セキュリティセキュリティ
2025年4月 セキュリティ情報 Microsoft Windows NTLM ハッシュ開示スプーフィングの脆弱性 [CVE-2025-24054]など
目次
ご挨拶
インフラ業務と並行しつつ「セキュリティの町医者」を目指している三浦です。
2025年4月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性(Microsoft Windows NTLM ハッシュ開示スプーフィングの脆弱性 [CVE-2025-24054])
情報公開日:2025/4/17(現地時間)
| 一次情報元(引用元) |
"アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(以降、CISAと略称を使用)"CISA Adds Three Known Exploited Vulnerabilities to Catalog (Release Date : April 17, 2025) |
| その他、情報ソース |
"Microsoft Security Response Center" NTLM Hash Disclosure Spoofing Vulnerability CVE-2025-24054 "Check Point Research" CVE-2025-24054, NTLM Exploit in the Wild |
| CVE番号及び深刻度 |
CVE番号:CVE-2025-24054 深刻度:Important (スコア:6.5) CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C |
| 脆弱性内容 |
CISA は現地時間 2025年4月17日、2025年
3月の月次Update で公開されたMicrosoft Windows の脆弱性「CVE-2025-24054」が悪用されていることを公表。当該脆弱性は悪用が確認されており、悪用された場合、認証情報漏えい/なりすましが行われる恐れがあります。 なお、当該脆弱性は細工されたファイルを開かなくても、単にクリックやプロパティ表示といった操作だけで攻撃が成立するとのことです。 (ファイルを受信するだけで危険が発生する恐れがあるとも言われております。) |
| 想定される影響 | ユーザーの認証情報が傍受/悪用され、なりすましにて各種情報の閲覧や窃取等、不特定多数の影響が発生する可能性があります。 |
| 影響を受ける製品 |
Windows 10 Version 1607 for 32-bit Systems Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1809 for 32-bit Systems Windows 10 Version 1809 for x64-based Systems Windows 10 Version 21H2 for 32-bit Systems Windows 10 Version 21H2 for ARM64-based Systems Windows 10 Version 21H2 for x64-based Systems Windows 10 Version 22H2 for 32-bit Systems Windows 10 Version 22H2 for ARM64-based Systems Windows 10 Version 22H2 for x64-based Systems Windows 10 for 32-bit Systems Windows 10 for x64-based Systems Windows 11 Version 22H2 for ARM64-based Systems Windows 11 Version 22H2 for x64-based Systems Windows 11 Version 23H2 for ARM64-based Systems Windows 11 Version 23H2 for x64-based Systems Windows 11 Version 24H2 for ARM64-based Systems Windows 11 Version 24H2 for x64-based Systems Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2012 Windows Server 2012 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 R2 (Server Core installation) Windows Server 2016 Windows Server 2016 (Server Core installation) Windows Server 2019 Windows Server 2019 (Server Core installation) Windows Server 2022 Windows Server 2022 (Server Core installation) Windows Server 2022, 23H2 Edition (Server Core installation) Windows Server 2025 Windows Server 2025 (Server Core installation) |
| 解決策 | Windows Updateを行う。 ⇒詳細については「一次情報元(引用元)」でご確認ください。 |
| コメント |
当該脆弱性の悪用は脆弱性内容に記載したもの以外では「右クリック」「ドラッグアンドドロップ」「ファイルをフォルダに移動する」といったファイル操作でも成立するとの事なので、早急にUpdateを行うことをお勧めいたします。 当該脆弱性を悪用した攻撃はポーランドとルーマニアの政府機関および民間組織に対し行われていたとのこと。世界的に波及する可能性が非常に高いため、すぐに周知/対応することを強く推奨いたします。 |
その他、注目した脆弱性/ソフトウェアUpdate情報
| 日付 | ソフトウエア | 情報/コメント |
| 2025/4/1 | Apache Tomcat | CISAは、現地時間2025年2月10日にリリースしたApache Tomcat 11.0.3/10.1.35/9.0.99で修正されている脆弱性(CVE-2025-24813)が悪用されていることを公表。
