刻な脆弱性が明らかとなった。脆弱性の影響など詳細はわかっていない。 同社製品では、組織の要件に応じて複数のアイデンティティプロバイダ（IdP）を用いたシングルサインオンが可能だが、同社サーバー側のSAML認証機構に脆弱性「CVE-2025-54982」が確認されたという。 署名検証を適切に行っておらず、脆弱性を悪用することで不正な認証が可能だった。 同社がCVE番号を採番しており、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.6」と評価している。重要度は「クリティカル（Critical）」とレーティングされている。 同脆弱性は、現地時間2025年8月5日付けで米国立標準技術研究所（NIST）の脆弱性データベース「NVD」に登録された。 同社より同脆弱性に関するセキュリティアドバイザリは公開されておらず、脆弱性の具体的な影響、対応の必要性など

ウェブプロキシキャッシュサーバ「Squid」にリモートよりコードを実行されるおそれがある脆弱性が判明した。開発チームでは脆弱性を解消したアップデートを提供している。 インターネット上のリソースを識別するため利用する「URN（Uniform Resource Name）」の処理にバッファオーバーフローの脆弱性「CVE-2025-54574」が明らかとなったもの。 「URN Trivial-HTTP」レスポンスの受信時にバッファオーバーフローが生じ、認証情報や機密情報を含む最大4Kバイトの「Squid」が割り当てたヒープメモリがクライアント側に漏洩するおそれがある。 さらにリモートよりコードを実行される可能性もあるとしている。 CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.3」、重要度を4段階中もっとも高い「クリティカル（Critical

ウェブサーバ「Apache HTTP Server」の開発チームは現地時間2025年7月23日、アクセス制御の処理に関する脆弱性が判明したことを受け、セキュリティアップデートをリリースした。 「同2.4.64」の「mod_rewrite」モジュールにおいて、リダイレクトなどのルール設定における条件処理に脆弱性「CVE-2025-54090」が明らかとなったもの。2025年7月16日に報告があったという。 関数の戻り値を正しく評価しておらず、一部指定において本来は条件に応じて動作が分岐するところ、すべての条件が「真」として評価されるという。 意図しないアクセス制御やリダイレクトが発生するおそれがあり、設定内容によってセキュリティポリシーやアクセス制御の回避につながるおそれがある。 米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）による共通脆弱性評価システム「CVSSv3.

国内主要上場企業の9割超が、少なくとも1件以上のドメインで「DMARC」の運用に取り組んでいるが、大学では45.1％と半数に届かなかった。 2025年5月時点における送信ドメイン認証技術である「DMARC」の導入実態について、TwoFiveが調査を実施し、結果を取りまとめたもの。 「日経225」に採用されている上場企業225社では、92.4％にあたる208社において少なくとも1件以上のドメインで「DMARC」を導入していた。前年同月の調査からは0.8ポイント増。 1件以上のドメインでポリシーを「隔離（quarantine）」や「拒否（reject）」に設定している企業は124社。1年間で6.7ポイント増加しており、55.1％と半数を超えている。 一方、225社で管理、運用されている8889件のドメインにおいて、「DMARC」が導入済みなのは、37.9％にあたる3367件。ドメイン全体に対す

国土交通省東北地方整備局は、全国道路施設点検データベースで公開している国道の一部図面に、個人情報の削除漏れがあったことを明らかにした。 同局によれば、2022年7月12日に全国道路施設点検データベースで有料公開した国道の図面のうち、同局管内の13道路事務所において個人情報の削除漏れが確認された。 土地所有者あわせて6万5488人の氏名が削除されていなかった。2024年11月1日に判明し、氏名が掲載されている図面の特定と氏名数の調査を進めていたが、データベースに登録された施設数が多く、確認に時間を要したという。 削除漏れの判明以降、氏名が掲載されている図面の公開を停止している。利用規約では、図面の閲覧は有料会員のみとされており、閲覧情報を無断で第三者へ提供することは禁止されているとしている。 （Security NEXT - 2025/07/07 ） ツイート

オープンソースのマルウェア対策ソフトウェア「ClamAV」に深刻な脆弱性が明らかとなった。開発チームではアップデートを呼びかけている。 バージョンによって影響を受ける脆弱性は異なるが、複数の脆弱性が報告されたことを受け、開発チームでは現地時間2025年6月18日にセキュリティパッチをリリースした。 「CVE-2025-20260」は、「PDFファイル」の解析処理に判明したヒープベースのバッファオーバーフローが生じる脆弱性。 特定以上のスキャンサイズが設定された環境において、細工されたPDFファイルをスキャンするとプロセスがクラッシュし、任意のコードを実行されたり、サービス拒否に陥るおそれがある。 また「UDFファイル」の解析においてもバッファオーバーフローにより、サービス拒否や情報漏洩が生じる「CVE-2025-20234」が判明した。

