セキュリティセキュリティ
2025年3月 セキュリティ情報 Google Chrome の脆弱性 [CVE-2025-2783]など
目次
ご挨拶
インフラ業務と並行しつつ「セキュリティの町医者」を目指している三浦です。
今月から記事投稿3年目に突入しました!
2025年3月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性(Google Chrome の脆弱性 [CVE-2025-2783])
情報公開日:2025/3/25(現地時間)
| 一次情報元(引用元) |
"Google Chrome Releases"Stable Channel Update for Desktop (Tuesday, March 25, 2025) |
| その他、情報ソース |
"SECURELIST by Kaspersky" Operation ForumTroll: APT attack with Google Chrome zero-day exploit chain "Kaspersky daily" Operation ForumTroll: APT attack via zero-day vulnerability "NIST National Vulnerability Database" CVE-2025-2783 Detail |
| CVE番号及び深刻度 |
CVE番号:CVE-2025-2783 深刻度:High (スコア:8.3) CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H (スコア及びCVSSはNVD内にある「ADP:CISA-ADP」の情報となります) |
| 脆弱性内容 |
Google 社は現地時間 2025年3月25日、Google Chrome の脆弱性「CVE-2025-2783」が悪用されていることを公表。 当該脆弱性はゼロデイ攻撃で悪用が確認された脆弱性で、悪用された場合、ブラウザのサンドボックス保護を回避される恐れがあります。 なお、同脆弱性はWindows OS 利用時に悪用可能なこと、他脆弱性と組み合わせて悪用されていることが報告されております。 |
| 想定される影響 | 複数脆弱性を使用し、データ改ざんや情報漏えい、機器の乗っ取りなど様々な影響を与える可能性があります。 |
| 影響を受ける製品 |
Windows 向け Google Chrome Ver.134.0.6998.177 より前のバージョン - 拡張安定化版の場合は Ver.134.0.6998.178 より前のバージョン |
| 解決策 | ・当該脆弱性に対応したバージョンへのUpdate ⇒詳細については「一次情報元(引用元)」でご確認ください。 |
| コメント |
当該脆弱性の悪用を目的として用意されたサイトにアクセスするだけで攻撃が成立するものであるため、すぐにUpdateしていただくことを強く推奨いたします。 (脆弱性の特徴を使い、フィッシングメール経由で攻撃が行われたことが実際に確認されております) なお、本脆弱性はMicrosoft Edge にも存在しており、Mozilla Firefox /Firefox ESR でも類似した脆弱性が見つかっておりますので、これらのブラウザを利用している場合も早急にUpdateすることをお勧めいたします。 (Microsoft Edge 及びMozilla Firefox /Firefox ESR の情報については「その他、注目した脆弱性/ソフトウェアUpdate情報」をご参照ください) |
その他、注目した脆弱性/ソフトウェアUpdate情報
| 日付 | ソフトウエア | 情報/コメント |
| 2025/3/3 | Microsoft Windows OS | アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(以降、CISAと略称を使用)は、2018年に公開したWin32k の権限昇格の脆弱性(CVE-2018-8639)が悪用されていることを公表。
"CISA Adds Five Known Exploited Vulnerabilities to Catalog (Release Date : March 03, 2025)" https://www.cisa.gov/news-events/alerts/2025/03/03/cisa-adds-five-known-exploited-vulnerabilities-catalog "Win32k Elevation of Privilege Vulnerability CVE-2018-8639" https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2018-8639 |
| 2025/3/3 | Cisco Small Business 複数ルータ製品 | CISAは、2023年に公開したCisco Small Business 複数ルータ製品の脆弱性(CVE-2023-20118)が悪用されていることを公表。
"CISA Adds Five Known Exploited Vulnerabilities to Catalog (Release Date : March 03, 2025)" https://www.cisa.gov/news-events/alerts/2025/03/03/cisa-adds-five-known-exploited-vulnerabilities-catalog "Cisco Small Business RV016, RV042, RV042G, RV082, RV320, and RV325 Routers Vulnerabilities" https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sbr042-multi-vuln-ej76Pke5 |
| 2025/3/3 | Android | Google 社は、Androidのセキュリティ更新プログラムを公開。悪用が確認されている脆弱性「CVE-2024-43093」「CVE-2024-50302」は限定的な標的型攻撃で使用されていたとのこと。
"Android Security Bulletin--March 2025" https://source.android.com/docs/security/bulletin/2025-03-01 |
| 2025/3/4 | Broadcom 社 VMWare 複数製品 | ISAは、2025年3月4日に公開されたVMWare 複数製品の脆弱性(CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)が悪用されていることを公表。
