Aiototsec

CISA KEV 警告 25/12/17：Fortinet 製品群の脆弱性 CVE-2025-59718 を登録

CISA Adds Fortinet Vulnerability to KEV Catalog After Active Exploitation

2025/12/17 CyberSecurityNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が 2025年12月16日に発表したのは、Fortinet の脆弱性 CVE-2025-59718 の Known Exploited Vulnerabilities (KEV) カタログへの追加である。米連邦政府の組織が必要な修復措置を適用する最終期限として、2025年12月23日が指定されている。この措置は、この脆弱性が実際に悪用されている実態と、組織のネットワークに対する差し迫った脅威を反映したものである。この脆弱性は、FortiOS／FortiSwitchMaster／FortiProxy／FortiWeb を含む複数の Fortinet セキュリティ製品に影響を及ぼす。

Cisco SEG／SEWM のゼロデイ脆弱性 CVE-2025-2039：積極的な悪用を確認

Cisco warns of unpatched AsyncOS zero-day exploited in attacks

2025/12/17 BleepingComputer — Cisco が発表したのは、Secure Email Gateway (SEG)／Secure Email and Web Manager (SEWM) アプライアンスを標的とした攻撃において、Cisco AsyncOS のゼロデイ脆弱性 CVE-2025-20393 (CVSS 10.0) が積極的に悪用されているという事実である。このゼロデイ脆弱性は、スパム隔離機能が有効化され、インターネットに公開されている特定コンフィグの Cisco SEG／Cisco SEWM アプライアンスのみに影響する。

LLM 時代のランサムウェア進化：AI 悪用による攻撃ライフサイクルの短縮など

LLM-Driven Automation: A New Catalyst for Ransomware and RaaS Ecosystems

2025/12/16 gbhackers — LLM のランサムウェア・エコシステムへの統合に関する包括的な評価を、SentinelLABS が発表した。現時点では、AI により戦術が根本的に変革された状況は確認されていないが、運用ライフサイクルは著しく加速していると、このレポートは結論付けている。この調査が示しているのは、測定可能なメトリクスである攻撃速度／攻撃量／多言語対応の向上が、低スキル攻撃者の参入障壁を引き下げると同時に、既存グループのワークフローを最適化することで、脅威環境を再形成している点である。

React2Shell を悪用する大規模な攻撃：KSwapDoor／ZnDoor などの Linux バックドアを拡散

React2Shell Vulnerability Actively Exploited to Deploy Linux Backdoors

2025/12/16 TheHackerNews — React2Shell (CVE-2025-55182 ) として知られるセキュリティ脆弱性を悪用する脅威アクターたちが、KSwapDoor／ZnDoor などのマルウェア・ファミリーを拡散していることを、Palo Alto Networks Unit 42 と NTT Security の調査結果が示している。Palo Alto Networks Unit 42 の Senior Manager of Threat Intel Research である Justin Moore は、「KSwapDoor は、ステルス性を念頭に設計された、リモート・アクセス・ツールである」と述べている。

ScreenConnect の脆弱性 CVE-2025-14265 が FIX：エクステンション検証の不備と情報漏洩

Critical ScreenConnect Vulnerability Let Attackers Expose Sensitive Configuration Data

2025/12/16 CyberSecurityNews — ConnectWise が公開したのは、ScreenConnect のセキュリティ・アップデートである。そこで修正された脆弱性 CVE-2025-14265 は、ScreenConnect サーバ・コンポーネントのみに影響するものであるが、悪用に成功した攻撃者は、機密情報／設定データを漏洩させ、信頼されていないエクステンションをインストールする可能性を得る。ただし、この脆弱性は、ホスト・クライアントおよびゲスト・クライアントには影響しない。脆弱性 CVE-2025-14265 は、エクステンションのインストール時における、コード整合性の不適切な検証に起因し、CWE-494 (整合性チェックなしのコード・ダウンロード) に分類される。

Red Hat OpenShift GitOps の脆弱性 CVE-2025-13888：ルートアクセス窃取の恐れ

OpenShift GitOps Vulnerability Allows Attackers to Escalate Privileges to Root

2025/12/16 gbhackers — Red Hat が公表したのは、OpenShift GitOps に存在する深刻なセキュリティ欠陥に関する情報である。この脆弱性 CVE-2025-13888 を悪用する認証済みのユーザーは、クラスターを完全に制御する可能性を得る。Red Hat は深刻度を Critical ではなく Important と評価しているが、名前空間の管理者を完全に信頼できない環境においては、技術的に深刻な影響を及ぼす。この脆弱性の悪用に成功した名前空間の管理者が、本来の範囲を超えて権限を昇格させ、システム全体へのルート・アクセスを取得する可能性がある。