東京都教育委員会は、都立多摩図書館のメールアカウントに、大量の不達メールが届いたことを明らかにした。メールアカウントが不正アクセスを受けた可能性があるとして調べている。 同委員会によれば、5月13日23時から翌14日13時にかけて、同図書館のメールアカウントに大量の不達メールが着信したもの。 原因は調査中としているが、同メールアカウントが不正アクセスを受け、同メールアカウントで送受信されたメールに記載されていた個人情報が外部に流出した可能性があるという。 5月19日10時の時点で判明している対象範囲は、同図書館の利用者など60人と、同図書館と業務上の連絡を行っている団体90団体で、氏名や住所、電話番号、メールアドレスなどが記載されていた。 都教委では関係者に注意喚起のメールを送付。同メールアカウントの業務利用を停止し、関連するメールアカウントのパスワードを変更した。 使用する端末においてマ

キヤノン製のプリンタや複合機など、200モデル以上が影響を受ける脆弱性が判明した。ファームウェアの更新や緩和策の実施が呼びかけられている。 外部の「SMTPサーバ」や「LDAPサーバ」などと連携設定を行っている環境において、「passback攻撃」が可能となる脆弱性「CVE-2025-3078」「CVE-2025-3079」が判明したもの。管理者権限が必要となるが、認証情報を平文で取得されるおそれがある。 共通脆弱性評価システム「CVSSv3.1」のベーススコアはいずれも「8.7」、「CVSSv4.0」では「6.3」と評価されている。脆弱性の悪用による被害は確認されていない。 「imageRUNNERシリーズ」「同ADVANCEシリーズ」「imagePRESSシリーズ」「同Vシリーズ」「Sateraシリーズ」などあわせて200モデル以上がこれら脆弱性の影響を受けるという。 同社は一部モデル

名古屋市は、鶴舞中央図書館で公開した行政文書において、一部墨塗り処理に不備があったことを明らかにした。 同市によれば、公開請求があり、光ディスクに保存して交付した行政文書に不備があったもの。個人情報にあたる利用者番号を墨塗り処理していたが、一定の操作により参照できることが4月29日に判明した。 2月28日時点で鶴舞中央図書館にて貸出中状態にあった個人の利用者番号4352件が含まれる。文書作成時に複数でチェックしていたが、担当者2人とも問題を認識していなかったという。 同市は、図書館における問い合わせやインターネット予約において、利用者番号のみでは情報を閲覧できず、氏名やパスワードが必要とし、現段階で影響はないと説明している。 同市では、文書公開請求者に謝罪し、メディアの回収を依頼。謝罪文を図書館ウェブサイトに掲載するとともに、市内の図書館で掲出している。 （Security NEXT -

「Node.js」の開発チームは、現地時間5月14日に複数の脆弱性を修正するセキュリティアップデートを公開した。 ブランチによって影響を受ける脆弱性は異なるが、事前予告が行われた3件の脆弱性に対処している。 「CVE-2025-23166」は、暗号処理中の例外処理に問題があり、プロセスがクラッシュするおそれがある脆弱性。重要度を「高（High）」としており、いずれのブランチも影響を受ける。 一方「CVE-2025-23167」は、「llhttp」のHTTPヘッダの終端処理における不備に起因。不正な改行シーケンスによりプロキシのアクセス制御を回避して「リクエストスマグリング」が可能となる。重要度は1段階低い「中（Medium）」とした。 あわせてメモリが枯渇し、サービス拒否に陥るおそれがある重要度「低（Low）」の脆弱性「CVE-2025-23165」が明らかとなっている。 開発チームは、こ

ウェブメールシステム「Active! mail」に深刻な脆弱性が存在し、脆弱性に対するゼロデイ攻撃なども確認されている問題で、クオリティアは侵害状況の確認方法を引き続き調査中であるとアナウンスした。 同製品に関しては、スタックベースのバッファオーバーフローの脆弱性「CVE-2025-42599」が見つかり、2025年4月16日にアップデートが緊急リリースされた。セキュリティ機関からも注意喚起が行われており、回避策などもアナウンスされている。 同脆弱性については、同製品を以前採用していたサービスプロバイダにおいて実際に侵害される被害が発生。少なくとも2024年8月以降、悪用されていることが判明している。 同社では同脆弱性の悪用により攻撃を受けた可能性があるか確認する方法について、脆弱性の公表時より調査を行っているが、5月8日時点でも調査を継続中であるとしている。 脆弱性に対する攻撃が確認され

