セキュリティセキュリティ
2025年10月 セキュリティ情報 Windows Server Update Service の脆弱性 [CVE-2025-59287]など
目次
ご挨拶
インフラ業務と並行しつつ「セキュリティの町医者」を目指している三浦です。
2025年10月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性(Windows Server Update Service の脆弱性 [CVE-2025-59287])
情報公開日:2025/10/24(現地時間)
| 一次情報元(引用元) |
"アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(以降、CISAと略称を使用)"CISA Adds Two Known Exploited Vulnerabilities to Catalog (Release DateOctober 24, 2025) |
| その他、情報ソース |
"Microsoft" Windows Server Update Service (WSUS) Remote Code Execution Vulnerability "Security NEXT" MS、「Windows Server」向けに定例外パッチ - 米当局が悪用確認 |
| CVE番号及び深刻度 |
CVE 番号:CVE-2025-59287 深刻度:Critical (CVSS スコア:9.8) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C |
| 脆弱性内容 |
CISAは現地時間2025年10月24日、Microsoft 社のWindows Server Update Service (以降、WSUS と略称を使用)リモートコード実行脆弱性の悪用が確認されたことを公表。 当該脆弱性はリモートから悪用可能。[攻撃者は認証不要(未認証でも攻撃可能)]攻撃は細工したイベントを対象サーバに送信することで成立する。攻撃が成立すると、任意コードが実行される恐れがある。 |
| 想定される影響 | 悪意のあるコードが実行され、当該製品の乗っ取り、DoS、情報漏えいなど不特定多数の影響を受ける可能性がある。 |
| 影響を受ける製品 |
Windows Server 2012 R2 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 (Server Core installation) Windows Server 2012 Windows Server 2016 (Server Core installation) Windows Server 2016 Windows Server 2025 Windows Server 2022, 23H2 Edition (Server Core installation) Windows Server 2025 (Server Core installation) Windows Server 2022 (Server Core installation) Windows Server 2022 Windows Server 2019 (Server Core installation) Windows Server 2019 |
| 解決策 |
現地時間2025年10月23日以降にリリースされたWSUS のセキュリティ更新プログラムを適用する。 回避策については以下のいずれとなっている。 「WSUSサーバーロールを無効化する」 「ファイアウォールでポート8530及び8531への受信トラフィックをブロックする」 |
| コメント |
企業規模が大きい場合、WSUS にて各社員のPC 端末のWindows Update を管理している場合が多い為、貴社情報システム部担当者様に当該製品利用有無確認と利用していた場合の対応計画検討を早急に行うことをお勧めいたします。
|
その他、注目した脆弱性/ソフトウェアUpdate情報
2025年8月下旬のインシデント情報も含まれております。
| 日付 | ソフトウエア | 情報/コメント |
| 2025/9/30 | MOpenSSL | OpenSSL開発チームは、セキュリティアドバイザリを公開。深刻度「中」~「低」の脆弱性3件を修正。
"OpenSSL Security Advisory [30th September 2025]" https://openssl-library.org/news/secadv/20250930.txt |
| 2025/9/30 | Mozilla Firefox | Mozilla 社はFirefox のセキュリティアップデートを公開。
"Mozilla Foundation Security Advisory 2025-80 Security Vulnerabilities fixed in Firefox 143.0.3" https://www.mozilla.org/en-US/security/advisories/mfsa2025-80/ |
| 2025/9/30 | Google Chrome | Google 社は、デスクトップ向け安定版[拡張安定化版含む]、Android 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, September 30, 2025)" https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_30.html "Extended Stable Updates for Desktop (Tuesday, September 30, 2025)" https://chromereleases.googleblog.com/2025/09/extended-stable-updates-for-desktop.html "Chrome for Android Update (Tuesday, September 30, 2025)" https://chromereleases.googleblog.com/2025/09/chrome-for-android-update_0754897447.html |
| 2025/10/2 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。脆弱性12件を修正している。
"Release notes for Microsoft Edge Security Updates (October 2, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#october-2-2025 |
| 2025/10/07 | Google Chrome | Google 社は、デスクトップ向け安定版[拡張安定化版含む]、Android 版、iOS 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, October 7, 2025)" https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop.html "Extended Stable Updates for Desktop (Tuesday, October 7, 2025)" https://chromereleases.googleblog.com/2025/10/extended-stable-updates-for-desktop.html "Chrome for Android Update (Tuesday, October 7, 2025)" https://chromereleases.googleblog.com/2025/10/chrome-for-android-update.html "Chrome Stable for iOS Update (Tuesday, October 7, 2025)" https://chromereleases.googleblog.com/2025/10/chrome-stable-for-ios-update.html |