Windows Admin Center の脆弱性 CVE-2025-64669：ローカル権限昇格の恐れ

Windows Admin Center Vulnerability (CVE-2025-64669) Let Attackers Escalate Privileges

2025/12/16 CyberSecurityNews — Windows Admin Center (WAC) バージョン 2.4.2.1 において、新たなローカル権限昇格の脆弱性 CVE-2025-64669 が発見された。この脆弱性が影響を及ぼす範囲は、WAC 2411 以下のバージョンを実行している全ての環境である。脆弱性 CVE-2025-64669 は、”WindowsAdminCenter” フォルダの不適切なアクセス権限に起因する (詳細なパスは後述)。このフォルダは、一般のユーザーによる書き込みが可能でありながら、昇格された権限で実行されるサービスで用いられるものだ。

FortiGate の深刻な脆弱性 CVE-2025-59718／59719：悪意の SAML によるSSO バイパスを確認

Critical FortiGate Devices SSO Vulnerabilities Actively Exploited in the Wild

2025/12/16 CyberSecurityNews — Fortinet が公開したのは、FortiGate アプライアンスおよび関連製品に存在する、深刻な認証バイパス脆弱性を狙った侵入活動が発生していることである。この脅威アクターは CVE-2025-59718／CVE-2025-59719 を悪用し、悪意の SAML メッセージを介して未認証の SSO (single sign-on) ログインを実行することで、攻撃者自身に対して管理者アクセスを許可している。2025年12月9日に Fortinet は、これらの脆弱性を PSIRT アドバイザリで公開している。その直後に Arctic Wolf は独自のセキュリティ情報を発表し、速やかなパッチ適用を促していた。

Atlassian の 2025/12 アップデート：Apache Tika の脆弱性 CVE-2025-66516 などが FIX

Atlassian fixed maximum severity flaw CVE-2025-66516 in Apache Tika

2025/12/15 SecurityAffairs — Atlassian が発表したのは、自社製品に影響を与える数十件の脆弱性への対処が完了したという声明である。これらの脆弱性には、複数の深刻度レベルの問題が含まれている。最も深刻な脆弱性の１つは、Apache Tika に存在する XML 外部エンティティ (XXE) インジェクション脆弱性 CVE-2025-66516 であり、CVSS スコアは 10.0 と評価されている。この脆弱性 CVE-2025-66516 を悪用する攻撃者は、Apache Tika の core module／PDF module／parser module に対して、XXE インジェクションを仕掛けることが可能になる。攻撃者は、PDF 内に悪意のある XFA ファイルを埋め込み、Tika に外部 XML エンティティを処理させ、機密性の高い内部リソースへのアクセス経路を開かせる可能性がある。

CISA KEV 警告 25/12/15：Apple と Gladinet CentreStack の脆弱性を登録

U.S. CISA adds Apple and Gladinet CentreStack and Triofox flaws to its Known Exploited Vulnerabilities catalog

2025/12/15 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が公表したのは、Apple と Gladinet の CentreStack／Triofox の脆弱性を既知の悪用脆弱性 (KEV) カタログに登録したことである。カタログに追加された脆弱性は以下のとおりである。

CVE-2025-43529：Apple の複数製品における WebKit の解放後メモリ使用
CVE-2025-14611：Gladinet CentreStack／Triofox のハードコードされた暗号鍵

React2Shell を悪用する PCPcat：CVE-2025-55182／29927 を悪用して59,000+ 台のサーバを侵害

New PCPcat Exploiting React2Shell Vulnerability to compromise 59,000+ Servers

2025/12/15 CyberSecurityNews — PCPcat と呼ばれる新たなマルウェア攻撃キャンペーンは、Next.js／React フレームワークの深刻な脆弱性を標的とするものであり、48 時間以内に 59,000 台以上のサーバに侵入している。この Next.js 環境を標的とするマルウェアは、認証なしでリモート・コード実行を可能にする、２つの深刻な脆弱性 CVE-2025-29927 と CVE-2025-55182 (CVE-2025-66478) を悪用している。この攻撃の手法は、プロトタイプ汚染およびコマンド・インジェクションを用いるものであり、脆弱なサーバ上で有害なコマンド実行を可能にする。

Wireshark 4.6.2 がリリース：サービス拒否脆弱性 CVE-2025-13945／13946 に対応

Wireshark 4.6.2 Released With Fix for Vulnerabilities, and Updated Protocol Support

2025/12/15 CyberSecurityNews — Wireshark の最新バージョンであるWireshark 4.6.2 がリリースされた。このバージョンでは、Wireshark に存在する深刻なクラッシュの脆弱性と、プラグインの互換性に関する問題が対処されている。このメンテナンス・リリースは、トラブルシューティングおよびセキュリティ分析を行うユーザーの安定性を向上させるものだ。Wireshark の開発チームは、特定のプロトコル解析処理 (ディセクタ) において特定された、２件のサービス拒否 (DoS) の脆弱性を修正した。修正対象は以下の通りである。

