セキュリティセキュリティ
2026年1月 セキュリティ情報 Cisco 社メールセキュリティ製品の脆弱性 [CVE-2025-20393]など
目次
ご挨拶
インフラ業務と並行しつつ「セキュリティの町医者」を目指している三浦です。
本年も宜しくお願いいたします。
2026年1月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性(Cisco 社メールセキュリティ製品の脆弱性 [CVE-2025-20393])
情報公開日:2025/12/17(現地時間)
続報:2026/1/15(現地時間)
| 一次情報元(引用元) |
"CISCO"Reports About Cyberattacks Against Cisco Secure Email Gateway And Cisco Secure Email and Web Manager |
| その他、情報ソース |
"IPA" Cisco Secure Email Gatewayの脆弱性対策について(CVE-2025-20393) "Security NEXT" Ciscoがゼロデイ脆弱性を修正、永続化機能の除去も - 侵害調査は別途必要 |
| CVE番号及び深刻度 |
CVE 番号:CVE-2025-20393 深刻度:Critical (CVSSスコア 10.0) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:X/RL:X/RC:X |
| 脆弱性内容 |
シスコシステムズ合同会社は現地時間 2025年12月17日に公表していたメールセキュリティ製品Cisco Secure Email GatewayおよびCisco Secure Email and Web Manager向けCisco AsyncOS の脆弱性に対する修正プログラムを公開。 同製品のスパム隔離機能脆弱性で、同機能を有効化し、インターネットに公開されている場合に影響があり、細工したHTTPリクエストを処理させることで攻撃が成立する。 攻撃が成立した場合、OSのroot権限を取得でき、任意のコマンドが実行可能となる。 なお、当該脆弱性は世界中で悪用が確認されており、日本国内でも悪用が複数件確認されている。 |
| 想定される影響 | 当該製品の乗っ取り、DoS、情報漏えいなど不特定多数の影響を受ける可能性がある。 |
| 影響を受ける製品 |
Cisco Email Security Gateway Cisco AsyncOS 14.2 以前 Cisco Email Security Gateway Cisco AsyncOS 15.0 Cisco Email Security Gateway Cisco AsyncOS 15.5 Cisco Email Security Gateway Cisco AsyncOS 16 Cisco Secure Email and Web Manager Cisco AsyncOS 15.0 以前 Cisco Secure Email and Web Manager Cisco AsyncOS 15.5 Cisco Secure Email and Web Manager Cisco AsyncOS 16.0 詳細は「一次情報元(引用元)」のURL先をご確認ください。 |
| 解決策 | 本脆弱性を修正した最新版にアップデートを行う。 |
| コメント |
・本脆弱性は日本国内のインターネットサービスプロバイダや大学などが被害に遭っており、年末年始の報道で取り上げられている。 ・当該製品を利用している場合は最優先でパッチを適用すると共に、攻撃を受けたか否かの確認、攻撃を受けていたのであれば影響範囲調査やインシデント対策体制(CSIRT)構築などを行うことを強く推奨する。 |
その他、注目した脆弱性/ソフトウェアUpdate情報
| 日付 | ソフトウエア | 情報/コメント |
| 2026/1/3 | zlib | データ圧縮ライブラリ「zlib」に含まれるユーティリティ「untgz」にリモートコード実行、DoSを発生させる事ができる脆弱性があることが判明。一定文字数以上の細工されたアーカイブ名を処理させることで悪用可能とのこと。また、PoCが公開されているとの報道もある。
"zlib v1.3.1.2 Global Buffer Overflow in TGZfname() of zlib untgz Utility via Unbounded strcpy() on User-Supplied Archive Name" https://seclists.org/fulldisclosure/2026/Jan/3 "contrib/ungtz: Buffer Overflow in TGZfname() via Unbounded strcpy() on User-Supplied Archive Name #1142" https://github.com/madler/zlib/issues/1142 |
| 2026/1/6 | Google Chrome | Google 社は、デスクトップ向け安定版[拡張安定化版含む]、Android 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, January 6, 2026)" https://chromereleases.googleblog.com/2026/01/stable-channel-update-for-desktop.html "Extended Stable Updates for Desktop (Tuesday, January 6, 2026)" https://chromereleases.googleblog.com/2026/01/extended-stable-updates-for-desktop.html "Chrome for Android Update (Tuesday, January 6, 2026)" https://chromereleases.googleblog.com/2026/01/chrome-for-android-update.html |
| 2026/1/7 | Google Chrome | Google 社は、iOS 版のGoogle Chrome のアップデートを公開。
"Chrome Stable for iOS Update (Wednesday, January 7, 2026)" https://chromereleases.googleblog.com/2026/01/chrome-stable-for-ios-update.html |
| 2026/1/7 | GitLab | 深刻度「High」の脆弱性3件を含む複数の脆弱性が修正されている。