"CISA Adds Four Known Exploited Vulnerabilities to Catalog (Release Date : March 04, 2025)" https://www.cisa.gov/news-events/alerts/2025/03/04/cisa-adds-four-known-exploited-vulnerabilities-catalog "VMSA-2025-0004: VMware ESXi, Workstation, and Fusion updates address multiple vulnerabilities (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)" https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390 |
| 2025/3/4 | Mozilla Thunderbird /Thunderbird ESR /Firefox /Firefox ESR | Mozilla 社はThunderbird/Thunderbird ESR /Firefox /Firefox ESR のセキュリティアップデートを公開。悪用が行えた可能性がある脆弱性についても今回のアップデートで修正されている。
"Mozilla Foundation Security Advisory 2025-17 Security Vulnerabilities fixed in Thunderbird 136" https://www.mozilla.org/en-US/security/advisories/mfsa2025-17/ "Mozilla Foundation Security Advisory 2025-18 Security Vulnerabilities fixed in Thunderbird ESR 128.8" https://www.mozilla.org/en-US/security/advisories/mfsa2025-18/ "Mozilla Foundation Security Advisory 2025-14 Security Vulnerabilities fixed in Firefox 136" https://www.mozilla.org/en-US/security/advisories/mfsa2025-14/ "Mozilla Foundation Security Advisory 2025-15 Security Vulnerabilities fixed in Firefox ESR 115.21" https://www.mozilla.org/en-US/security/advisories/mfsa2025-15/ "Mozilla Foundation Security Advisory 2025-16 Security Vulnerabilities fixed in Firefox ESR 128.8" https://www.mozilla.org/en-US/security/advisories/mfsa2025-16/ |
| 2025/3/4 | Google Chrome | Google 社は、デスクトップ向け及びAndorid 向けのGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, March 4, 2025)" https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop.html "Chrome for Android Update (Tuesday, March 4, 2025)" https://chromereleases.googleblog.com/2025/03/chrome-for-android-update.html |
| 2025/3/6 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。Microsoft Edge 固有の脆弱性1件も修正されている。
"Release notes for Microsoft Edge Security Updates (March 6, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#march-6-2025 |
| 2025/3/10 | Laravel | PHPのフレームワーク Laravelに2件のクロスサイトスクリプティング(以降、XSSと略称)脆弱性が存在することが明らかになった。
"Laravel Reflected XSS via Request Parameter in Debug-Mode Error Page" https://github.com/sbaresearch/advisories/tree/public/2024/SBA-ADV-20241209-01_Laravel_Reflected_XSS_via_Request_Parameter_in_Debug-Mode_Error_Page "Laravel Reflected XSS via Route Parameter in Debug-Mode Error Page" https://github.com/sbaresearch/advisories/tree/public/2024/SBA-ADV-20241209-01_Laravel_Reflected_XSS_via_Request_Parameter_in_Debug-Mode_Error_Page |
| 2025/3/10 2025/3/11 |
Google Chrome | Google 社は、デスクトップ向け及びAndorid /iOS 向けのGoogle Chrome のアップデートを公開。なお、本アップデートでは悪用が確認されているMacのGPU脆弱性(CVE-2025-24201)がデスクトップ版で修正されている。
"Stable Channel Update for Desktop (Monday, March 10, 2025)" https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_10.html "Chrome for Android Update (Tuesday, March 11, 2025)" https://chromereleases.googleblog.com/2025/03/chrome-for-android-update_11.html "Chrome Stable for iOS Update (Tuesday, March 11, 2025)" https://chromereleases.googleblog.com/2025/03/chrome-stable-for-ios-update.html |
| 2025/3/11 | Apache Tomcat | The Apache Software Foundationは現地時間2025年2月10日にリリースしたApache Tomcat 11.0.3/10.1.35/9.0.99で修正されている脆弱性(CVE-2025-24813)の詳細情報を公開。(日本時間 3/18において既に悪用されているという報道あり)