脆弱性 CVE-2025-13945：HTTP3 ディセクタに存在し、クラッシュを引き起こす。
脆弱性 CVE-2025-13946：MEGACO ディセクタに存在する無限ループの欠陥。

Prometheus エコシステム：オープンソースのメトリクス収集／監視システム

Prometheus: Open-source metrics and monitoring systems and services

2025/12/15 HelpNetSecurity — Prometheus はオープンソースのモニタリング／アラート・システムであり、サービスが頻繁に変更される環境や、障害が急速に拡大する環境向けに構築されている。システムの動作を追跡して早期の警告サインを検知する Prometheus は、大規模なワークロード全体で起こっていることを把握するセキュリティ・チームや DevOps エンジニアのための重要なツールとなっている。

Plesk の脆弱性 CVE-2025-66430：攻撃者によるルートレベル・アクセスの可能性

Critical Plesk Vulnerability Allows Users to Gain Root-Level Access

2025/12/15 gbhackers — Plesk が公開したのは、新たに発見された深刻なセキュリティ脆弱性 CVE-2025-66430 に関する情報である。この脆弱性を悪用する低権限のユーザーは、権限を昇格させることで、影響を受けるシステムでのルートレベルのアクセス権を取得できる。この欠陥は、広く利用されている Web ホスティング・コントロール・パネルである Plesk を、Web ホスティング・プロバイダー／サーバ管理に利用する組織にとって深刻な脅威となる。

Apache StreamPark の脆弱性 CVE-2025-54947 が FIX：機密データ復号と権限昇格の恐れ

Apache StreamPark Vulnerability Let Attackers Access Sensitive Data

2025/12/15 CyberSecurityNews — Apache StreamPark に発見された、深刻なセキュリティ脆弱性 CVE-2025-54947 を悪用する攻撃者は、機密情報を復号してシステム・アクセスを不正に取得する可能性がある。この脆弱性は、アプリケーション内でハードコードされた暗号化キーが使用される点に起因している。したがって、リバース・エンジニアリングやコード解析を行う攻撃者が、セキュリティ制御を回避する状況を招く。

FreePBX の脆弱性 CVE-2025-61675／61678／66039 が FIX：RCE を可能にする SQLi や認証バイパス

FreePBX Patches Critical SQLi, File-Upload, and AUTHTYPE Bypass Flaws Enabling RCE

2025/12/15 TheHackerNews —オープンソースの PBX プラットフォームである FreePBX に、セキュリティ脆弱性 CVE-2025-61675／CVE-2025-61678／CVE-2025-66039 が発見された。それらの脆弱性は、特定のコンフィグレーションに起因するものであり、認証バイパスにつながる可能性が生じる。2025年9月15日の時点で、このプロジェクトのメンテナーに報告された深刻な欠陥が、その後に Horizon3.ai により公表された。

NVIDIA Merlin の脆弱性 CVE-2025-33213／33214 が FIX：悪意のコード実行と DoS 攻撃の可能性

NVIDIA Merlin Vulnerabilities Allows Malicious Code Execution and DoS Attacks

2025/12/15 gbhackers — NVIDIA が 2025年12月9日に発表したのは、Merlin 機械学習フレームワークに存在する、深刻度の高い２件のデシリアライズの脆弱性に対する緊急セキュリティ・パッチである。このセキュリティ情報が明らかにするのは、大規模レコメンデーション・システムの構築に広く利用されている、オープンソース・フレームワーク NVIDIA Merlin の NVTabular／Transformers4Rec コンポーネントに深刻な欠陥が発見されたことだ。この脆弱性を悪用する攻撃者は、Linux システム上で悪意の実行／サービス拒否攻撃の誘発／機密データの侵害を可能にする。

pgAdmin 4 の深刻な脆弱性 CVE-2025-13780 が FIX：テキスト・フィルターの欠陥と RCE の可能性

Critical pgAdmin Vulnerability Let Attackers Execute Shell Commands on the Host

2025/12/15 CyberSecurityNews — 人気のオープンソース PostgreSQL データベース管理ツール pgAdmin 4 に、深刻なセキュリティ脆弱性が発見された。この深刻な脆弱性 CVE-2025-13780 を悪用する攻撃者は、セキュリティ・フィルターを迂回し、ホスト・サーバ上で任意のシェル・コマンドを実行できる。この問題の原因は、アプリケーションのプレーンテキスト復元機能にあり、アップロードされたデータベース・ファイル内に隠された危険なコマンドを適切にブロックできない状況になっている。

