セキュリティセキュリティ
2025年9月 セキュリティ情報 Google Chrome の脆弱性 [CVE-2025-10585]など
目次
ご挨拶
インフラ業務と並行しつつ「セキュリティの町医者」を目指している三浦です。
2025年9月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性(Google Chrome の脆弱性 [CVE-2025-10585])
情報公開日:2025/9/17(現地時間)
| 一次情報元(引用元) |
"Google Chrome Releases"Stable Channel Update for Desktop (Wednesday, September 17, 2025) |
| その他、情報ソース |
"NVD" CVE-2025-10585 Detail "Cybersecurity Help s.r.o." Multiple vulnerabilities in Google Chrome |
| CVE番号及び深刻度 |
CVE 番号:CVE-2025-10585 深刻度:High (CVSSスコア 無し) |
| 脆弱性内容 |
Google 社は自社のブラウザ「Google Chrome」にて悪用が確認されているJavaScriptエンジン「V8」の脆弱性[CVE-2025-10585]を公開した。 当該脆弱性はリモートから悪用可能。攻撃手口は、ターゲットを騙し細工した悪意のあるサイトに当該ブラウザでアクセスさせる形が想定される。攻撃が成立すると、任意コードが実行される恐れがある。 |
| 想定される影響 | 悪意のあるコードが実行され、当該製品の乗っ取り、DoS、情報漏えいなど不特定多数の影響を受ける可能性がある。 |
| 影響を受ける製品 | Google Chrome 140.0.7339.185より前のバージョン |
| 解決策 | Google Chrome 140.0.7339.185以上にアップデートを行う。 |
| コメント |
日頃利用するブラウザであるため、優先度を上げUpdateを行うこと、もしくは自動Update設定を行うことを強くお勧めいたします。
|
その他、注目した脆弱性/ソフトウェアUpdate情報
| 日付 | ソフトウエア | 情報/コメント |
| 2025/9/2 | Android | Google 社は、Androidのセキュリティ更新プログラムを公開。悪用が確認されている脆弱性2件も修正されている。
"Android Security Bulletin--September 2025" https://source.android.com/docs/security/bulletin/2025-09-01 |
| 2025/9/2~2025/9/3 | Google Chrome | Google 社は、デスクトップ向け安定版、Android 版、iOS 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, September 2, 2025)" https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop.html "Chrome for Android Update (Tuesday, September 2, 2025)" https://chromereleases.googleblog.com/2025/09/chrome-for-android-update.html "Chrome Stable for iOS Update (Tuesday, September 2, 2025)" https://chromereleases.googleblog.com/2025/09/chrome-stable-for-ios-update.html "Chrome Stable for iOS Update (Wednesday, September 3, 2025)" https://chromereleases.googleblog.com/2025/09/chrome-stable-for-ios-update_3.html |
| 2025/9/5 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。
"Release notes for Microsoft Edge Security Updates (September 5, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#september-5-2025 |
| 2025/9/9 | Adobe 社複数製品 | Adobe 社の複数製品のアップデートを公開。各製品の脆弱性が修正されている。
"Latest Product Security Updates" https://helpx.adobe.com/security.html |
| 2025/9/9 | Microsoft 社複数製品 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。第三者から情報開示された脆弱性1件も修正されている。
"2025 年 9 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/releaseNote/2025-Sep "2025 年 9 月のセキュリティ更新プログラム (月例)" https://www.microsoft.com/en-us/msrc/blog/2025/09/202509-security-update/ 第三者から情報開示された脆弱性 "Windows SMB Elevation of Privilege Vulnerability - CVE-2025-55234" https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-55234 |
| 2025/9/9 | Zoomビデオコミュニケーションズ 複数製品 | Zoomビデオコミュニケーションズ社は、同社複数製品のセキュリティUpdateを公開。深刻度「High」の脆弱性も修正されている。
"Security Bulletins(公開日9/9 箇所を参照)" https://www.zoom.com/en/trust/security-bulletin/ |
| 2025/9/9 | Google Chrome | Google 社は、デスクトップ向け安定版、Android 版、iOS 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, September 9, 2025)" https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_9.html "Chrome for Android Update (Tuesday, September 9, 2025)" https://chromereleases.googleblog.com/2025/09/chrome-for-android-update_9.html "Chrome Stable for iOS Update (Tuesday, September 9, 2025)" https://chromereleases.googleblog.com/2025/09/chrome-stable-for-ios-update_9.html |
| 2025/9/10 | Ivanti 社複数製品 | Ivanti 社は同社複数製品のセキュリティアドバイザリを公開。