"CISA Adds One Known Exploited Vulnerability to Catalog (Release Date : April 01, 2025)" https://www.cisa.gov/news-events/alerts/2025/04/01/cisa-adds-one-known-exploited-vulnerability-catalog "CVE-2025-24813 Potential RCE and/or information disclosure and/or information corruption with partial PUT" https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq |
| 2025/3/31~2025/4/1 | Apple 社複数製品 | Apple 社は、複数製品のセキュリティUpdate を公開。悪用された可能性が高い脆弱性の修正も行われている。
悪用された可能性が高い脆弱性の修正が行われているセキュリティUpdate 情報 "About the security content of iOS 15.8.4 and iPadOS 15.8.4" https://support.apple.com/en-il/122345 "About the security content of iOS 16.7.11 and iPadOS 16.7.11" https://support.apple.com/en-il/122346 "About the security content of iPadOS 17.7.6" https://support.apple.com/en-il/122372 上記以外のセキュリティUpdate 情報 "About the security content of visionOS 2.4" https://support.apple.com/en-il/122378 "About the security content of tvOS 18.4" https://support.apple.com/en-il/122377 "About the security content of macOS Ventura 13.7.5" https://support.apple.com/en-il/122375 "About the security content of macOS Sonoma 14.7.5" https://support.apple.com/en-il/122374 "About the security content of macOS Sequoia 15.4" https://support.apple.com/en-il/122373 "About the security content of iOS 18.4 and iPadOS 18.4" https://support.apple.com/en-il/122371 "About the security content of Xcode 16.3" https://support.apple.com/en-il/122380 "About the security content of Safari 18.4" https://support.apple.com/en-il/122379 "About the security content of watchOS 11.4" https://support.apple.com/en-il/122376 |
| 2025/4/1 | Mozilla Thunderbird /Thunderbird ESR /Firefox /Firefox ESR | Mozilla 社はThunderbird/Thunderbird ESR /Firefox /Firefox ESR のセキュリティアップデートを公開。悪用が行えた可能性がある脆弱性についても今回のアップデートで修正されている。
"Mozilla Foundation Security Advisory 2025-23 Security Vulnerabilities fixed in Thunderbird 137" https://www.mozilla.org/en-US/security/advisories/mfsa2025-23/ "Mozilla Foundation Security Advisory 2025-24 Security Vulnerabilities fixed in Thunderbird ESR 128.9" https://www.mozilla.org/en-US/security/advisories/mfsa2025-24/ "Mozilla Foundation Security Advisory 2025-20 Security Vulnerabilities fixed in Firefox 137" https://www.mozilla.org/en-US/security/advisories/mfsa2025-20/ "Mozilla Foundation Security Advisory 2025-22 Security Vulnerabilities fixed in Firefox ESR 128.9" https://www.mozilla.org/en-US/security/advisories/mfsa2025-22/ "Mozilla Foundation Security Advisory 2025-21 Security Vulnerabilities fixed in Firefox ESR 115.22" https://www.mozilla.org/en-US/security/advisories/mfsa2025-21/ |