Microsoft バグバウンティが拡張：サードパーティ／オープンソースのコードも対象に

Microsoft Bug Bounty Program Expanded to Third-Party Code

2025/12/13 SecurityWeek — 12月12日 (木) に Microsoft が発表した “In Scope by Default” というアプローチは、バグバウンティ・プログラムを大幅に拡充し、サードパーティ製のコードとオープンソース・コードも対象にするものだ。対象となる深刻な脆弱性が、Microsoft のサービスに影響を与える場合に限り、その脆弱性を発見／報告した研究者はバグバウンティの対象となる。

Empire 6.3.0 が正式リリース：レッド・チーム向けポスト・エクスプロイト・フレームワークの大規模更新

Empire 6.3.0 Released as Updated Post-Exploitation Framework for Red Teams

2025/12/13 gbhackers — BC-SECURITY が正式にリリースした Empire 6.3.0 は、レッド・チームおよびペネトレーション・テスター向けに設計された、広く使用されているポスト・エクスプロイトおよび攻撃者エミュレーション・フレームワークの重要なアップデート版である。この最新版では、ツールにおけるモジュール式アーキテクチャが強化され、堅牢なサーバ／クライアント・モデルを通じてオペレーターに高い柔軟性を提供する。

Apple のゼロデイ脆弱性 CVE-2025-43529／14174 などが FIX：iOS 26 系で標的型攻撃を確認

Apple 0-Day Vulnerabilities Exploited in Sophisticated Attacks Targeting iPhone Users

2025/12/13 CyberSecurityNews — Apple が公表したのは、iPhone iOS バージョン 26 以下を利用するユーザーを標的とした、高度な攻撃で積極的に悪用されている、WebKit の２件のゼロデイ脆弱性に対する修正である。2025年12月12日にリリースされた iOS 26.2／iPadOS 26.2 は、WebKit の脆弱性 CVE-2025-43529／CVE-2025-14174 に対処するものである。

CISA KEV 警告 25/12/12：Google Chromium／Sierra Wireless AirLink の脆弱性を登録

U.S. CISA adds Google Chromium and Sierra Wireless AirLink ALEOS flaws to its Known Exploited Vulnerabilities catalog

2025/12/13 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Google Chromium および Sierra Wireless AirLink ALEOS の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。

カタログに登録された脆弱性は以下のとおりだ：

CVE-2025-14174：Google Chromium の境界外メモリアクセスの欠陥
CVE-2018-4063：Sierra Wireless の危険なファイル・アップロードの欠陥

React2Shell に対する Google の警告：React／Next.js を標的とするマルウェア拡散キャンペーン

Google Warns Multiple Hacker Groups Are Exploiting React2Shell to Spread Malware

2025/12/13 CyberSecurityNews — Google Threat Intelligence Group (GTIG) が発表したのは、React Server Components に存在する深刻なセキュリティ脆弱性 CVE-2025-55182 が広範に悪用されている状況に対する警告である。この脆弱性 React2Shell を悪用する攻撃者は、パスワードを必要とせず、リモートからサーバを制御できる。2025年12月3日に脆弱性が公開された後に、複数のハッカー・グループが悪用していることを Google は確認している。攻撃者たちは、国家に支援されるスパイ・グループから、金銭的利益を目的とするサイバー犯罪者まで多岐にわたる。

Kali Linux 2025.4 がリリース：３つの新しいハッキング・ツール／デスクトップ環境の改善など

Kali Linux 2025.4 released with 3 new tools, desktop updates

2025/12/12 BleepingComputer — Kali Linux が発表したのは、今年最後のアップデートとなるバージョン 2025.4 のリリースである。このアップデートに含まれるのは、３つの新しいハッキング・ツール／デスクトップ環境の改善／NetHunter における Wifipumpkin3 のプレビュー／Wayland サポートの強化などである。サイバー・セキュリティ専門家や倫理的ハッカーたちが、レッドチーム演習／ペンテスト／セキュリティ評価／ネットワーク調査を実施するために設計されたのが、Kali Linux ディストリビューションである。

CISA KEV 警告 25/12/11：OSGeo GeoServer の脆弱性 CVE-2025-58360 を登録

CISA Warns of OSGeo GeoServer 0-Day Vulnerability Exploited in Attacks

2025/12/12 CyberSecurityNews — OSGeo GeoServer が公開したのは、広く利用されているオープンソース地理データ共有サーバの、深刻なセキュリティ脆弱性に関する緊急アドバイザリである。それに並行して CISA も、この脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。この措置が示すのは、公共部門と民間部門を標的とする攻撃において、このゼロデイ脆弱性が脅威アクターたちに積極的に悪用されている状況である。新たに公開された脆弱性は CVE-2025-58360 として追跡され、XML 外部エンティティ (XXE) 参照の不適切な制限に分類される。

