SECURITY NEWS (2025/08/26 12:00-2025/08/27 12:00)

2025/08/26 12:00から2025/08/27 12:00のセキュリティ情報です。
今月1ヶ月分のまとめはこちらをご覧下さい。

総合

 CISA, JPCERT/CC, IPAからの注意喚起など。

JPCERT/CC WEEKLY REPORT 2025-08-27
【1】複数のApple製品に境界外書き込みの脆弱性
【2】Movable Typeに複数の脆弱性
【3】複数のMozilla製品に脆弱性
【4】Google Chromeに脆弱性
【5】JPCERT/CCが「標準から学ぶICSセキュリティ #8 ICSのシステムに対するセキュリティ要件」を公開
【6】フィッシング対策協議会が「SSL/TLSサーバー証明書における 有効期間短縮化について」を公開

CISA Adds One Known Exploited Vulnerability to Catalog
CISAが1件の悪用された脆弱性をKnown Exploited Vulnerabilities Catalogに追加したことに関する広報です。

CISA Releases Three Industrial Control Systems Advisories
CISA発表のICSの3件のセキュリティアドバイザリ公開の広報です。

Microsoft

 Microsoft製品に関する情報。

UNIX

 UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
 扱うOS: Red Hat Enterprise Linux (標準のみ), Ubuntu, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.

Red Hat Enterprise Linuxのpython-cryptography, aide RHSA-2025:14573, RHSA-2025:14592, mod_http2, thunderbirdのセキュリティフィックス
影響を受ける製品
Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64 (python-cryptography, aide (RHSA-2025:14573)). Red Hat Enterprise Linux for x86_64 10 x86_64, Red Hat Enterprise Linux for x86_64 - Extended Update Support 10.0 x86_64, Red Hat Enterprise Linux for IBM z Systems 10 s390x, Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 10.0 s390x, Red Hat Enterprise Linux for Power, little endian 10 ppc64le, Red Hat Enterprise Linux for Power, little endian - Extended Update Support 10.0 ppc64le, Red Hat Enterprise Linux for ARM 64 10 aarch64, Red Hat Enterprise Linux for ARM 64 - Extended Update Support 10.0 aarch64, Red Hat Enterprise Linux for ARM 64 - 4 years of updates 10.0 aarch64, Red Hat Enterprise Linux for IBM z Systems - 4 years of updates 10.0 s390x, Red Hat Enterprise Linux for Power, little endian - 4 years of support 10.0 ppc64le, Red Hat Enterprise Linux for x86_64 - 4 years of updates 10.0 x86_64 (aide (RHSA-2025:14592), mod_http2). Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for x86_64 - Extended Update Support 9.6 x86_64, Red Hat Enterprise Linux Server - AUS 9.6 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 9.6 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for Power, little endian - Extended Update Support 9.6 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64, Red Hat Enterprise Linux for ARM 64 - Extended Update Support 9.6 aarch64, Red Hat Enterprise Linux Server for Power LE - Update Services for SAP Solutions 9.6 ppc64le, Red Hat Enterprise Linux for x86_64 - Update Services for SAP Solutions 9.6 x86_64, Red Hat Enterprise Linux for ARM 64 - 4 years of updates 9.6 aarch64, Red Hat Enterprise Linux for IBM z Systems - 4 years of updates 9.6 s390x (thunderbird).
詳細
python-cryptographyはNULLポインタの逆参照の1件の脆弱性を、aideは出力のサニタイズ漏れの1件の脆弱性を、mod_http2はDoS攻撃の1件のリモート脆弱性を、thunderbirdは5件の脆弱性をそれぞれフィックスしています。
解決法
文書に従って更新を行ってください。

Ubuntu Linuxのbinutils, Linux kernel (Raspberry Pi Real-time)のセキュリティフィックス
影響を受ける製品
Ubuntu 16.04 LTS (binutils).
詳細
binutilsはヒープベースのバッファオーバーフローの1件の脆弱性を、Linux kernel (Raspberry Pi Real-time)は72件の脆弱性をそれぞれフィックスしています。
解決法
自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのnode-cipher-baseのセキュリティフィックス
影響を受ける製品
stable (bookworm).
詳細
入力の不適切な検証の1件の脆弱性をフィックスしています。
解決法
自動更新エージェントを用いるか手動でアップグレードを行なってください。