"September Security Advisory Ivanti Connect Secure, Policy Secure, ZTA Gateways and Neurons for Secure Access (Multiple CVEs)" https://forums.ivanti.com/s/article/September-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-and-Neurons-for-Secure-Access-Multiple-CVEs?language=en_US |
| 2025/9/11 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。
"Release notes for Microsoft Edge Security Updates (September 11, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#september-11-2025 |
| 2025/9/15 | Apple 社複数製品 | Apple 社は、複数製品のセキュリティUpdate を公開。悪用された可能性が高い脆弱性「CVE-2025-43300」の修正も一部製品で行われている。
"Apple security releases (Release date「15 Sep 2025」箇所を参照)" https://support.apple.com/en-il/100100 |
| 2025/9/16 | Mozilla 社 複数製品 | Mozilla 社はThunderbird /Focus for iOS /Firefox /Firefox ESR のセキュリティアップデートを公開。また、悪用が行えた可能性がある脆弱性についても今回のアップデートで修正されている。
"Mozilla Foundation Security Advisory 2025-78 Security Vulnerabilities fixed in Thunderbird 140.3" https://www.mozilla.org/en-US/security/advisories/mfsa2025-78/ "Mozilla Foundation Security Advisory 2025-77 Security Vulnerabilities fixed in Thunderbird 143" https://www.mozilla.org/en-US/security/advisories/mfsa2025-77/ "Mozilla Foundation Security Advisory 2025-76 Security Vulnerabilities fixed in Focus for iOS 143.0" https://www.mozilla.org/en-US/security/advisories/mfsa2025-76/ "Mozilla Foundation Security Advisory 2025-73 Security Vulnerabilities fixed in Firefox 143" https://www.mozilla.org/en-US/security/advisories/mfsa2025-73/ "Mozilla Foundation Security Advisory 2025-74 Security Vulnerabilities fixed in Firefox ESR 115.28" https://www.mozilla.org/en-US/security/advisories/mfsa2025-74/ "Mozilla Foundation Security Advisory 2025-75 Security Vulnerabilities fixed in Firefox ESR 140.3" https://www.mozilla.org/en-US/security/advisories/mfsa2025-75/ |
| 2025/9/16 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。
"Release notes for Microsoft Edge Security Updates (September 16, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#september-16-2025 |
| 2025/9/22~2025/9/24 | Cisco IOS 及び IOS XE | シスコシステムズ合同会社は同社製品のIOS 及びIOS XE のセキュリティUpdate を公開。悪用が確認されたもの、PoC(実証コード)が公開されている脆弱性も修正されている。
"Cisco IOS and IOS XE Software SNMP Denial of Service and Remote Code Execution Vulnerability" https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snmp-x4LPhte "Cisco IOS XE SD-WAN Software Packet Filtering Bypass Vulnerability" https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snmp-bypass-HHUVujdn "Cisco IOS and IOS XE Software CLI Denial of Service Vulnerability" https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-cli-EB7cZ6yO "Cisco IOS XE Software Web Authentication Reflected Cross-Site Scripting Vulnerability" https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webui-xss-VWyDgjOU |
| 2025/9/23~2025/9/24 | Google Chrome | Google 社は、デスクトップ向け安定版、Android 版、iOS 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, September 23, 2025)" https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_23.html "Chrome for Android Update (Tuesday, September 23, 2025)" https://chromereleases.googleblog.com/2025/09/chrome-for-android-update_23.html "Chrome Stable for iOS Update (Wednesday, September 24, 2025)" https://chromereleases.googleblog.com/2025/09/chrome-stable-for-ios-update_24.html |
| 2025/9/25 | シスコシステムズ合同会社 複数製品 | シスコシステムズ合同会社は同社製品の「Cisco IOS」「Cisco IOS XE」「Cisco Secure Firewall Adaptive Security Appliance」「Cisco Secure Firewall Threat Defense」のセキュリティUpdate を公開。攻撃試行が行われている脆弱性も修正されている。
"Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Remote Code Execution Vulnerability" https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB "Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Unauthorized Access Vulnerability" https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW "Cisco Secure Firewall Adaptive Security Appliance Software, Secure Firewall Threat Defense Software, IOS Software, IOS XE Software, and IOS XR Software Web Services Remote Code Execution Vulnerability" https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-http-code-exec-WmfP3h3O |
| 2025/9/25 | PHPの複数バージョン | PHPの複数バージョン「8.3.26」「8.4.13」をリリース。
"ChangeLog - Version 8.3.26" https://www.php.net/ChangeLog-8.php#8.3.26 "ChangeLog - Version 8.4.13" https://www.php.net/ChangeLog-8.php#8.4.13 |
| 2025/9/29 | sudo | アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(以降、CISAと略称を使用)は、2025年6月30日[現地時間]に公開されたsudo 脆弱性「CVE-2025-32463」が悪用されていることを公表。
"CISA Adds Five Known Exploited Vulnerabilities to Catalog (Release Date : September 29, 2025)" https://www.cisa.gov/news-events/alerts/2025/09/29/cisa-adds-five-known-exploited-vulnerabilities-catalog |
注目したインシデント
2025年8月下旬のインシデント情報も含まれております。
| 公表日 | 発生組織/業種 | インシデント内容 | 情報/コメント |
| 2024/8/29 | 大学 | ノートパソコン紛失 | 紛失したノートパソコンはハードディスクの暗号化やパスワード設定など、セキュリティ上の措置が講じられていたとのこと。 |
| 2024/8/29 | 一般廃棄物処理業 | メールアカウント不正利用による送信制限被害 | メールアカウントが第三者によって不正利用。その影響により迷惑メール対策サイトのブラックリストに登録され、送信制限がかかる状況となった。 |
| 2024/9/1 | 化学/日用品・生活関連機器 | オンラインショップ内での個人情報漏えい(他者の個人情報閲覧) | プログラム不具合によるもので、外部からの攻撃や不正アクセスによるものではないと説明。 |
| 2024/9/1 | 酒造 | 旧通販サイトドメインのドロップキャッチ | 商品ラベルのQR コードに記載していた旧通販サイトのドメインが第三者に取得されており、アクセスすると不審サイトに誘導されたとのこと。 |
| 2024/9/3 | 自治体 | 誤送信による個人情報漏えい | メールアドレスをBCCではなく、宛先に入力し送付してしまったとコメント。 |
| 2024/9/3 | エネルギー事業 | ガス料金端末紛失による個人情報漏えいの可能性 | ただし、端末の使用にはパスワード入力が必要であり、漏えいの可能性は低いとのこと。 |
| 2024/9/5 | 公益社団法人 | 設定ミスによる個人情報漏えいの可能性 | e-ラーニングシステムの設定ミスにより、インターネット上で個人情報が閲覧可能状態であった。 |
| 2024/9/5 | 保険業 | 不正アクセスによる顧客DB消去 | 不正アクセスの原因は社内サーバー設定に起因するセキュリティの脆弱性を突かれたとコメント。不正アクセスの時間が極めて短時間だったことから、消去されたデータが外部に流出した可能性は低いとのこと。 |
| 2024/9/8 | 印刷業 | VPN経由の不正アクセスによるランサムウェア感染 | 不正アクセスは、パスワード漏洩または機器の脆弱性悪用により侵入。その後、認証サーバ経由で内部サーバにアクセスされた可能性があるとコメント。 |
| 2024/9/8 | 自治体 | メール誤送信による個人情報漏えい | 原因はダブルチェックを行っていなかったためと結論づけている。 |
| 2024/9/8 | 公益財団法人 | 内部犯行による個人情報漏えい | 委託先職員が会員等の個人情報を含むデータを窃取し、個人情報の一部を外部に流出させたとのこと。 |
| 2024/9/9 | 保険業 | 不正アクセスによる顧客DB消去 | 攻撃はサーバの設定不備を突いたものとなっていた。データの外部流出や二次被害などは確認されていない。 |
| 2024/9/10 | 繊維業など | 不正アクセスによる個人情報漏えい | 調査した結果、個人情報を含むデータがダークウェブに公開されていることを確認。 |
| 2024/9/10 | サービス業(チケット販売) | 不正アクセスによる個人情報漏えいの可能性 | どの様な経路で不正アクセスが行われたかは不明(未公開)。20万件以上のメールアドレスが漏えいした可能性があるとのこと。 |
| 2024/9/11 報道 | 新聞社 | 業務用パソコン紛失 | 紛失したパソコンは後日発見され、情報技術部門で確認したところパソコン内部のデータにアクセスがあった痕跡はなかったとコメント。 |
| 2024/9/11 | 大学 | 設計不備による個人情報漏えいの可能性 | 漏えいしうる状態は2011年のシステム導入時から続いていたとみられる。 |
| 2024/9/11 | 建設業 | メールアカウント不正利用による送信制限被害 | 同社のドメイン名が複数の迷惑メール対策サイトのブラックリストに登録されている状況になったとのこと。 |
| 2024/9/11 | 宿泊業 | 予約システムへの不正アクセスによる個人情報漏えいの可能性 | 不正アクセスの原因は未公開。二次被害としてフィッシングサイトに誘導するメッセージが配信されていたとのこと。 |
| 2024/9/19 | 飲食業 | システム提供元への不正アクセスによる個人情報漏えい | 業務用システム提供元が不正アクセスに遭い、退職者も含む一部従業員の個人情報が漏えいした。 |
| 2024/9/19 | 大学 | メールアカウント不正利用による個人情報漏えいの可能性 | 教員2名のメールアカウントが不正利用され、該当教員にメール送信した人間のメールアドレスや氏名が第三者に不正に取得された可能性があるとのこと。 |
| 2024/9/19 | 自治体 | サポート詐欺による個人情報漏えいの可能性 | 委託先職員が業務目的外でパソコンを使用していた時にサポート詐欺に遭ったとのこと。 |
| 2024/9/19 | 通販 | 通販サイトへの不正ログイン及び会員情報改ざん | 不正に入手したログイン情報を用いてアクセスしたと思われる事象を確認。一部の会員アカウントでは会員情報変更が行われていることも確認されている。 |