MITRE Top-25：2025年に猛威をふるった脆弱性を CWE でランキング

MITRE Releases Top 25 Most Dangerous Software Weaknesses of 2025

2025/12/12 CyberSecurityNews — MITRE が公表したのは、2025年版 Common Weakness Enumeration (CWE) における最も危険なソフトウェアの脆弱性 Top-25 リストである。今年に登録された 39,080 件の Common Vulnerability and Exposure (CVE) の根本原因が、このリストにより明らかにされる。これらの蔓延する脆弱性は、多くの場合において検出と悪用が容易であり、攻撃者によるシステム制御の乗っ取り／機密データの窃取／アプリケーションの機能不全などを引き起こすものだ。それに対抗する開発者／セキュリティチーム／経営幹部は、この Top-25 リストにより、修正の優先順位付けと Software Development Lifecycles (SDLC) を再設定するためのロードマップを手にしたことになる。

OpenAI が拡張する防御のモデル：AI の規模と精度が従来型の脅威と組み合わされる時代に

OpenAI Enhances Defensive Models to Mitigate Cyber-Threats

2025/12/12 InfoSecurity —12月10日 (水) に OpenAI が発表したのは、モデル性能の急上昇に伴い社内計画を再構築したという声明である。そのレポートによると、Capture The Flag (CTF) チャレンジを用いた能力評価は、2025年8月の GPT-5 における 27% から、2025年11月の GPT-5.1-Codex-Max の 76% へと向上しているという。OpenAI が警告するのは、今後登場するシステムの一部が、同社の Preparedness Framework における高能力レベルに達する可能性である。そのレベルに達すると、複雑な侵入作戦からゼロデイ・エクスプロイトの開発に至るまでの、さまざまなタスクが支援されてしまう可能性があるという。

Brave に AI ブラウジング機能が登場：タスクを自動化とセキュリティ維持を両立

Brave browser starts testing agentic AI mode for automated tasks

2025/12/11 BleepingComputer — Brave が公開した新しい AI ブラウジング機能は、プライバシーを尊重する AI アシスタント Leo を活用し、ユーザーに代わってタスクを自動化するものである。この機能が目的とするのは、自動的な Web 検索／商品比較／プロモーションコードの発見／ニュース要約などのタスクの支援である。現在はテスト段階にあり、Brave Nightly バージョンからアクセスできる。この新しいエージェント AI ブラウジング・モードは、プライバシー重視のブラウザにおける AI とユーザーの緊密な統合に向けた第一歩となるが、デフォルトでは無効化されている。

Notepad++ の脆弱性 CVE-N/A が FIX：悪意のアップデート・ファイル受信の可能性

Notepad++ fixes flaw that let attackers push malicious update files

2025/12/11 BleepingComputer — Notepad++ が公開したのは、WinGUp アップデート・ツールの脆弱性を修正するバージョン 8.8.9 である。研究者およびユーザーからインシデントが報告されたことを受け、このバージョンがリリースされた。その背景にあるのは、WinGUp アップデート・ツールが、正規のアップデート・パッケージではなく悪意の実行ファイルを取得するという問題である。この問題の最初の兆候は、Notepad++ コミュニティ・フォーラムのトピックで確認された。Notepad++ のアップデート・ツール GUP.exe (WinGUp) が、デバイス情報を収集する未知のコマンドである、”%Temp%\AutoUpdater.exe” というファイルを生成したと、あるユーザーが報告したのだ。

Jenkins の脆弱性 CVE-2025-67635 が FIX：CI/CD パイプラインに DoS 攻撃の恐れ

High-Severity Jenkins Vulnerability Allows Unauthenticated DoS via HTTP CLI

2025/12/11 CyberSecurityNews — Jenkins が発表したのは、数百万の組織に影響を与える深刻なサービス拒否 (DoS) 脆弱性に対処するパッチである。この脆弱性 CVE-2025-67635 は、CI/CD (Continuous Integration and Continuous Deployment) パイプラインに広く利用される Jenkins の自動化サーバを利用する組織に対して深刻な影響を与える。その影響が及ぶ範囲は、Jenkins バージョン 2.540 以下 (LTS 2.528.2 以下) となる。

Chrome のゼロデイ脆弱性 CVE-2025-14174 が FIX：境界外アクセスと積極的な悪用

Google Alerts Users to Actively Exploited Chrome 0-Day Vulnerability

2025/12/11 gbhackers — Google が発表したのは、実際に悪用されている深刻なゼロデイ脆弱性に対処するための Chrome 緊急セキュリティ・アップデートである。Issue 466192044 として追跡されている、これらの脆弱性 CVE-2025-14372／CVE-2025-14373／CVE-2025-14174 は、世界中の Chrome ユーザーに差し迫った脅威をもたらすものだ。Google がリリースしたのは、Windows／Mac システム向けのパッチ適用済みバージョン 143.0.7499.109 / .110 と、Linux 向けのバージョン 143.0.7499.109 である。

