July 2025 – Page 4 – IoT OT Security News

Azure RBAC／API に複数の脆弱性：過剰な権限付与や共有キーの漏洩が引き起こす事態とは？

Azure API Vulnerabilities Leak VPN Keys and Built-In Roles Allow Over-Privileged Access

2025/07/04 CyberSecurityNews — Microsoft Azure のロールベース・アクセス・コントロール・システムに存在する、深刻なセキュリティ脆弱性により、エンタープライズ・ネットワークへの不正アクセスが引き起こされるという。セキュリティ研究者たちが特定したのは、過剰な権限を付与するビルトイン・ロールと API 実装の欠陥の組み合わせにより、クラウド・インフラやオンプレミス・ネットワークへの侵入を狙う悪意の攻撃者にとって、魅力的な攻撃ベクターが生じることだ。

Next.js の脆弱性 CVE-2025-49826 が FIX：キャッシュ・ポイズニングによる DoS 攻撃

Next.js Vulnerability Allows Attackers to Trigger DoS via Cache Poisoning

2025/07/04 gbhackers — React ベースの Web フレームワークとして人気を博す Next.js において、深刻な脆弱性 CVE-2025-49826 が発見され、修正された。Vercel の報告によると、この Next.js の脆弱性はバージョン 15.1.0 以上、15.1.8 未満の範囲に存在し、キャッシュ・ポイズニングのバグを悪用する攻撃者は、影響を受けるアプリケーションにおいて、サービス拒否 (DoS) 状態を引き起こせる状況にある。

PHP の脆弱性 CVE-2025-1735／6491 が FIX：エクステンションを介した SQLi／DoS 攻撃

Multiple PHP Vulnerabilities Allow SQL Injection & DoS Attacks – Update Now

2025/07/04 CyberSecurityNews — PHP に深刻なセキュリティ脆弱性が発見された。この欠陥を悪用する攻撃者は、SQL インジェクション攻撃を介して、サービス拒否 (DoS) 状態を引き起こす可能性を手にする。２種類の脆弱性 CVE-2025-1735／CVE-2025-6491 が報告されているが、いずれも複数の PHP バージョンに影響を及ぼすため、速やかな修正プログラムの適用が必要となる。

Apache APISIX の脆弱性 CVE-2025-46647 が FIX：ミスコンフィグから生じる不正アクセス

Apache APISIX Vulnerability Enables Cross-Issuer Access Under Misconfigurations

2025/07/04 gbhackers — 広く利用されているオープンソース API ゲートウェイ Apache APISIX の openid-connect プラグインに、新たな脆弱性 CVE-2025-46647 が発見された。この脆弱性は重要度が高く、特定のミスコンフィグが生じている状況において、異なる ID 発行者の間をまたぐかたちで、攻撃者に対して不正アクセスを許す可能性がある。

Anthropic MCP の脆弱性 CVE-2025-53110／53109 が FIX：サンドボックス回避とコード実行の可能性

Anthropic MCP Server Flaw Allows Sandbox Escape and Code Execution

2025/07/03 gbhackers — Anthropic の Filesystem MCP (Model Context Protocol) Server に新たに発見された脆弱性 CVE-2025-53110／CVE-2025-53109 が、AI を活用する環境に深刻なリスクをもたらしている。これらの脆弱性により、サンドボックス・エスケープ／不正なファイル・アクセス／任意のコード実行などが生じるという。Cymulate Research Labs により発見された、これらの脆弱性が浮き彫りにするのは、エンタープライズや開発者エコシステムで加速する MCP 採用が生み出す、深刻なセキュリティ・リスクの課題である。

2025 Q1 ランサムウェア調査：サプライチェーンを介して倍増した被害者と Cl0p の台頭

213% Increase in Ransomware Attacks Targeting Organizations With First Quarter of 2025

2025/07/03 CyberSecurityNews —2025年 Q1 のランサムウェア攻撃が、前例のない急増を見せている。Optiv の調査によると、74 箇所のデータ漏洩サイトに記載された 2,314件の被害者は、前年同期の 1,086件と比べて 213% の増加となっている。この急激な増加は、2024年の横ばいとも言えるランサムウェア動向から、大きく乖離するものである。2024年のランサムウェア攻撃の特徴は、被害者を増やすキャンペーンよりも、高価値の被害者に標的を絞り込むところにあったようだ。

