セキュリティセキュリティ
2025年6月 セキュリティ情報 Apple 社複数製品の脆弱性 [CVE-2025-43200]など
目次
ご挨拶
インフラ業務と並行しつつ「セキュリティの町医者」を目指している三浦です。
2025年6月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性(Apple 社複数製品の脆弱性 [CVE-2025-43200])
情報公開日:2025/6/16(現地時間)
| 一次情報元(引用元) |
"アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(以降、CISAと略称を使用)"CISA Adds Two Known Exploited Vulnerabilities to Catalog (Release: DateJune 16, 2025) |
| その他、情報ソース |
"The Hacker News" Apple Zero-Click Flaw in Messages Exploited to Spy on Journalists Using Paragon Spyware "tenable" CVE-2025-43200 "National Vulnerability Database" CVE-2025-43200 Detail "Security NEXT" Apple製品の脆弱性に攻撃 - 2〜3月に修正済みも情報公開は6月 |
| CVE番号及び深刻度 |
CVE番号:CVE-2025-43200 深刻度:MEDIUM (スコア:4.3) CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N [本情報はCISA-ADPのものとなります] |
| 脆弱性内容 |
CISA は現地時間 2025年6月16日、同年2月~3月に修正されたApple 社複数製品の脆弱性「CVE-2025-43200」の悪用が確認されたことを公表。 当該脆弱性はApple 製品に搭載されている「メッセージ」機能において「iCloudリンク」経由で共有された細工された画像や動画を処理させることで攻撃が成立するもので、イスラエルのスパイウェアにて悪用されていたと報道されている。 |
| 想定される影響 | データ改ざんや情報漏えい、機器の乗っ取りなど様々な影響を与える可能性があります。 |
| 影響を受ける製品 |
macOS Sonoma 14.7.4 より前のバージョン macOS Sequoia 15.3.1 より前のバージョン iOS 16.7.11 and iPadOS 16.7.11 より前のバージョン iOS 15.8.4 and iPadOS 15.8.4 より前のバージョン iPadOS 17.7.5 より前のバージョン visionOS 2.3.1 より前のバージョン watchOS 11.3.1 より前のバージョン macOS Ventura 13.7.4 より前のバージョン |
| 解決策 | 当該脆弱性を修正した「影響を受ける製品」のバージョンよりも上位バージョンにアップデートする。 ⇒最新状態にすることを強く推奨いたします。 |
| コメント | 当該脆弱性は細工したiMessage を受信するだけで攻撃が成立するもの(ゼロクリック)となっているため、脆弱性対象バージョンの製品を利用しているのであれば早急にアップデートすることを強くお勧めいたします。 |
その他、注目した脆弱性/ソフトウェアUpdate情報
| 日付 | ソフトウエア | 情報/コメント |
| 2025/6/2 | Google Chrome | Google 社は、デスクトップ向けのGoogle Chrome のアップデートを公開。なお、今回修正されたスクリプトエンジン「V8」の脆弱性「CVE-2025-5419」は悪用が確認されている。
"Stable Channel Update for Desktop (Monday, June 2, 2025)" https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop.html |
| 2025/6/2~3 | Google Chrome | Google 社は、デスクトップ向け拡張安定版、Android 版、iOS 版のGoogle Chrome のアップデートを公開。
"Extended Stable Updates for Desktop (Tuesday, June 3, 2025)" https://chromereleases.googleblog.com/2025/06/extended-stable-updates-for-desktop.html "Chrome for Android Update (Monday, June 2, 2025)" https://chromereleases.googleblog.com/2025/06/chrome-for-android-update.html "Chrome Stable for iOS Update (Tuesday, June 3, 2025)" https://chromereleases.googleblog.com/2025/06/chrome-stable-for-ios-update.html |
| 2025/6/3 | CPython | CPython に関する複数の脆弱性が公開。
"Multiple CVEs (1 CRITICAL, 3 HIGH, 1 MODERATE) affecting the tarfile module" https://mail.python.org/archives/list/security-announce@python.org/thread/MAXIJJCUUMCL7ATZNDVEGGHUMQMUUKLG/ |
| 2025/6/3 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。なお、今回修正されたスクリプトエンジン「V8」の脆弱性「CVE-2025-5419」は悪用が確認されている。