Apple

 Macおよびこれに関連するアプリケーションに関する情報(iPhone/iPadを除く)。

Applications

 各種アプリケーションに関する情報。
 扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。

Chrome 安定版 139.0.7258.154/.155 (Windows, Mac), 139.0.7258.154 (Linux)がリリース
影響を受ける製品
Chrome.
詳細
ANGLEの解放後メモリ利用の脆弱性をフィックスしています。Criticalに分類されています。
解決法
自動あるいは手動で更新を行ってください。
参考情報


CTX694938: NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2025-7775, CVE-2025-7776 and CVE-2025-8424
影響を受ける製品
Citrix NetScaler ADC, NetScaler Gateway.
詳細
メモリオーバーフローによるRCEの1件の脆弱性とメモリオーバーフローの1件の脆弱性と不適切なアクセス制御の1件の脆弱性をフィックスしています。1件がcritical, 2件がhighに分類されています。本脆弱性を利用した攻撃が観測されています。
解決法
アップデートが用意されています。文書の指示に従って下さい。
参考情報


QNAP: QSA-25-31: Multiple Vulnerabilities in File Station 5
影響を受ける製品
QNAP File Station 5 version 5.5.x.
詳細
NULLポインタの逆参照の1件の脆弱性と境界外メモリ書込の1件の脆弱性をフィックスしています。
解決法
脆弱性を解決するバージョンが用意されています。文書を確認して下さい。
TeamViwer: TV-2025-1003: Arbitrary File Creation via Symbolic Link Leading to Denial-of-Service
影響を受ける製品
TeamViewer Remote Full Client (Windows). TeamViewer Remote Host (Windows).
詳細
シンボリックリンクを用いて任意のファイル作成可能な1件のローカル件の脆弱性をフィックスしています。
解決法
脆弱性を解決するバージョンが用意されています。文書を確認して下さい。
複数のNVIDIA製品に脆弱性
影響を受ける製品
複数のNVIDIA製品。
詳細
8月26日に2件のセキュリティアドバイザリが公開されています。全てHighに分類されています。Security Bulletinsのページをご確認下さい。
解決法
文書に従って下さい。

SECURITY NEWS (2025/08/25 12:00-2025/08/26 12:00)

2025/08/25 12:00から2025/08/26 12:00のセキュリティ情報です。
今月1ヶ月分のまとめはこちらをご覧下さい。

総合

 CISA, JPCERT/CC, IPAからの注意喚起など。

CISA Adds Three Known Exploited Vulnerabilities to Catalog
CISAが3件の悪用された脆弱性をKnown Exploited Vulnerabilities Catalogに追加したことに関する広報です。
参考情報

SB25-237 Vulnerability Summary for the Week of August 18, 2025
CISA発表の脆弱性情報のサマリです( 8月18日の週)。

Microsoft

 Microsoft製品に関する情報。

UNIX

 UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
 扱うOS: Red Hat Enterprise Linux (標準のみ), Ubuntu, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.