React Server Components の脆弱性 CVE-2025-55182：64 万以上の Web サイトに影響？

644K+ Websites at Risk Due to Critical React Server Components Flaw

2025/12/11 gbhackers — Shadowserver Foundation が公表したのは、深刻な React2Shell 脆弱性 CVE-2025-55182 に関する情報の緊急アップデートである。そこで特定されたのは、依然として悪用される可能性のある大規模な攻撃対象領域である。この調査の一環として、2025年12月8日にスキャン・ベースの改善を実施した結果として、研究者たちが発見したのは、644,000 以上のドメインと 165,000 以上の固有 IP アドレスにおいて、依然として React Server Components の脆弱なインスタンスが稼働していることだった。

Gogs のゼロデイ脆弱性 CVE-2025-8110 の悪用を確認：700 以上のインスタンスに影響

Gogs 0-Day Vulnerability Exploited in the Wild to Hack 700+ Instances

2025/12/11 CyberSecurityNews — 人気のセルフホスト型 Git サービス Gogs が公表したのは、深刻なゼロデイ脆弱性 CVE-2025-8110 が、現時点で悪用されているという情報である。この脆弱性を悪用する認証済みのユーザーは、シンボリックリンクを介して保護機構をバイパスし、リモート・コード実行 (RCE) を可能にする。この記事の執筆時点で、修正パッチは提供されていない。一部の研究者たちは、インターネット上で公開されている Gogs インスタンスの 50% 以上が、すでに侵害されていると推測している。

CISA KEV 警告 25/12/09：Microsoft Windows／RARLAB WinRAR の脆弱性をカタログに追加

U.S. CISA adds Microsoft Windows and WinRAR flaws to its Known Exploited Vulnerabilities catalog

2025/12/10 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が発表したのは、Microsoft Windows および RARLAB WinRAR の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加したことである。今回のカタログに追加された脆弱性は以下のとおりである。

CVE-2025-6218 (CVSS 7.8)：RARLAB WinRAR パス・トラバーサル脆弱性
CVE-2025-62221 (CVSS 7.8)：Microsoft Windows 解放後メモリ使用 (use-after-free) 脆弱性

AMOS Stealer 攻撃キャンペーン：ChatGPT／Grok の AI 会話を悪用する脅威アクターたち

Threat Actors Exploit ChatGPT and Grok Conversations to Deliver AMOS Stealer

2025/12/10 gbhackers — サイバー・セキュリティを取り巻く状況が大きな転換点を迎えている。2025年12月5日に Huntress が公表したのは、単純に見えるベクターを用いて Atomic macOS Stealer (AMOS) を展開する巧妙かつ高度な攻撃キャンペーンである。このキャンペーンでは SEO 操作が行われ、OpenAI の ChatGPT および xAI の Grok プラットフォーム上での AI による会話が、信頼できるトラブルシューティング・ガイドのように偽装されている。

FortiSandbox の脆弱性 CVE-2025-53949 が FIX：OS コマンド・インジェクションと RCE の恐れ

FortiSandbox Flaw Allows OS Command Injection and Remote Code Execution

2025/12/10 gbhackers — Fortinet が公表したのは、FortiSandbox プラットフォームに発見された脆弱性 CVE-2025-53949 に関する情報である。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で任意のコマンドや不正なコードの実行を可能にするため、この製品を脅威に対する高度な検出／分析に利用している組織に深刻なリスクが生じる。この脆弱性 CVE-2025-53949 は、OS コマンドで使用される特殊要素の不適切な無効化による OS コマンド・インジェクション (CWE-78) に分類される。この問題は FortiSandbox の GUI コンポーネントに存在する。

Gemini の Zero-Click 脆弱性：GeminiJack という攻撃手法が Gmail／Calendar／Docs を侵害

Gemini Zero-Click Vulnerability Let Attackers Access Gmail, Calendar, and Docs

2025/12/10 CyberSecurityNews — Google が公開したのは、Google Gemini Enterprise (旧称 Vertex AI Search) に存在する GeminiJack と呼ばれる深刻なゼロクリック脆弱性に関する情報である。この脆弱性を悪用する攻撃者は、最小限の労力で Gmail／Calendar／Document から企業機密データを盗み出すことが可能だった。