"Laravel Reflected XSS via Request Parameter in Debug-Mode Error Page" https://github.com/sbaresearch/advisories/tree/public/2024/SBA-ADV-20241209-01_Laravel_Reflected_XSS_via_Request_Parameter_in_Debug-Mode_Error_Page "Laravel Reflected XSS via Route Parameter in Debug-Mode Error Page" https://github.com/sbaresearch/advisories/tree/public/2024/SBA-ADV-20241209-01_Laravel_Reflected_XSS_via_Request_Parameter_in_Debug-Mode_Error_Page |
| 2025/3/11 | Microsoft 社複数製品 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。悪用確認済み6件、第三者から情報開示された脆弱性1件も修正されている。
"2025 年 3 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/releaseNote/2025-Mar "2025 年 3 月のセキュリティ更新プログラム (月例)" https://msrc.microsoft.com/blog/2025/03/202503-security-update/ 悪用確認済みの脆弱性 "Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability CVE-2025-24983" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24983 "Windows NTFS Remote Code Execution Vulnerability CVE-2025-24993" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24993 "Windows NTFS Information Disclosure Vulnerability CVE-2025-24991" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24991 "Windows NTFS Information Disclosure Vulnerability CVE-2025-24984" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24984 "Windows Fast FAT File System Driver Remote Code Execution Vulnerability CVE-2025-24985" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24985 "Microsoft Management Console Security Feature Bypass Vulnerability CVE-2025-26633" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26633 第三者から情報開示された脆弱性 "Microsoft Access Remote Code Execution Vulnerability CVE-2025-26630" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-26630 |
| 2025/3/11 | Adobe 社複数製品 | Adobe 社の複数製品のアップデートを公開。各製品の脆弱性が修正されている。
"Latest Product Security Updates" https://helpx.adobe.com/security.html |
| 2025/3/11 | Apple 社複数製品 | Apple 社は、複数製品のセキュリティUpdate を公開。個人を標的とした高度な攻撃で悪用された可能性が高い脆弱性(CVE-2025-24201)が修正されている。
CVE-2025-24201が修正されている製品情報 "About the security content of Safari 18.3.1" https://support.apple.com/en-il/122285 "About the security content of iOS 18.3.2 and iPadOS 18.3.2" https://support.apple.com/en-il/122281 "About the security content of macOS Sequoia 15.3.2" https://support.apple.com/en-il/122283 "About the security content of visionOS 2.3.2" https://support.apple.com/en-il/122284 |
| 2025/3/13 | PHPの複数バージョン | PHPの複数バージョン「8.1.32」「8.2.28」「8.3.19」「8.4.5」をリリース。CVE番号が付与された脆弱性も修正されている。
"ChangeLog - Version 8.1.32" https://www.php.net/ChangeLog-8.php#8.1.32 "ChangeLog - Version 8.2.28" https://www.php.net/ChangeLog-8.php#8.2.28 "ChangeLog - Version 8.3.19" https://www.php.net/ChangeLog-8.php#8.3.19 "ChangeLog - Version 8.4.5" https://www.php.net/ChangeLog-8.php#8.4.5 |
| 2025/3/19 | Google Chrome | Google 社は、デスクトップ向け及びAndorid 向けのGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Wednesday, March 19, 2025)" https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_19.html "Chrome for Android Update (Wednesday, March 19, 2025)" https://chromereleases.googleblog.com/2025/03/chrome-for-android-update_19.html |