| 2025/10/7 | 7-Zip | ZERO DAY INITIATIVE は、7-Zip の複数脆弱性を公表。
"7-Zip ZIP File Parsing Directory Traversal Remote Code Execution Vulnerability ZDI-25-949 ZDI-CAN-26753" https://www.zerodayinitiative.com/advisories/ZDI-25-949/ "7-Zip ZIP File Parsing Directory Traversal Remote Code Execution Vulnerability ZDI-25-950 ZDI-CAN-26743" https://www.zerodayinitiative.com/advisories/ZDI-25-950/ |
| 2025/10/14 | Microsoft 社複数製品 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。悪用が確認された脆弱性3件、第三者から情報開示された脆弱性3件も修正されている。
"2025 年 10 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/releaseNote/2025-Oct "2025 年 10 月のセキュリティ更新プログラム (月例)" https://www.microsoft.com/en-us/msrc/blog/2025/10/202510-security-update/ 悪用が確認されている脆弱性 "MITRE CVE-2025-47827: Secure Boot bypass in IGEL OS before 11 - CVE-2025-47827" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47827 "Windows Agere Modem Driver Elevation of Privilege Vulnerability - CVE-2025-24990" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24990 "Windows Remote Access Connection Manager Elevation of Privilege Vulnerability - CVE-2025-59230" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59230 第三者から情報開示された脆弱性 "AMD CVE-2025-0033: RMP Corruption During SNP Initialization - CVE-2025-0033" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-0033 "Cert CC: CVE-2025-2884 Out-of-Bounds read vulnerability in TCG TPM2.0 reference implementation - CVE-2025-2884" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-2884 "Windows Agere Modem Driver Elevation of Privilege Vulnerability - CVE-2025-24052" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24052 |
| 2025/10/14 | Adobe 社複数製品 | Adobe 社の複数製品のアップデートを公開。各製品の脆弱性が修正されている。
"Latest Product Security Updates" https://helpx.adobe.com/security.html |
| 2025/10/14 | Google Chrome | Google 社は、デスクトップ向け安定版[拡張安定化版含む]、Android 版、iOS 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, October 14, 2025)" https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_14.html "Extended Stable Updates for Desktop (Tuesday, October 14, 2025)" https://chromereleases.googleblog.com/2025/10/extended-stable-updates-for-desktop_14.html "Chrome for Android Update (Tuesday, October 14, 2025)" https://chromereleases.googleblog.com/2025/10/chrome-for-android-update_01943141190.html "Chrome Stable for iOS Update (Tuesday, October 14, 2025)" https://chromereleases.googleblog.com/2025/10/chrome-stable-for-ios-update_14.html |
| 2025/10/15 | Samba | The Samba Teamは深刻度「10.0」Critical 相当のリモートコード実行脆弱性「CVE-2025-10230」を修正したことを公表。
"CVE-2025-10230.html:" https://www.samba.org/samba/security/CVE-2025-10230.html |
| 2025/10/17 | Squid | squid-cache.org は深刻度「10.0」Critical 相当の情報漏えいが発生する可能性がある脆弱性「CVE-2025-62168」を修正。
"SQUID-2025:2 Information Disclosure in Error handling" https://github.com/squid-cache/squid/security/advisories/GHSA-c8cc-phh7-xmxr |
| 2025/10/17 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。
"Release notes for Microsoft Edge Security Updates (October 17, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#october-17-2025 |
| 2025/10/21 | Oracle 社複数製品 | Oracle 社は同社複数製品(MySQL /Java /Oracle WebLogic Server、その他製品など)のOracle Critical Patch Update Advisory を公開。各製品の複数脆弱性が修正されている。
"Oracle Critical Patch Update Advisory - October 2025" https://www.oracle.com/security-alerts/cpuoct2025.html |
| 2025/10/21 | Google Chrome | Google 社は、デスクトップ向け安定版、Android 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, October 21, 2025)" https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_21.html "Chrome for Android Update (Tuesday, October 21, 2025)" https://chromereleases.googleblog.com/2025/10/chrome-for-android-update_0101005581.html |