情報処理推進機構（IPA）は、「情報セキュリティ10大脅威 2025」の解説書を公開した。同機構ウェブサイトよりダウンロードできる。 「情報セキュリティ10大脅威」は、前年に発生したセキュリティに関する事故や脅威のうち、社会的影響が大きかったものを専門家や実務者の観点からまとめたもの。 選出したトピックそのものは1月末に発表済みだが、「組織編」の解説書と活用法をまとめた資料をあらたに公開した。あわせて「セキュリティ対策の基本と共通対策」を提供しており、同機構ウェブサイトよりダウンロードできる。 「情報セキュリティ10大脅威 2025」のランキングは以下のとおり。なお「個人編」の解説書については、5月末に公開予定。「個人編」については「50音順」となっており、自身に関係のある脅威に対して対策を行うよう求めている。 2024年の組織における10大脅威（カッコ内は前回順位） 1位：ランサムウェア

macOS向けターミナルエミュレーター「iTerm2」に脆弱性が明らかとなった。アップデートなどが呼びかけられている。 同ソフトウェアにおいて、情報漏洩の脆弱性「CVE-2025-22275」が判明したもの。特定環境においてログファイルが作成され、攻撃者が読み取ることで、ターミナルコマンドなどの機密情報を取得することが可能になる。 「SSH」を利用する環境において、リモートホストにPython 3.7以降がインストールされている場合に脆弱性の影響を受ける。 CVE番号を採番したMITREでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.3」、重要度を4段階中もっとも高い「クリティカル（Critical）」とレーティングしている。 開発者は2025年1月2日にリリースした「同3.5.11」で脆弱性を修正した。脆弱性の影響を受ける環境で利用していた場合は、アップデートすると

大和ハウス工業は、ネットワーク対応ストレージ（NAS）の設定不備により、一部顧客情報がインターネットからアクセスでき、流出したことを明らかにした。 同社によれば、同社が施工する物件の仮設現場事務所内で使用していた「NAS」に設定不備があったもの。顧客情報を含むプロジェクト情報の一部が外部からアクセス可能だった。 具体的には、集合住宅事業部門の一部工事現場に関する情報で、図面や工事概要書、工程表、施工計画書、竣工検査報告書、発注先リストなどとしている。 個人情報としては、物件名称に含まれる施主の氏名約5500件、取引先担当者の氏名や作業員に関する情報など約8300件が含まれる。 そのほか、近隣住民説明会の参加者の氏名約50件、物件に関係する施主の氏名、工事関係資料など36件なども対象としている。

システム監視ソフトウェア「Zabbix」において権限の昇格が可能となる脆弱性が明らかとなった。重要度が「クリティカル」とレーティングされており、アップデートが呼びかけられている。 一部関数にSQLインジェクションの脆弱性「CVE-2024-42327」が明らかとなったもの。バグ報奨金プログラムを通じて報告を受けた。「同7.0.0」「同6.4.16」「同6.0.31」および以前のバージョンに影響がある。 フロントエンドにおけるデフォルトのユーザーロールを持つか、APIに対するアクセスが可能であるロールを持つ場合に、ネットワーク経由で権限の昇格が可能になるという。 Zabbixは、同脆弱性について共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.9」と評価。重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングしている。 同社は「同7.0.1rc1」「同6

データベース「PostgreSQL」の開発チームは、現地時間11月14日にアップデートをリリースした。報告を受けた4件の脆弱性や35件以上のバグを修正している。 今回のアップデートでは、「PL/Perl」の環境変数を操作することでコードを実行されるおそれがある「CVE-2024-10979」を修正した。 セキュリティポリシーを回避してデータを操作できる可能性のある「CVE-2024-10976」や、セッションの認可において誤ったユーザーIDにリセットされる脆弱性「CVE-2024-10978」に対処。あわせて「libpq」におけるエラーメッセージ処理に関する脆弱性「CVE-2024-10977」を解消している。 共通脆弱性評価システム「CVSSv3.1」のベーススコアを見ると、今回修正されたなかで「CVE-2024-10979」がもっとも高く、「8.8」と評価した。「CVE-2024-10