| 2025/3/21 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。Microsoft Edge 固有の脆弱性1件も修正されている。
"Release notes for Microsoft Edge Security Updates (March 21, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#march-21-2025 |
| 2025/3/26 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。Google Chrome から公開されたゼロデイ脆弱性「CVE-2025-2783」の修正が行われている。
"Release notes for Microsoft Edge Security Updates (March 26, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#march-26-2025 |
| 2025/3/27 | Mozilla Firefox /Firefox ESR | Mozilla 社はFirefox /Firefox ESR のセキュリティアップデートを公開。Google Chrome から公開されたゼロデイ脆弱性「CVE-2025-2783」に類似した脆弱性の修正が行われている。
"Mozilla Foundation Security Advisory 2025-19 Security Vulnerability fixed in Firefox 136.0.4, Firefox ESR 128.8.1, Firefox ESR 115.21.1" https://www.mozilla.org/en-US/security/advisories/mfsa2025-19/ |
注目したインシデント
2025年2月下旬のインシデント情報も含まれております。
| 公表日 | 発生組織/業種 | インシデント内容 | 情報/コメント |
| 2025/2/25 | 卸売業 | ECサイト不正アクセスによる情報漏えいの可能性 | 原因は「システムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざん」とコメントしている。 |
| 2025/2/26 | 大学 | サポート詐欺による個人情報漏えいの可能性 | 学生らの個人情報を記録したパソコンを自宅Wi-Fiでインターネットを利用してる時に警告音と警告画面が表示。指示に従い、遠隔操作可能状態にしてしまったとのこと。 |
| 2025/2/27 報道 | 通信事業者 | 不正アクセスによる回線不正契約 | 中高生がSNSや海外販売サイトから認証情報やクレジットカード情報を取得し、独自で作成した不正契約するプログラムを使い犯行を行っていた。なお、プログラム開発にはChatGPTも使用したとみられる。 |
| 2025/2/27 | 製造業 | ランサムウェア感染による情報漏えいの可能性 | 感染経路や原因等については調査中のため、未公開。詳しい状況が分かり次第、改めて報告するとしている。 |
| 2025/2/27 | 卸売業 | 子会社におけるランサムウェア感染及び個人情報漏えいの可能性 | 詳細については調査中とのことで、詳細は公開されていない。 |
| 2025/2/27 | 人材サービス業 | DBへの不正アクセスによる個人情報漏えいの可能性 | 作業用サーバのデータベースにてデータ移行時にデータ消失していることを確認。調査した結果、不正アクセスと思われる痕跡が見つかったとのこと。 |
| 2025/2/28 調査結果報告 | 地方自治体 | 学習系ネットワークへの不正アクセス | 不正アクセスはブルートフォース攻撃が原因で、外部への情報漏えいの痕跡は認められなかったとコメントしている。 |
| 2025/3/4 | 小売業 | 障害による個人情報漏えい | ECサイトリニューアル後、新規会員登録を申し込んだ場合、他人のメールアドレスで会員登録されてしまう障害が発生。 |
| 2025/3/5 | 通信業 | 社内システムへの不正アクセスによる法人顧客情報漏えいの可能性 | 不正アクセスは外部ネットワークから社内ネットワークに接続する際に使用している装置経由で行われ、法人顧客情報約18,000件が漏えいした可能性があると公表。 |
| 2025/3/7 | 印刷業 | 不正アクセスによる個人情報漏えいの可能性 | 原因は外部機器交換時に設定不備があり、それが悪用されたとコメントしている。 |
| 2025/3/10 報道 | SNS | 大規模DDoS攻撃によるサービス障害 | 大規模DDoS攻撃により、米国で39,000人余りのユーザーがアクセスできない状態になったとのこと。 |
| 2025/3/12 報道 | 旅客業 | 音声フィッシングによる不正送金被害 | 銀行を装った自動音声によるフィッシング(ボイスフィッシング)によりID/パスワードが詐取され、不正送金が発生。 |
| 2025/3/13 | 大学 | 不正アクセスによる個人情報漏えいの可能性 | Web アプリケーションの脆弱性を突いて侵入し,サイトを改ざん。サーバに格納されていた在学生や卒業生の個人情報を盗み取っていた可能性が判明。 |
| 2025/3/14 | 地方自治体 | USBメモリ紛失 | 紛失は監査によって発覚。なお、当該USBメモリの中身を見るにはパスワード解除が必要な状態であるとコメントしている。 |
| 2025/3/14 報道 | 高校 | 誤送信による個人情報漏えい | 女性教諭は自宅で成績処理作業を行い、私用のメールアドレスへの送信を試みたところ、メールアドレスの入力ミスにより、第三者のメールアドレスに誤送信していたとのこと。 |
| 2025/3/17 追加報 | 卸売業・小売業 | ランサムウェア攻撃による個人情報漏えい | 攻撃はVPN経由で行われ、同社が保有していた個人情報がリークサイトにアップロードされていることを確認したことを報告。個人情報の不正利用等の二次被害が発生した旨の報告は受けていないとのこと。 |
| 2025/3/18 | アパレル製造小売業 | 不正アクセスによる個人情報漏えいの可能性 | 原因は情報システムに係る委託先事業者によるネットワークの設定変更時に不備とコメントしている。 |
| 2025/3/19 | 飲食業 | 設定ミスによるメールアドレス漏えい | メール配信システムの設定ミスにより、「To」欄へ登録者以外のメールアドレスも記載し配信してしまったとコメントしている。 |
| 2025/3/19 | サービス業 | 不正アクセスによる個人情報漏えいの可能性 | 不正アクセスの原因については調査中の為、未公開。最大10.4万人分の個人情報が漏えいした可能性があるとのこと。 |
| 2025/3/20 報道 | ガス・エネルギー業 | 不正アクセスによる個人情報漏えいの可能性 | 顧客情報の管理を委託している子会社のサーバが外部からの不正アクセスを受けた。 |