| 2025/4/1 | Google Chrome | Google 社は、デスクトップ向け及びAndorid 、iOS 向けのGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, April 1, 2025)" https://chromereleases.googleblog.com/2025/04/stable-channel-update-for-desktop.html "Chrome for Android Update (Tuesday, April 1, 2025)" https://chromereleases.googleblog.com/2025/04/chrome-for-android-update.html "Chrome Stable for iOS Update (Tuesday, April 1, 2025)" https://chromereleases.googleblog.com/2025/04/chrome-stable-for-ios-update.html |
| 2025/4/1 | WordPress 用プラグインWelcart e-Commerce | Japan Vulnerability Notes (以降、JVNと略称)はWordPress 用プラグインWelcart e-Commerce の任意コード実行脆弱性を公表。
"JVN#87266215 WordPress用プラグインWelcart e-Commerceにおける信頼できないデータのデシリアライゼーションの脆弱性" https://jvn.jp/jp/JVN87266215/ |
| 2025/4/3 | Ivanti 社複数製品 | Ivanti 社は2025年2月11日に同社複数製品のバグとして修正した箇所をリモートコード実行脆弱性(CVE-2025-22457)として改めてアナウンス。悪用されていることも報告されている。(その後、CISAからも悪用された事が公開された)
"April Security Advisory Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-22457)" https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457 "CISA Adds One Vulnerability to the KEV Catalog (Release Date : April 04, 2025)" https://www.cisa.gov/news-events/alerts/2025/04/04/cisa-adds-one-vulnerability-kev-catalog |
| 2025/4/3 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。Microsoft Edge 固有の脆弱性2件も修正されている。
"Release notes for Microsoft Edge Security Updates (April 3, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#april-3-2025 |
| 2025/4/8 | Microsoft 社複数製品 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。悪用確認済み脆弱性1件の修正も行われている。
"2025 年 4 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/releaseNote/2025-Apr "2025 年 4 月のセキュリティ更新プログラム (月例)" https://msrc.microsoft.com/blog/2025/04/202504-security-update/ 悪用確認済みの脆弱性 "Windows Common Log File System Driver Elevation of Privilege Vulnerability CVE-2025-29824" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29824 |
| 2025/4/8 | Adobe 社複数製品 | Adobe 社の複数製品のアップデートを公開。各製品の脆弱性が修正されている。
"Latest Product Security Updates" https://helpx.adobe.com/security.html |
| 2025/4/8 | FortiSwitch | Fortinet 社は同社製品であるFortiSwitch のパスワード変更が可能な脆弱性を修正。
"Unverified password change via set_password endpoint" https://fortiguard.fortinet.com/psirt/FG-IR-24-435 |
| 2025/4/8 | Google Chrome | Google 社は、デスクトップ向け(拡張安定化版含む)及びAndorid 、iOS 向けのGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, April 8, 2025)" https://chromereleases.googleblog.com/2025/04/stable-channel-update-for-desktop_8.html "Extended Stable Updates for Desktop (Tuesday, April 8, 2025)" https://chromereleases.googleblog.com/2025/04/extended-stable-updates-for-desktop.html "Chrome for Android Update (Tuesday, April 8, 2025)" https://chromereleases.googleblog.com/2025/04/chrome-for-android-update_01999735124.html "Chrome Stable for iOS Update (Tuesday, April 8, 2025)" https://chromereleases.googleblog.com/2025/04/chrome-stable-for-ios-update_8.html |
| 2025/4/10 | PHPの複数バージョン | PHPの複数バージョン「8.3.20」「8.4.6」をリリース。