"Release notes for Microsoft Edge Security Updates (June 3, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#june-3-2025 |
| 2025/6/4 | シスコシステムズ合同会社 複数製品 | シスコシステムズ合同会社は同社複数製品のセキュリティUpdate を公開。PoC(脆弱性が実際に悪用できるかどうかを実証するためのプログラムやドキュメント)が公開されている脆弱性3件も修正されている。
"Cisco Security Advisories" https://sec.cloudapps.cisco.com/security/center/publicationListing.x PoC公開済みの脆弱性 "Cisco Identity Services Engine on Cloud Platforms Static Credential Vulnerability" https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-aws-static-cred-FPMjUcm7 "Cisco Identity Services Engine Arbitrary File Upload Vulnerability" https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-file-upload-P4M8vwXY "Cisco Customer Collaboration Platform Information Disclosure Vulnerability" https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ccp-info-disc-ZyGerQpd |
| 2025/6/5 | PHPの複数バージョン | PHPの複数バージョン「8.3.22」「8.4.8」をリリース。
"ChangeLog - Version 8.3.22" https://www.php.net/ChangeLog-8.php#8.3.22 "ChangeLog - Version 8.4.8" https://www.php.net/ChangeLog-8.php#8.4.8 |
| 2025/6/9 | Node.js | 「Node.js」開発チームはバージョン24.2.0を公開。CVE番号が付与された脆弱性の修正は無かった。
"Node v24.2.0 (Current)" https://nodejs.org/en/blog/release/v24.2.0 |
| 2025/6/10 | Adobe 社複数製品 | Adobe 社の複数製品のアップデートを公開。各製品の脆弱性が修正されている。
"Latest Product Security Updates" https://helpx.adobe.com/security.html |
| 2025/6/10 | Microsoft 社複数製品 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。悪用確認済み1件、第三者から情報開示された脆弱性1件も修正されている。
"2025 年 6 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/releaseNote/2025-Jun "2025 年 6 月のセキュリティ更新プログラム (月例)" https://msrc.microsoft.com/blog/2025/06/202506-security-update/ 悪用確認済みの脆弱性 "Internet Shortcut Files Remote Code Execution Vulnerability - CVE-2025-33053" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33053 第三者から情報開示された脆弱性 "Windows SMB クライアントの特権の昇格の脆弱性 - CVE-2025-33073" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33073 |
| 2025/6/10 | Mozilla Thunderbird /Firefox | Mozilla 社はThunderbird /Firefox のセキュリティアップデートを公開。
"Mozilla Foundation Security Advisory 2025-50 Security Vulnerabilities fixed in Thunderbird 139.0.2" https://www.mozilla.org/en-US/security/advisories/mfsa2025-50/ "Mozilla Foundation Security Advisory 2025-49 Security Vulnerabilities fixed in Thunderbird 128.11.1" https://www.mozilla.org/en-US/security/advisories/mfsa2025-49/ "Mozilla Foundation Security Advisory 2025-47 Security Vulnerabilities fixed in Firefox 139.0.4" https://www.mozilla.org/en-US/security/advisories/mfsa2025-47/ |