"GitLab Patch Release: 18.7.1, 18.6.3, 18.5.5" https://about.gitlab.com/releases/2026/01/07/patch-release-gitlab-18-7-1-released/ |
| 2026/1/9 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。
"Release notes for Microsoft Edge Security Updates (January 9, 2026)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#january-9-2026 |
| 2026/1/13 | Adobe 社複数製品 | Adobe 社の複数製品のアップデートを公開。各製品の脆弱性が修正されている。
"Latest Product Security Updates" https://helpx.adobe.com/security.html |
| 2026/1/13 | Microsoft 社複数製品 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。悪用が確認された脆弱性1件、第三者から情報公開された脆弱性3件も修正されている。
"2026 年 1 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/releaseNote/2026-Jan "2026 年 1 月のセキュリティ更新プログラム (月例)" https://www.microsoft.com/en-us/msrc/blog/2026/01/202601-security-update/ 悪用が確認されている脆弱性 "Desktop Window Manager Information Disclosure Vulnerability - CVE-2026-20805" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20805 第三者から情報公開された脆弱性 "MITRE: CVE-2023-31096 Windows Agere Soft Modem Driver Elevation of Privilege Vulnerability - CVE-2023-31096" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-31096 "Secure Boot Certificate Expiration Security Feature Bypass Vulnerability - CVE-2026-21265" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21265 "Windows Motorola Soft Modem Driver Elevation of Privilege Vulnerability - CVE-2024-55414" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-55414 |
| 2026/1/13 | Node.js | 何度かリリース延長されたNode.js がリリース。深刻度High の脆弱性3件を含む複数の脆弱性が修正された。
"Tuesday, January 13, 2026 Security Releases" https://nodejs.org/en/blog/vulnerability/december-2025-security-releases |
| 2026/1/13 | Google Chrome | Google 社は、デスクトップ向け安定版、Android 版、iOS 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, January 13, 2026)" https://chromereleases.googleblog.com/2026/01/stable-channel-update-for-desktop_13.html "Chrome for Android Update (Tuesday, January 13, 2026)" https://chromereleases.googleblog.com/2026/01/chrome-for-android-update_13.html "Chrome Stable for iOS Update (Tuesday, January 13, 2026)" https://chromereleases.googleblog.com/2026/01/chrome-stable-for-ios-update_0675385789.html |
| 2026/1/13 | Mozilla Firefox /Firefox ESR | Mozilla 社はFirefox /Firefox ESR のセキュリティアップデートを公開。また、Firefox /Firefox ESR 140.x系では悪用が行えた可能性がある脆弱性についても修正されている。
"Mozilla Foundation Security Advisory 2026-01 Security Vulnerabilities fixed in Firefox 147" https://www.mozilla.org/en-US/security/advisories/mfsa2026-01/ "Mozilla Foundation Security Advisory 2026-03 Security Vulnerabilities fixed in Firefox ESR 140.7" https://www.mozilla.org/en-US/security/advisories/mfsa2026-03/ "Mozilla Foundation Security Advisory 2026-02 Security Vulnerabilities fixed in Firefox ESR 115.32" https://www.mozilla.org/en-US/security/advisories/mfsa2026-02/ |
| 2026/1/14 | Google Chrome | Google 社は、Android 版のGoogle Chrome のアップデートを公開。
"Chrome for Android Update (Wednesday, January 14, 2026)" https://chromereleases.googleblog.com/2026/01/chrome-for-android-update_14.html |