"ChangeLog - Version 8.3.20" https://www.php.net/ChangeLog-8.php#8.3.20 "ChangeLog - Version 8.4.6" https://www.php.net/ChangeLog-8.php#8.4.6 |
| 2025/4/11 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。Microsoft Edge 固有の脆弱性1件も修正されている。
"Release notes for Microsoft Edge Security Updates (April 11, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#april-11-2025 |
| 2025/4/15 | Oracle 社複数製品 | Oracle 社は同社複数製品(MySQL /Java /Oracle WebLogic Server、その他製品など)のOracle Critical Patch Update Advisory を公開。各製品の複数脆弱性が修正されている。
"Oracle Critical Patch Update Advisory - April 2025" https://www.oracle.com/security-alerts/cpuapr2025.html |
| 2025/4/15 | Google Chrome | Google 社は、デスクトップ向け(拡張安定化版含む)及びAndorid 向けのGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, April 15, 2025)" https://chromereleases.googleblog.com/2025/04/stable-channel-update-for-desktop_15.html "Extended Stable Updates for Desktop (Tuesday, April 15, 2025)" https://chromereleases.googleblog.com/2025/04/extended-stable-updates-for-desktop_15.html "Chrome for Android Update (Tuesday, April 15, 2025)" https://chromereleases.googleblog.com/2025/04/chrome-for-android-update_01612254901.html |
| 2025/4/15 | Mozilla Thunderbird /Thunderbird ESR /Firefox | Mozilla 社はThunderbird/Thunderbird ESR /Firefox のセキュリティアップデートを公開。
"Mozilla Foundation Security Advisory 2025-26 Security Vulnerabilities fixed in Thunderbird 137.0.2" https://www.mozilla.org/en-US/security/advisories/mfsa2025-26/ "Mozilla Foundation Security Advisory 2025-27 Security Vulnerabilities fixed in Thunderbird ESR 128.9.2" https://www.mozilla.org/en-US/security/advisories/mfsa2025-27/ "Mozilla Foundation Security Advisory 2025-25 Security vulnerability fixed in Firefox 137.0.2" https://www.mozilla.org/en-US/security/advisories/mfsa2025-25/ |
| 2025/4/16 | Apple 社複数製品 | Apple 社は、複数製品のセキュリティUpdate を公開。個人を標的とした高度な攻撃で悪用された可能性が高い脆弱性(CVE-2025-31200/CVE-2025-31201)が修正されている。
CVE-2025-31200/CVE-2025-31201が修正されている製品情報 "About the security content of iOS 18.4.1 and iPadOS 18.4.1" https://support.apple.com/en-il/122282 "About the security content of macOS Sequoia 15.4.1" https://support.apple.com/en-il/122400 "About the security content of tvOS 18.4.1" https://support.apple.com/en-il/122401 "About the security content of visionOS 2.4.1" https://support.apple.com/en-il/122402 |
| 2025/4/17 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。
"Release notes for Microsoft Edge Security Updates (April 17, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#april-17-2025 |
| 2025/4/18 | Active! mail | JVN はApple 社は、株式会社クオリティアが提供するActive! mail の脆弱性(CVE-2025-42599)を公開。なお、当該脆弱性は既に悪用が確認されている。
"JVN#22348866 Active! mailにおけるスタックベースのバッファオーバーフローの脆弱性 緊急" https://jvn.jp/jp/JVN22348866/ "重要 Active! mail 6の脆弱性に関する重要なお知らせ" https://www.qualitia.com/jp/news/2025/04/18_1030.html |
