December 17, 2025 – IoT OT Security News

Fortinet FortiWeb の脆弱性 CVE-2025-64446：管理者アカウントを狙う攻撃を観測

Fortinet FortiWeb Vulnerability (CVE-2025-64446) Exploited in the Wild for Full Admin Takeover

2025/12/17 CyberSecurityNews — Fortinet の FortiWeb WAF に存在する深刻なパス・トラバーサル脆弱性 CVE-2025-64446 を、2025年10月初旬から積極的に悪用していると、脅威アクターたちが主張している。この脆弱性を悪用する未認証の攻撃者は、不正な管理者アカウントを作成し、公開されているデバイスの完全な制御が可能になる。watchTowr Labs の研究者が新たに公開したのは、2025年11月13日に明らかにされた同脆弱性の分析結果である。この脆弱性は、パス・トラバーサルに起因する認証バイパスの問題であり、セキュリティ保護を回避する攻撃者に対して、機密性の高い CGI スクリプトへの到達を許すものである。

SonicWall SMA 100 の脆弱性 CVE-2025-40602 が FIX：ローカル権限昇格と悪用の確認

SonicWall Fixes Actively Exploited CVE-2025-40602 in SMA 100 Appliances

2025/12/17 TheHackerNews — SonicWall が公開したのは、Secure Mobile Access (SMA) 100 Series アプライアンスに存在する、セキュリティ脆弱性を修正するためのプログラムである。この脆弱性 CVE-2025-40602 (CVSS：6.6) は、Appliance Management Console (AMC) の不十分な認証に起因するローカル権限昇格の問題であり、実際の攻撃における悪用が確認されている。

NVIDIA Isaac Lab の脆弱性 CVE-2025-33210 が FIXした：CVSS スコア 9.0 の RCE

NVIDIA Isaac Lab Flaw Enables Remote Code Execution

2025/12/17 gbhackers — NVIDIA が公表したのは、NVIDIA Isaac Sim フレームワークのコンポーネント Isaac Lab に存在する、深刻なセキュリティ脆弱性に関する情報である。この脆弱性を悪用する攻撃者は、リモートからの任意のコード実行の可能性を得る。この脆弱性 CVE-2025-33210 （ベンダページでは CVE-2025-32210 と誤った表記がされているので注意）は、デシリアライゼーションに起因するものであり、2025年12月にセキュリティ・パッチをリリースしたと、同社は述べている。

Askul におけるデータ侵害が報告される：約 70万件のデータ漏洩とRansomHouse の主張

Askul data breach exposed over 700,000 records after ransomware attack

2025/12/17 SecurityAffairs — Askul が発表したのは、10月19日にランサムウェア攻撃を検知したこと、および、この攻撃を実行した脅威アクターが、同社のインフラにアクセスして機密データを窃取したという事実である。Askul は、企業／消費者向けにオフィス用品／文房具／IT 機器／日用品などを供給する日本の e コマースおよび物流企業であり、日本全国で大規模な受注／配送サービスを運営している。同社は、LOHACO を運営し、Yahoo! JAPAN エコシステムの一員でもある。

Google Chrome の脆弱性 CVE-2025-14765／14766 が FIX：Web GPU と V8 の問題による RCE

Chrome Security Update Fixes Remote Code Execution Flaws

2025/12/17 gbhackers — Google が発表したのは、Chrome ブラウザに存在する脆弱性 CVE-2025-14765／CVE-2025-14766 を修正する緊急セキュリティ・アップデートのリリースである。これらの脆弱性の深刻度は High であり、リモート・コード実行 (RCE) 攻撃につながる可能性があるとされている。Stable チャンネル・アップデートとして、Windows／Mac／Linux ユーザー向けにバージョン 143.0.7499.146／.147 がリリースされている。このアップデートで修正された脆弱性はいずれも、外部のセキュリティ研究者により報告されたものである。

CISA KEV 警告 25/12/17：Fortinet 製品群の脆弱性 CVE-2025-59718 を登録

CISA Adds Fortinet Vulnerability to KEV Catalog After Active Exploitation

2025/12/17 CyberSecurityNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が 2025年12月16日に発表したのは、Fortinet の脆弱性 CVE-2025-59718 の Known Exploited Vulnerabilities (KEV) カタログへの追加である。米連邦政府の組織が必要な修復措置を適用する最終期限として、2025年12月23日が指定されている。この措置は、この脆弱性が実際に悪用されている実態と、組織のネットワークに対する差し迫った脅威を反映したものである。この脆弱性は、FortiOS／FortiSwitchMaster／FortiProxy／FortiWeb を含む複数の Fortinet セキュリティ製品に影響を及ぼす。

Cisco SEG／SEWM のゼロデイ脆弱性 CVE-2025-2039：積極的な悪用を確認

Cisco warns of unpatched AsyncOS zero-day exploited in attacks

2025/12/17 BleepingComputer — Cisco が発表したのは、Secure Email Gateway (SEG)／Secure Email and Web Manager (SEWM) アプライアンスを標的とした攻撃において、Cisco AsyncOS のゼロデイ脆弱性 CVE-2025-20393 (CVSS 10.0) が積極的に悪用されているという事実である。このゼロデイ脆弱性は、スパム隔離機能が有効化され、インターネットに公開されている特定コンフィグの Cisco SEG／Cisco SEWM アプライアンスのみに影響する。