| 2026/1/14 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。
"Release notes for Microsoft Edge Security Updates (January 14, 2026)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#january-14-2026 |
| 2026/1/15 | PHPの複数バージョン | PHPの複数バージョン「8.3.30」「8.4.17」「8.5.2」をリリース。CVE番号が付与されている脆弱性も複数修正されている。
"ChangeLog - Version 8.3.30" https://www.php.net/ChangeLog-8.php#8.3.30 "ChangeLog - Version 8.4.17" https://www.php.net/ChangeLog-8.php#8.4.17 "ChangeLog - Version 8.5.2" https://www.php.net/ChangeLog-8.php#8.5.2 |
| 2026/1/20 | Oracle 社複数製品 | Oracle 社は同社複数製品のOracle Critical Patch Update Advisory を公開。各製品の複数脆弱性が修正されている。
"Oracle Critical Patch Update Advisory - January 2026" https://www.oracle.com/security-alerts/cpujan2026.html |
| 2026/1/20 | Google Chrome | Google 社は、デスクトップ向け安定版、Android 版、iOS 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, January 20, 2026)" https://chromereleases.googleblog.com/2026/01/stable-channel-update-for-desktop_20.html "Chrome for Android Update (Tuesday, January 20, 2026)" https://chromereleases.googleblog.com/2026/01/chrome-for-android-update_0513998776.html "Chrome Stable for iOS Update (Tuesday, January 20, 2026)" https://chromereleases.googleblog.com/2026/01/chrome-stable-for-ios-update_01115606583.html |
| 2026/1/26 | Microsoft Office | Microsoft 社は同社 Office 製品にセキュリティ機能をバイパスする脆弱性が存在し、すでに悪用されていることを公表。Update 対象はOffice 2016および2019。Office 2021以降はOffice アプリを再起動することで当該脆弱性保護が有効になるとのこと。
"Microsoft Office Security Feature Bypass Vulnerability - CVE-2026-21509" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509 |
| 2026/1/27 | OpenSSL | OpenSSL開発チームは、セキュリティアドバイザリを公開。深刻度「高」の脆弱性1件を含む複数脆弱性を修正。
"OpenSSL Security Advisory [27th January 2026]" https://openssl-library.org/news/secadv/20260127.txt |
注目したインシデント
2025年12月下旬のインシデント情報も含まれております。
| 公表日 | 発生組織/業種 | インシデント内容 | 情報/コメント |
| 2025/12/26 | 大学 | ゼロデイ攻撃による不正アクセス及び個人情報漏えいの可能性 | メールセキュリティ機器のゼロデイ脆弱性が悪用され、同機器が参照していたディレクトリサーバも影響を受けた可能性が高いとコメント。 |
| 2025/12/26 | 大学 | 関係者IDを使用した不正アクセス | 使用されたID情報の入手経路についてはコメントしていない。自体発覚後、全構成員のパスワードを強制リセットしたとコメント。 |
| 2025/12/30 | 貴金属製造・販売 | 不正アクセスによるシステム不正操作の可能性 | 同社サイトの表示不具合をトリガに調査した結果、不正アクセスによる可能性が高いことが判明した。 |
| 2025/12/30 | グッズ販売 | サイバー攻撃によるシステム内の一部データ不整合 | 福袋販売時刻を事前に大きく告知していたことが、結果として攻撃の標的となる要因の一つとなったとコメントしている。 |
| 2026/1/6 報道 | 省庁 | 業務用スマートフォン紛失 | 海外にて紛失したとのこと。スマートフォンには海外に流出すると危険な情報が含まれていたと報道されている。 |
| 2026/1/7 | 公社・団体 | 誤送信によるメールアドレス情報漏えい | BCC欄に入力すべき送信先のメールアドレスを誤ってTO欄に入力し送信したとのこと。 |
| 2026/1/7~8 | 大学 | フィッシング被害による個人情報漏えいの可能性 | メールに記載されていた誘導先で個人で利用しているGoogle アカウントの認証情報を入力してしまったという。 |
| 2026/1/8 | 大学 | ランサムウェア被害によるシステム停止及び情報漏えいの可能性 | 教務支援システムを利用できない状態に陥り、調査を実施したところ、ランサムウェアにより暗号化されていることが判明。 |
| 2026/1/9 | 公社・団体 | サポート詐欺被害による不正操作の可能性 | 端末が外部と不正に接続された約30分間、外部から遠隔操作可能な状態にあり、端末に保存されていた個人情報に漏えいの可能性があるとコメントしている。 |
| 2026/1/23 | 中学/高校 | サポート詐欺被害による不正アクセス | 職員が業務中にサポート詐欺に遭い、詐欺サイトへ誘導されて業務用端末に遠隔操作ソフトをインストールしてしまったとコメント。 |
| 2026/1/27 | 通信 | ソフトウェア不具合による個人情報漏えい | プロキシサーバソフトウェアの不具合により、複数の処理が同時に多数発生する際に一部の顧客が一時的に他の顧客として扱われたとのこと。 |