Apache Tomcat／Camel の脆弱性 CVE-2025-24813／27636／29891：積極的な悪用を観測

Apache Tomcat and Camel Vulnerabilities Actively Exploited in The Wild

2025/07/03 CyberSecurityNews — Apache Tomcat／Apache Camel に存在する深刻な脆弱性が、世界中のサイバー犯罪者たちにより積極的に悪用されているという。2025年3月に情報が公開された以降において、それらの脆弱性への攻撃は、70カ国以上で 125,000件を超えるレベルにあると、セキュリティ研究者たちは報告している。

Wing FTP Server の脆弱性 CVE-2025-47812 が FIX：認証不要の RCE と PoC の存在

Wing FTP Server Vulnerability Allows Full Server Takeover by Attackers

20225/07/03 gbhackers — Wing FTP Server に発見された深刻な脆弱性により、未認証のリモート・コード実行 (RCE) を悪用する攻撃者に、世界中の何千ものサーバが完全に乗っ取られる可能性が生じている。この脆弱性は CVE-2025-47812 として追跡され、CVSS v4 ベース・スコアの最大値である 10.0 が割り当てられている。それが示すのは、深刻度の高さと悪用の容易さである。

PDF／QR Code を武器化：Microsoft／DocuSign／Dropbox などを装うフィッシング攻撃に要注意

Threat Actors Weaponize PDFs to Impersonate Microsoft, DocuSign, Dropbox and More in Phishing Attack

2025/07/03 CyberSecurityNews — PDF 添付ファイルを攻撃手段とする、サイバー犯罪が大幅に増加している。この信頼性の高いドキュメント形式を悪用する脅威アクターたちが、Microsoft／DocuSign／Dropbox／PayPal／Adobe といった大手ブランドを装い、巧妙なフィッシング攻撃を展開している。それらの攻撃は、PDF ドキュメントに対してユーザーが抱く、広範な信頼を悪用するものであり、本来は安全であるはずのファイル共有手段が、認証情報の窃取や金融詐欺の入口として機能している。

LNK ファイル攻撃が 50% も急増：４種類のマルウェア・カテゴリーを特定／分析する

Surge in LNK File Weaponization by 50%, Fueling Four Major Malware Types

2025/07/03 gbhackers — Palo Alto – Unit 42 のテレメトリ・データによると、マルウェア配布における Windows ショートカット (LNK) ファイルの武器化が前年から 50% も増加し、悪意の LNK サンプルは、2023年の 21,098 件から 2024年の 68,392 件へと急増しているという。本来の LNK ファイルは、複雑なフォルダ構造をナビゲートせずに、ファイルやアプリケーションへアクセスするための仮想リンクとして使用されるが、その柔軟性からサイバー犯罪者にとっても、強力な攻撃ツールとなっている。

CISA KEV 警告 25/07/02：Chrome の 0-Day 脆弱性 CVE-2025-6554 を KEV カタログに登録

CISA Warns of Chrome 0-Day Vulnerability Exploited in Attacks

2025/07/03 CyberSecurityNews — Google Chrome に存在する深刻なゼロデイ脆弱性に対して、CISA が緊急警告を発した。この脆弱性については、実際の攻撃での悪用が多数報告され、CISA の KEV (Known Exploited Vulnerabilities) カタログに追加された。この脆弱性 CVE-2025-6554 は、Chromium V8 JavaScript エンジンに影響を与えるものであり、世界中の組織に対して、早急な対応が求められている。

Apache Seata の脆弱性 CVE-2025-32897 が FIX：信頼されないデータのデシリアライズの問題

Apache Seata Flaw Enables Deserialization of Untrusted Data

2025/07/03 gbhackers — 広く普及している OSS 分散トランザクション・ソリューション Apache Seata に、新たな脆弱性 CVE-2025-32897 が発見され、影響を受けるバージョンを使用する組織において、セキュリティ上の懸念が生じている。この脆弱性により、Apache Seata サーバ内で、信頼されないデータのデシリアライズが許可されることで、リモート・コード実行などのセキュリティ・リスクに、システムが直面する可能性が生じる。