| 2025/4/22-2025/4/23 | Google Chrome | Google 社は、デスクトップ向け及びAndorid /iOS 向けのGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, April 22, 2025)" https://chromereleases.googleblog.com/2025/04/stable-channel-update-for-desktop_22.html "Chrome for Android Update (Tuesday, April 22, 2025)" https://chromereleases.googleblog.com/2025/04/chrome-for-android-update_01045683160.html "Chrome Stable for iOS Update (Wednesday, April 23, 2025)" https://chromereleases.googleblog.com/2025/04/chrome-stable-for-ios-update_23.html |
注目したインシデント
2025年3月下旬のインシデント情報も含まれております。
| 公表日 | 発生組織/業種 | インシデント内容 | 情報/コメント |
| 2025/3/31(続報) | EC サイト(放送系オンラインショップ) | 不正アクセスによる個人情報およびクレジットカード情報漏えいの可能性 | 原因はシステムの一部の脆弱性をついたことによる第三者の不正アクセス。不正アクセス後、ペイメントアプリケーションが改ざんされたとコメントしている。 |
| 2025/3/31 | 小売業(スーパー) | ランサムウェア被害によるシステム障害 | 情報公開当時、詳細は公開されていなかったがシステム障害により全店舗が臨時休業となった。 |
| 2025/4/1 | 地方自治体 | 職員による不正アクセス | 初期の仮パスワード(職員コードから類推することが可能)を変更していなかったパスワードを使い、他部署の情報に不正アクセスしたとのこと。 |
| 2025/4/2(続報) | 一般財団法人 | 要配慮情報記録のノートパソコン紛失 | 初報では個人情報は含まれていないとコメントしていたが、その後の調査により要配慮個人情報が含まれていたことが判明。なお、ノートパソコンには指紋認証によるセキュリティ措置が講じられているとのこと。 |
| 2025/4/3 | EC サイト(専門書籍・ビデオ販売) | 不正アクセスによる個人情報およびクレジットカード情報漏えいの可能性 | 原因はシステムの一部の脆弱性をついたことによる第三者の不正アクセス。不正アクセス後、ペイメントアプリケーションが改ざんされたとコメントしている。 |
| 2025/4/3 | 教育業 | 不正アクセスによる犯罪予告メール送信 | 不正アクセスの原因は不明だが、英文でビットコイン送金要求や虚偽の爆破予告等がメールに含まれていたとのこと。 |
| 2025/4/4 | 保険業 | 不正アクセスによる個人情報漏えいの可能性 | 原因は調査中の為、未公開。漏えいの可能性がある個人情報については、要配慮個人情報及び財産的被害が発生する恐れのある個人データは含まれていないとのこと。 |
| 2025/4/7 | 大学 | 大学ドメインのメールアドレス流出 | 逮捕された人間のパソコンから約900件のメールアドレスとそれに紐づいたパスワードがあることが判明。流出経路等については、捜査中のため特定できていないとのこと。 |
| 2025/4/8 | EC サイト(小物) | 不正アクセスによる個人情報およびクレジットカード情報漏えいの可能性 | 原因はシステムの一部の脆弱性をついたことによる第三者の不正アクセス。不正アクセス後、ペイメントアプリケーションが改ざんされたとコメントしている。 |
| 2025/4/8 (報道) | 地方自治体 | 職員による端末管理システム不正利用 | 職員のパソコンにトラブルが発生した時に状況確認や端末の遠隔操作を可能にする「端末管理システム」を業務目的外で使用し「のぞき見」していたとのこと。 |
| 2025/4/8 | ソフトウェア開発業 | ランサムウェアと思われる攻撃による暗号化及び情報漏えい | 社内ネットワークに不正侵入され、社内サーバ及び一部パソコンが暗号化され情報流出が発生。なお、原因については公開されていない。 |
| 2025/4/8 | 大学 | 個人情報記録のUSBメモリ紛失 | USBメモリに保存していたデータには、パスワード設定を施していたとのこと。 |
| 2025/4/11 | 医療 | 個人情報記録のUSBメモリ紛失 | 紛失したUSBメモリはパスワードによるセキュリティ設定が行われたものとコメントしている。 |
| 2025/4/14 | 製造業 | 不正アクセスによる情報漏えい | 今回の不正アクセスは、サーバにおけるセキュリティ上の脆弱性を突かれたものとコメントしている。 |
| 2025/4/15 | 通信業 | メールアウトソーシングサービスへの不正アクセスによる情報漏えい | 不正アクセスにより不正なプログラムが実行されていたことが判明。その後、当該サービスで使用していたソフトウェアのゼロデイ脆弱性が悪用されたとコメントしている。 |
| 2025/4/15 | 材木業 | サポート詐欺による情報漏えいの可能性 | 顧客情報にアクセス可能な端末を遠隔操作されたとのこと。 |
| 2025/4/16 (報道) | 開発/コンテンツ配信業 | 大規模ハッキングによるサービス停止及び情報漏えい | 古いバージョンのPHPを使用しており、そこに内在していた既知脆弱性が悪用されたと報道されている。 |
| 2025/4/24 | アパレル産業 | 大量アクセスによる個人情報漏えい | 不正プログラムを用いた大量アクセスにより、約15万件の個人情報が漏えいした。 |
| 2025/4/24 (報道) | 大学 | ランサムウェア感染 | 同大ネットワーク内のサーバーが不正アクセスを受けランサムウェアに感染。大学サイトのコンテンツ用ファイルの拡張子書き換えや学内の複数パソコンがランサムウェアに感染していたことが明らかになった。 |