| 2025/6/10 | Google Chrome | Google 社は、デスクトップ向け安定版(拡張安定化版含む)、Android 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, June 10, 2025)" https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop_10.html "Extended Stable Updates for Desktop (Tuesday, June 10, 2025)" https://chromereleases.googleblog.com/2025/06/extended-stable-updates-for-desktop_10.html "Chrome for Android Update (Tuesday, June 10, 2025)" https://chromereleases.googleblog.com/2025/06/chrome-for-android-update_0960553905.html |
| 2025/6/16 情報公開 | Apache Tomcat | The Apache Software Foundation は現地時間6/9~6/10にリリースしたバージョンで修正した脆弱性を公表。
"Fixed in Apache Tomcat 11.0.8" https://tomcat.apache.org/security-11.html "Fixed in Apache Tomcat 10.1.42" https://tomcat.apache.org/security-10.html "Fixed in Apache Tomcat 9.0.106" https://tomcat.apache.org/security-9.html |
| 2025/6/17 | Google Chrome | Google 社は、デスクトップ向け安定版(拡張安定化版含む)、Android 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, June 17, 2025)" https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop_17.html "Extended Stable Updates for Desktop (Tuesday, June 17, 2025)" https://chromereleases.googleblog.com/2025/06/extended-stable-updates-for-desktop_17.html "Chrome for Android Update (Tuesday, June 17, 2025)" https://chromereleases.googleblog.com/2025/06/chrome-for-android-update_17.html |
| 2025/6/20 | WordPress | WordPress セキュリティチームは、WordPress バージョン 4.1〜4.6 に対するセキュリティアップデート提供を2025年7月に終了する旨をアナウンス。
"WordPress バージョン 4.1〜4.6のセキュリティアップデート提供終了について (2025年7月より)" https://ja.wordpress.org/2025/06/20/dropping-security-updates-for-wordpress-versions-4-1-through-4-6/ |
| 2025/6/24 | Google Chrome | Google 社は、デスクトップ向け安定版、Android 版、iOS 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, June 24, 2025)" https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop_24.html "Chrome for Android Update (Tuesday, June 24, 2025)" https://chromereleases.googleblog.com/2025/06/chrome-for-android-update_24.html "Chrome for Android Update (Tuesday, June 24, 2025) - [2回目のアップデート情報]" https://chromereleases.googleblog.com/2025/06/chrome-for-android-update_27.html "Chrome Stable for iOS Update (Tuesday, June 24, 2025)" https://chromereleases.googleblog.com/2025/06/chrome-stable-for-ios-update_24.html |
| 2025/6/24 | Mozilla Firefox /Firefox ESR | Mozilla 社はThunderbird /Firefox のセキュリティアップデートを公開。Firefox に存在した悪用が行えた可能性がある脆弱性についても今回のアップデートで修正されている。
"Mozilla Foundation Security Advisory 2025-51 Security Vulnerabilities fixed in Firefox 140" https://www.mozilla.org/en-US/security/advisories/mfsa2025-51/ "Mozilla Foundation Security Advisory 2025-52 Security Vulnerabilities fixed in Firefox ESR 115.25" https://www.mozilla.org/en-US/security/advisories/mfsa2025-52/ "Mozilla Foundation Security Advisory 2025-53 Security Vulnerabilities fixed in Firefox ESR 128.12" https://www.mozilla.org/en-US/security/advisories/mfsa2025-53/ |