Cisco Unified CM の脆弱性 CVE-2025-20309 (CVSS：10.0) が FIX：ハードコードされた SSH 認証情報

Cisco Unified CM Vulnerability Allows Remote Attacker to Login As Root User

2025/07/03 CyberSecurityNews — Cisco Unified Communications Manager (Unified CM) システムに存在する、深刻な脆弱性を悪用するリモート攻撃者は、影響を受けるデバイスのルート権限を取得する可能性があるという。この脆弱性 CVE-2025-20309 (CVSS：10.0) は、Engineering Special リリースに影響を及ぼすものであり、管理者による変更／削除が不可能な、ハードコードされた SSH 認証情報に起因する。

Microsoft Authenticator のパスワード管理機能が廃止：Passkeys パスワードレスへの大きな転換

Microsoft Ends Authenticator App’s Password Management Support From 2025

2025/07/03 gbhackers — Microsoft が発表したのは、広く利用されている認証アプリ Authenticator の、パスワード管理機能の廃止に関するスケジュールである。それが示すのは、同社のデジタル・セキュリティ戦略における大きな方針転換だ。2025年7月から、オートフィル機能が使用できなくなり、2025年8月には、すべての保存されているパスワードが、このアプリから完全に削除されるという。

ModSecurity WAF の脆弱性 CVE-2025-52891：DoS の可能性と未パッチの状況

Critical ModSecurity WAF Vulnerability Allows Denial of Service via Empty XML Tags

2025/07/03 CyberSecurityNews — ModSecurity Web Application Firewall (WAF) エンジンに新たに発見されたサービス拒否 (DoS) 脆弱性が、セキュリティ専門家たちの間で大きな懸念となっている。この脆弱性 CVE-2025-52891 は、空のタグを含む XML リクエストを処理することでトリガーされ、サービス中断へといたる可能性がある。影響を受けるのは mod_security2 のバージョン 2.9.8／2.9.9／2.9.10 だが、管理者により SecParseXmlIntoArgs 機能が有効化されている場合に限られる。

CISA KEV 警告 25/07/02：TeleMessage TM SGNL の脆弱性 CVE-2025-48927／48928 を登録

U.S. CISA adds TeleMessage TM SGNL flaws to its Known Exploited Vulnerabilities catalog

2025/07/02 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、実環境での悪用が確認されたことを受け、２件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。１つ目は、TeleMessage TM SGNL における不適切なデフォルト・コンフィグの脆弱性であり、２つ目も、TeleMessage TM SGNL のコアダンプ・ファイルの露出の脆弱性である。

FileFix の進化：Windows のブラウザ機能を悪用する Mark-of-the-Web 回避

FileFix Attack Exploits Windows Browser Features to Bypass Mark-of-the-Web Protection

2025/07/02 CyberSecurityNews — 2025年7月に出現した、洗練された新たなサイバー攻撃の亜種は、Chrome／Microsoft Edge の Web ページ保存機能に存在する、深刻な脆弱性を悪用するものだ。この、FileFix 2.0 と呼ばれる攻撃は、ブラウザの正規保存メカニズムと、HTML Application (HTA) 実行を組み合わせることで、Windows の Mark of the Web (MOTW) セキュリティ機能を回避するものだ。

WordPress Forminator の脆弱性 CVE-2025-6463 が FIX：60万以上のサイトに乗っ取りの可能性

Over 600K WordPress Sites at Risk Due to Critical Plugin Vulnerability

2025/07/02 gbhackers — セキュリティ企業 Wordfence と独立系研究者が発表したのは、人気の WordPress プラグイン Forminator に存在する深刻なセキュリティ脆弱性により、60 万以上のグローバル・サイトがリモートからの乗っ取りに直面しているという状況である。この脆弱性は CVE-2025-6463 として追跡され、CVSS スコア 8.8 (High) と評価されている。この脆弱性の悪用に成功した攻撃者は、影響を受けるサーバ上で任意のファイル削除を達成し、サイト全体の乗っ取りを引き起こす可能性を手にする。

Anthropic MCP Inspector の脆弱性 CVE-2025-49596 が FIX：開発者のマシン上での任意のコード実行

Anthropic MCP Inspector Tool Vulnerability Let Attackers Execute Arbitrary Code on Developer Machines