| 2025/10/23 | PHPの複数バージョン | PHPの複数バージョン「8.3.27」「8.4.14」をリリース。
"ChangeLog - Version 8.3.27" https://www.php.net/ChangeLog-8.php#8.3.27 "ChangeLog - Version 8.4.14" https://www.php.net/ChangeLog-8.php#8.4.14 |
| 2025/10/23 | Apache Tomcat | The Apache Software Foundation は10月のUpdate にて複数脆弱性を修正したことを公表。
"CVE-2025-55752 Apache Tomcat - Directory traversal via rewrite with possible RCE if PUT is enabled" https://lists.apache.org/thread/n05kjcwyj1s45ovs8ll1qrrojhfb1tog "CVE-2025-61795 Apache Tomcat - Delayed cleaning of multipart upload temporary files may lead to DoS" https://lists.apache.org/thread/wm9mx8brmx9g4zpywm06ryrtvd3160pp "CVE-2025-55754 Apache Tomcat - Console manipulation via escape sequences in log messages" https://lists.apache.org/thread/j7w54hqbkfcn0xb9xy0wnx8w5nymcbqd |
| 2025/10/28 | Mozilla Firefox | Mozilla 社はFirefox のセキュリティアップデートを公開。
"Mozilla Foundation Security Advisory 2025-86 Security Vulnerabilities fixed in Firefox 144.0.2" https://www.mozilla.org/en-US/security/advisories/mfsa2025-86/ |
| 2025/10/28 | Google Chrome | Google 社は、デスクトップ向け安定版、iOS 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, October 28, 2025)" https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_28.html "Chrome Stable for iOS Update (Tuesday, October 28, 2025)" https://chromereleases.googleblog.com/2025/10/chrome-stable-for-ios-update_01824902935.html |
注目したインシデント
2025年9月下旬のインシデント情報も含まれております。
| 公表日 | 発生組織/業種 | インシデント内容 | 情報/コメント |
| 2025/09/30 最終報 | 電気機器 | 不正アクセスによる情報漏えい | 調査した結果、同社のITシステム向けにカスタマイズされたマルウェアが秘匿性の高い方法で仕掛けられていたことが判明。高度な手法を用いてのサイバー攻撃を受けたと判断したとコメント。 |
| 2025/10/01 | 機械 | ランサムウェア被害 | 同社の米国連結子会社がランサムウェア被害が発生。攻撃者に情報が漏えいしていることが発覚している。 |
| 2025/10/01 | 社会福祉法人 | USB メモリ紛失による個人情報漏えいの可能性 | 生活困窮者自立支援相談事業の相談者800名以上の個人情報を保存していたUSB メモリを紛失したことを公表。 |
| 2025/10/02 | 暗号資産 マイニング事業 | 暗号資産の不正流出 | 流出したのは同社保有のもので、マイニングサービス利用者への影響はないとコメントしている。 |
| 2025/10/03 続報 | 飲料 | ランサムウェア被害 | 受注/出荷業務の一部を手作業で進めているとのこと。また、イベントの中止など複数の影響が発生していることも公表。 |
| 2025/10/03 | サービス業 | システム設定不備による個人情報漏えいの可能性 | 応募受付システムに設定不備があり、応募登録者が参加者の個人情報の閲覧が可能な状態であったとのこと。同社は複数のシステム改修の中で設定不備が生じたことが原因としている。 |
| 2025/10/03 | 大手人材・広告 | アクセス権限誤設定による個人情報漏えいの可能性 | クラウド環境のアクセス権限に誤設定があり、第三者がアクセス可能な状態になっていたことが発覚。 |
| 2025/10/04 続報 | 飲食 | 利用ツール提供元への攻撃による個人情報漏えい | 40,000人以上の取引先の従業員IDが漏洩していたことが判明。当該IDは社内識別番号だが、ほかの情報と組み合わせることによって悪用される可能性もゼロではないと説明している。 |
| 2025/10/07 | 大学 | 誤掲載による個人情報漏えい | 成績証明書番号などを大学のWebサイトに一定期間、誤掲載していたと発表。なお、該当ページは削除済みで、第三者による成績証明書番号を使った照会・利用の形跡は確認されていないとコメント。 |
| 2025/10/08 | 自治体 | 誤送信によるメールアドレス漏えい | 送信手順に誤りがあり、受信者全員のメールアドレスが見える状態で送信されたとコメントしている。 |
| 2025/10/08 続報 | 飲料 | ランサムウェア被害 | 流出した疑いのある情報をインターネット上で確認したことを公表。 |
| 2025/10/09 | 造船 | アカウント不正アクセスによるフィッシングメール送信及び個人情報漏えいの可能性 | 同社グループ社員の個人アカウントのパスワードが漏洩し、そこからアカウントが不正利用されフィッシングメールが不特定多数に送信されていることが判明。 |
| 2025/10/09 | 専門学校 | 誤送信によるメールアドレス漏えい | 送信手順に誤りがあり、受信者全員のメールアドレスが見える状態で送信されたとコメントしている。 |
| 2025/10/10 | 製造・販売 | 外部委託先要因による個人情報漏えいの可能性 | 顧客の個人情報を含むデータを保存したパソコンの物理破壊及び廃棄処分を外部委託。しかし、そのうち1台のPCがWebに短時間接続したことをセキュリティ監視ツールで検知した。 |
| 2025/10/14 | 運送 | 元従業員による個人情報不正持ち出し | 持ち出された情報は2社に流出していおり、現在確認されている不正利用は1件。同社は刑事告訴も検討している。 |
| 2025/10/16 報道 | IT・通信 | サイバー攻撃による機器関連情報流出 | 内部システムがサイバー攻撃を受け、同社が開発/製造しているネットワーク機器の関連情報などが窃取されたとのこと。 |
| 2025/10/19 | 通販 | ランサムウェア被害による複数サイトの出荷停止 | 同社が運営している複数サイトが出荷停止状態となった。既存注文はキャンセルにて対応するとコメントしている。なお、他社も本影響を受けていると報道されている。 |
| 2025/10/22 | 専門コンサルティング | 設定ミスによるランサムウェさ被害 | 委託先のシステムベンダーが事前に行った設定にミスがあり、ファイアウォールの一部機能が停止した状態で機器が設置されたため、外部より攻撃を受けたとコメント。 |