| 2025/6/20 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。
"Release notes for Microsoft Edge Security Updates (June 20, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#june-20-2025 |
| 2025/6/26 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。Microsoft Edge 固有の脆弱性3件も修正されている。
"Release notes for Microsoft Edge Security Updates (June 26, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#june-26-2025 |
注目したインシデント
2025年5月下旬のインシデント情報も含まれております。
| 公表日 | 発生組織/業種 | インシデント内容 | 情報/コメント |
| 2025/5/29 | 病院 | 個人情報が入ったSDカード紛失 | 当該SDカードは適切な管理がされておらず、また、紛失した医師及び診療科長は患者情報保護の重要性を認識/理解出来ていなかったと同院はコメントしている。 |
| 2025/5/29 | 地方自治体 | グループウェア操作ミスによる情報漏えい | 原因は「グループウェアに関する知識や理解が不十分であり、アンケート結果一覧表の閲覧権限を正しく設定できなかったため。」とコメントしている。 |
| 2025/5/30 | 情報・通信業 | DDoS攻撃によるレンタルサーバサービスへの接続障害 | DDoS攻撃による障害を約1時間後に復旧させたとのこと。この復旧スピードは高く評価する。 |
| 2025/5/30 | 研究機関 | e-ラーニングシステム不具合による個人情報漏えいの可能性 | 同機関が提供していたe-ラーニングシステム不具合により、受講者から参加者一覧が閲覧可能となっていた。 |
| 2025/5/30 | 高校 | 誤アップロードによる個人情報 | 誤って個人情報が含まれるファイルを特定の生徒が閲覧できる「Microsoft Teams」上にアップロード。原因は「当該ファイル内に個人情報が入ったシートが存在していないものと誤認した」とコメント。 |
| 2025/6/1 追加報 | 自動車販売 | 認識不足による個人情報漏えい | 保険契約に関する情報の一部が、誤ってご契約保険会社とは異なる保険会社に、提供されていたことが判明。 |
| 2025/6/2 | 広告、人材派遣・人材紹介 | 誤送信によるメールアドレス情報漏えい | 誤送信の原因は「BCC」で送信すべきところを、アドレスを表示する「To」で送信する人為的ミスとコメントしている。 |
| 2025/6/2 | 地方自治体 | フォーム誤設定による個人情報漏えい | 指定管理者が行ったオンライン入力フォームの誤設定により、申込者間で個人情報が閲覧可能の状態であったことが判明。同自治体は指定管理者に対し、適切な施設運営を行うよう指導した。 |
| 2025/6/2 | 情報システム開発・販売・運用 | システム改修時の不具合による顧客情報誤表示 | 外部からの攻撃などに起因するものではないと説明。なお、インシデント報告内容は詳細が記載されており、その姿勢は評価出来る。 |
| 2025/6/2 | 人材・求人広告業 | 誤送信による顧客メールアドレス流出 | 「BCC」で送信すべきところ「TO」で送ってしまったとのこと。 |
| 2025/6/3 | 情報・通信業 | 大規模な不正アクセスによるシステム障害 | 同社が管理/運営する飲食店予約システムに対し大規模な不正アクセスが続き、動作遅延や顧客へのメール送信の不具合、来店直前のキャンセルなど、複数の問題が継続的に発生。なお、不正アクセスによる同社顧客情報の漏えい等は確認していない。不正アクセスによる同社顧客情報の漏えい等は公表時点において確認していないとのこと。 |
| 2025/6/3 | 中学校 | サポート詐欺による情報漏えいの可能性 | 本インシデントにより、学内の職員室ネットワークに繋がっている全データが情報漏えい対象となった。 |
| 2025/6/3 | 財団法人 | サポート詐欺による情報漏えいの可能性 | フォレンジック調査の結果、審査業務に関連するデータへの外部からのアクセスの形跡はなく、情報が漏洩した可能性は極めて低いことが確認されたとコメントしている。 |
| 2025/6/6 | 大学 | データ削除漏れによる個人情報漏えい | 個人情報を含むシートを削除しない状態で複数の学生に展開。再発防止策は「確認徹底とチェック体制の改善を図る」としている。 |
| 2025/6/11 報道 | ITコンサルティング | 不適切な個人情報取り扱いによる個人情報漏えいの可能性 | 同社の協力会社元社員が情報を持ち出したり、監査に対し虚偽の報告をしたりしていた可能性があるとのことで、業務委託元の大手は契約解除を行った。 |
| 2025/6/12 | サービス業 | 不正アクセスによる個人/法人情報漏えいの可能性 | サーバーに高負荷が発生していることを検知、その調査により不正アクセスが判明。なお、パスワード情報は暗号化された状態で保存されていたとのこと。 |
| 2025/6/18 | 小売業 | 権限不備による個人情報漏えいの可能性 | 本来登録メンバー内のみで利用すべき閲覧制限がされておらず、公開設定のままだったことが判明。 |
| 2025/6/18 | 大学 | サポート詐欺による情報漏えいの可能性 | 当該教員が画面に表示された指示に従い操作したところ、第三者による遠隔操作を受け、当該パソコンが不正にアクセスされる事態となったと説明。 |
| 2025/6/20 | 地方自治体 | 不開示処理(黒塗り)実施不備による個人情報漏えいの可能性 | 原因は「個人情報の不正開示(黒塗り)処理を誤った方法で行った」「印刷した紙媒体のみを確認し、データを確認していなかった」等、複数挙げている。 |