Windows Cloud Files Mini Filter の権限昇格の脆弱性 CVE-2025-62221：すでに悪用を観測

Windows Cloud Files Mini Filter Driver 0-Day Exploited for Privilege Escalation

2025/12/10 gbhackers — Microsoft が公表したのは、Windows Cloud Files Mini Filter Driver に存在する、深刻な権限昇格の脆弱性 CVE-2025-62221 に関する情報である。この脆弱性を悪用するローカル攻撃者は、脆弱なマシン上でシステム・レベルのアクセス権を取得する可能性がある。この脆弱性は 2025年12月9日の Patch Tuesday で公開／対処されているが、Windows 環境に対する重大なセキュリティ脅威として認識されている。

MCP で特定された３つの攻撃ベクター：悪意のサーバからの攻撃手法を分析する

Malicious MCP Servers Enable Stealthy Prompt Injection to Drain System Resources

2025/12/09 gbhackers — Model Context Protocol (MCP) のサプリング機能に、深刻な脆弱性が存在することを、Unit 42 のセキュリティ研究者たちが公表した。この脆弱性を悪用する悪意のサーバは、ステルス性の高いプロンプト・インジェクション攻撃を、ユーザーに気付かれることなく実行できる。その結果として、計算リソースの浪費や、LLM アプリケーションの侵害などが可能になる。発見された脆弱性は、プロトコル固有の信頼モデルと堅牢なセキュリティ制御の欠如を悪用する３つの主要な攻撃ベクターを持つ。

Ruby SAML ライブラリの脆弱性 CVE-2025-66567 (CVSS 10.0) が FIX：深刻な認証バイパス

Ruby SAML Library Vulnerability Let Attackers Bypass Authentication

2025/12/09 CyberSecurityNews — Ruby が公表したのは、SAML ライブラリに発見された深刻な脆弱性に関する情報である。この脆弱性を悪用する攻撃者は、影響を受けるアプリケーションの認証メカニズムを完全にバイパスする可能性がある。この脆弱性 CVE-2025-66567 が影響を及ぼす範囲はバージョン 1.12.4 以下であり、CVSS スコアは 10.0 (Critical) と評価されている。この脆弱性の原因は、以前に公表された脆弱性 CVE-2025-25292 に対する不完全な修正により、パーサーの解釈差による署名ラッピングが残ってしまった。

Fortinet の脆弱性 CVE-2025-59718／59719 が FIX：FortiCloud SSO に認証バイパスの可能性

Fortinet warns of critical FortiCloud SSO login auth bypass flaws

2025/12/09 BleepingComputer — Fortinet が発表したセキュリティ・アップデートは、FortiOS／FortiWeb／FortiProxy／FortiSwitchManager の２件の深刻な脆弱性に対処するものである。これらの脆弱性を悪用する攻撃者は、FortiCloud SSO 認証をバイパスする可能性がある。悪意の SAML メッセージを送信する攻撃者は、脆弱な製品の不適切な検証を介して、各製品におけるシグニチャ検証の脆弱性 CVE-2025-59718 (FortiOS／FortiProxy／FortiSwitchManager) と CVE-2025-59719 (FortiWeb) を悪用できる。

CISA KEV 警告 25/12/09：React Server Components の RCE 脆弱性 CVE-2025-55182 を登録

CISA Adds Critical React2Shell Vulnerability to KEV Catalog Following Active Exploitation

2025/12/09 CyberSecurityNews — Meta React Server Components に影響を与える、深刻な脆弱性 CVE-2025-55182 が Known Exploited Vulnerabilities (KEV) カタログに追加された。それが意味するのは、米連邦政府においても、この脆弱性 React2Shell が広範に悪用されている状況である。このリモート・コード実行の脆弱性は、React Server Components を利用する組織にとって差し迫った脅威となっている。脆弱性 CVE-2025-55182 は、React Server Function エンドポイントに送信されるペイロードを、React Server Components がデコードする際の方法に起因する。

Ivanti EPM の脆弱性 CVE-2025-10573／13659／13161／13662 が FIX：リモート・コード／XSS などの恐れ

Ivanti warns of critical Endpoint Manager code execution flaw

2025/12/09 BleepingComputer — 12月9日に Ivanti が発表したのは、同社の Endpoint Manager (EPM) ソリューションに発見された脆弱性 CVE-2025-10573 に対する、パッチ適用に関する情報である。この脆弱性を悪用する攻撃者は、リモート・コード実行の可能性を得る。Ivanti の System／IT 資産管理ソリューションは、世界の 7,000 社以上の組織ネットワークを通じて、40,000 社以上のエンドユーザー企業に提供されている。同社の EPM ソフトウェアは、Windows／macOS／Linux／Chrome OS／IoT 上のクライアント・デバイスを管理する、オールインワンのエンドポイント管理ツールである。