20225/07/02 CyberSecurityNews — Anthropic の MCP Inspector ツールに、深刻なリモート・コード実行 (RCE) の脆弱性 CVE-2025-49596 (CVSS：9.4) が発見された。Anthropic の Model Context Protocol (MCP) エコシステムで初めて確認された、この脆弱性は、ブラウザ・ベースの攻撃を許すものであり、AI に携わる開発者や組織に対して深刻なサイバー脅威をもたらすものだとされる。

AI クローラーの台頭：世界の Web トラフィックの 30% を占める自動ボットの功罪

AI Crawlers Reshape The Internet With Over 30% of Global Web Traffic

2025/07/02 CyberSecurityNews — 世界のインターネット・インフラ上において、人工知能クローラーが支配的な勢力として台頭しはじめ、デジタル環境は根本的な変革を遂げている。最近の分析によると、現在の世界全体の Web トラフィックに占める、自動化されたボットの割合は約 30%を占めるに至り、従来からの人間主導のインターネット利用パターンからの、大きな転換を示しているという。この劇的な進化は、単なる技術的な変革に留まらず、デジタル・ネットワーク内における情報流通の構造を、全面的に再構築するものである。従来の検索インデックス作成メカニズムに対して、AI 搭載クローラーが取って代わるケースが急速に増加している。

Chrome が試行する Web ページのポッドキャスト化：AI Audio Overviews のコンセプトと現状

Google Chrome May Soon Turn Webpages Into Podcasts With AI Audio Overviews

2025/07/01 CyberSecurityNews — Google が発表したのは、Android 版 Google Chrome において、ユーザーによるオンライン・コンテンツの利用方法を一変させる可能性を持つ、メジャー・アップグレードに関する予定である。Chrome で進行しているのは、”AI Audio Overviews” と呼ばれる新機能のテストである。この機能は、あらゆる Web ページをポッドキャスト形式の音声要約へと変換し、外出先でのユーザーに対しても、アクセスし易く魅力的なコンテンツを提供するものだ。

Django Web アプリケーションの脆弱性 CVE-N/A：リモート・コード実行に No Patch／Yes PoC

Django App Vulnerabilities Chained to Execute Arbitrary Code Remotely

2025/07/01 CyberSecurityNews — Django Web アプリケーションに影響を及ぼす、深刻なリモート・コード実行 (RCE) 脆弱性が発見された。この脆弱性を悪用する攻撃者は、無害に見える CSV ファイルのアップロード機能を介して、サーバの完全な乗っ取りを可能にする。2025年6月30日に公開された、この脆弱性を悪用する攻撃者は、ディレクトリ・トラバーサルと pandas の CSV パーサー悪用を連鎖させることで、Django の wsgi.py ファイルを上書きし、任意のコード実行の可能性を得るという。CSV コメント内に埋め込まれた悪意の Python コードは、pandas の処理を回避して残存し、Django が “wsgi.py” を再読み込みする際に自動的に実行される。

Linux Sudo の脆弱性 CVE-2025-32463 が FIX：Ubuntu／Fedora デフォルト・コンフィグへの影響と PoC の存在

Linux Sudo chroot Vulnerability Enables Hackers to Elevate Privileges to Root

2025/07/01 CyberSecurityNews — Linux の Sudo ユーティリティに発見された、深刻なセキュリティ脆弱性 CVE-2025-32463 を悪用する低権限のローカル・ユーザーは、ルート権限への昇格の可能性を手にする。この脆弱性が影響を及ぼす範囲は、Sudo のバージョン 1.9.14～1.9.17 であり、デフォルト・コンフィグで動作する Linux システムに重大な脅威が生じるという。この脆弱性は、Stratascale Cyber Research Unit (CRU) の Rich Mirch により発見された。

Chrome のゼロデイ脆弱性 CVE-2025-6554 が FIX：すでに活発な悪用を観測

Chrome 0-Day Vulnerability Exploited in the Wild to Execute Arbitrary Code – Patch Now

2025/07/01 CyberSecurityNews — Google がリリースしたのは、Chrome ブラウザの深刻なゼロデイ脆弱性に対処するための、緊急セキュリティ・アップデートである。この脆弱性 CVE-2025-6554 (深刻度 High) は、すでに悪用が確認されている。この脆弱性は、Chrome の V8 JavaScript エンジンにおけるタイプ・コンフュージョンに起因する。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で任意のコード実行の可能性を手にする。