VS Code に悪意のパッケージ：DLL ハイジャックにより開発者の機密情報を盗み出す

Researchers Find Malicious VS Code, Go, npm, and Rust Packages Stealing Developer Data

2025/12/09 TheHackerNews — Microsoft Visual Studio Code (VS Code) マーケットプレイスに存在し、開発者のマシンに情報窃取型マルウェアを感染させる２つの新たなエクステンションが、サイバー・セキュリティ研究者たちにより発見／報告された。これら悪意の VS Code エクステンションは、プレミアム・ダークテーマや人工知能 (AI) 搭載のコーディング・アシスタントを装うが、実際には追加ペイロードのダウンロード／スクリーンショットの撮影／データ窃取といった隠れた機能を秘めている。それにより収集された情報は、攻撃者が管理するサーバに送信される。

脆弱性 React2Shell を検出：Burp Suite が CVE-2025-55182／ CVE-2025-66478 に対応

Burp Suite Upgrades Scanner With Detection for Critical React2Shell Flaws

2025/12/09 gbhackers — 広く利用されるペンテストツール Burp Suite の、エクステンション ActiveScan++ に対して大幅なアップグレードが行われた。それにより、深刻な脆弱性 React2Shell に対する特別な検出機能が、このスキャナーに追加されることになった。このアップデートは、深刻度の高い２つのセキュリティ脆弱性 CVE-2025-55182／ CVE-2025-66478 に対応するものだ。

Gemini の AI ブラウジングを保護：Chrome に追加された新たなセキュリティ・レイヤーとは？

Google Chrome adds new security layer for Gemini AI agentic browsing

2025/12/09 BleepingComputer — Google が公開したのは、”User Alignment Critic” と呼ばれる新しい防御レイヤーを、Chrome ブラウザに導入する計画である。それにより、Gemini を搭載する今後のエージェント型 AI ブラウジング機能が保護されるという。エージェント型ブラウジングとは、自律的な AI エージェントがユーザーに代わって、Web 上で複数のタスクを実行する新しいモードである。具体的には、サイトのナビゲーション／コンテンツの読み取り／ボタンのクリック／フォームへの入力といった一連のアクションの実行などが自動的に実行される。

Akira が標的にする Hyper-V と ESXi：3% から 25% に急増した攻撃試行

Akira Group Targets Hyper-V and VMware ESXi with Ransomware Exploiting Vulnerabilities

2025/12/09 gbhackers — 現代の企業 IT において、目に見えないバックボーンとして機能しているハイパーバイザーが、ランサムウェア集団の新たな主戦場となっている。Huntress の最新データによると、ランサムウェアを仕掛ける下準備として、ハイパーバイザーを標的とする攻撃が 2025 年後半に急増している。

Microsoft 2025-12 月例アップデート：３件のゼロデイを含む 57件の脆弱性に対応

Microsoft December 2025 Patch Tuesday fixes 3 zero-days, 57 flaws

2025/12/09 BleepingComputer — 今日は Microsoft の December 2025 Patch Tuesday の日だ。この月例セキュリティ更新プログラムでは、57 件の脆弱性が修正されている。そこには、現在悪用されている脆弱性１件と、公開済みゼロデイ脆弱性２件が含まれる。また、今回の月例セキュリティ更新プログラムでは、深刻度 Critical のリモート・コード実行の脆弱性３件も修正されている。

CISA KEV 警告 25/12/09：D-Link ルータの脆弱性 CVE-2022-37055 を登録

CISA Warns of D-Link Routers Buffer Overflow Vulnerability Exploited in Attacks

2025/12/09 CyberSecurityNews — D-Link ルーターに影響を与える深刻なバッファ・オーバーフロー脆弱性 CVE-2022-37055 が、CISA の Known Exploited Vulnerabilities (KEV) カタログに追加された。それが示すのは、すでに米連邦政府内の実環境で、この脆弱性の悪用が確認されていることである。この脆弱性は、影響を受ける D-Link ネットワーク・デバイスに依存する組織のネットワークに深刻なリスクをもたらすものだ。

React2Shell の悪用試行の拡大を観測：中国に支援される脅威アクターによる攻撃キャンペーン

React2Shell Vulnerability Under Attack From China-Nexus Groups

2025/12/08 DarkReading — 人気のオープンソース JavaScript ライブラリ React に影響を与える深刻な脆弱性が、中国の国家に支援される脅威アクターたちの攻撃対象となっている。2025年12月3日 (水) に公開された CVE-2025-55182 は、未認証の攻撃者にリモート・コード実行 (RCE) を許す脆弱性である。この脆弱性は、安全でないデシリアライゼーションに起因し、React の広範な利用と、認証前の RCE の可能性により、深刻度は CVSS 10.0 と評価されている。