Red Hat Enterprise Linuxのfirefox RHSA-2025:14416, RHSA-2025:14417, RHSA-2025:14442, kernel RHSA-2025:14420, RHSA-2025:14510, aide, kpatch-patch-5_14_0-570_17_1, python-cryptographyのセキュリティフィックス
影響を受ける製品
Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for x86_64 - Extended Update Support 9.6 x86_64, Red Hat Enterprise Linux Server - AUS 9.6 x86_64, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for Power, little endian - Extended Update Support 9.6 ppc64le, Red Hat Enterprise Linux Server for Power LE - Update Services for SAP Solutions 9.6 ppc64le, Red Hat Enterprise Linux for x86_64 - Update Services for SAP Solutions 9.6 x86_64 (firefox (RHSA-2025:14416), kernel (RHSA-2025:14420), aide, kpatch-patch-5_14_0-570_17_1). Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 9.6 s390x, Red Hat Enterprise Linux for ARM 64 9 aarch64, Red Hat Enterprise Linux for ARM 64 - Extended Update Support 9.6 aarch64, Red Hat Enterprise Linux for ARM 64 - 4 years of updates 9.6 aarch64, Red Hat Enterprise Linux for IBM z Systems - 4 years of updates 9.6 s390x (firefox (RHSA-2025:14416), kernel (RHSA-2025:14420), aide). Red Hat CodeReady Linux Builder for x86_64 9 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 9 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 9 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 9 s390x, Red Hat CodeReady Linux Builder for x86_64 - Extended Update Support 9.6 x86_64, Red Hat CodeReady Linux Builder for Power, little endian - Extended Update Support 9.6 ppc64le, Red Hat CodeReady Linux Builder for IBM z Systems - Extended Update Support 9.6 s390x, Red Hat CodeReady Linux Builder for ARM 64 - Extended Update Support 9.6 aarch64 (kernel (RHSA-2025:14420)). Red Hat Enterprise Linux for x86_64 10 x86_64, Red Hat Enterprise Linux for x86_64 - Extended Update Support 10.0 x86_64, Red Hat Enterprise Linux for IBM z Systems 10 s390x, Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 10.0 s390x, Red Hat Enterprise Linux for Power, little endian 10 ppc64le, Red Hat Enterprise Linux for Power, little endian - Extended Update Support 10.0 ppc64le, Red Hat Enterprise Linux for ARM 64 10 aarch64, Red Hat Enterprise Linux for ARM 64 - Extended Update Support 10.0 aarch64, Red Hat Enterprise Linux for ARM 64 - 4 years of updates 10.0 aarch64, Red Hat Enterprise Linux for IBM z Systems - 4 years of updates 10.0 s390x, Red Hat Enterprise Linux for Power, little endian - 4 years of support 10.0 ppc64le, Red Hat Enterprise Linux for x86_64 - 4 years of updates 10.0 x86_64 (firefox (RHSA-2025:14417), kernel (RHSA-2025:14510)). Red Hat CodeReady Linux Builder for x86_64 10 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 10 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 10 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 10 s390x, Red Hat CodeReady Linux Builder for x86_64 - Extended Update Support 10.0 x86_64, Red Hat CodeReady Linux Builder for Power, little endian - Extended Update Support 10.0 ppc64le, Red Hat CodeReady Linux Builder for IBM z Systems - Extended Update Support 10.0 s390x, Red Hat CodeReady Linux Builder for ARM 64 - Extended Update Support 10.0 aarch64 (kernel (RHSA-2025:14510)). Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64 (firefox (RHSA-2025:14442), python-cryptography).
詳細
firefoxは5件の脆弱性を、kernel (RHSA-2025:14420)はudpのメモリオーバーフローの1件の脆弱性とnetemの解放後メモリ利用の1件の脆弱性とiceのメモリリークの1件の脆弱性を、aideは出力のサニタイズ漏れの1件の脆弱性を、kpatch-patch-5_14_0-570_17_1はtlsの解放後スラブ利用の1件の脆弱性を、kernel (RHSA-2025:14510)はnet_sched: etsの解放後メモリ利用の1件の脆弱性とi40eの整数アンダーフローの1件の脆弱性とiceのメモリリークの1件の脆弱性を、python-cryptographyはNULLポインタの逆参照の1件の脆弱性をそれぞれフィックスしています。
解決法
文書に従って更新を行ってください。

Ubuntu LinuxのLinux kernel (Azure), Linux kernel (Azure FIPS), openldap , nginxのセキュリティフィックス
影響を受ける製品
Ubuntu 25.04, 24.04 LTS (nginx). Ubuntu 22.04 LTS (Linux kernel (Azure), Linux kernel (Azure FIPS), nginx). Ubuntu 14.04 LTS (openldap).
詳細
Linux kernel (Azure)は160件の脆弱性を、Linux kernel (Azure FIPS)は170件の脆弱性を、openldapはDoS攻撃の3件の脆弱性を、nginxはngx_mail_smtp_moduleのメモリ漏洩の1件の脆弱性をそれぞれフィックスしています。
解決法
自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのffmpegのセキュリティフィックス
影響を受ける製品
stable (bookworm).
詳細
9件の脆弱性をフィックスしています。
解決法
自動更新エージェントを用いるか手動でアップグレードを行なってください。

Apple

 Macおよびこれに関連するアプリケーションに関する情報(iPhone/iPadを除く)。

Applications

 各種アプリケーションに関する情報。
 扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。

【2025/08/25 13:20】Amazonを騙る詐欺メールに関する注意喚起

2025年 8月25日にAmazonを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
13:15:29着信
From: Amazon.co.jp <Amazon.kaiyoute@dutts.net>
Subject: 【お知らせ】カード認証更新のお願い

リンク先は詐欺サイトが動作しています。
他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学の学生及び教職員の方で万が一、ID・パスワード、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。

【2025/08/25 13:20】えきねっとを騙る詐欺メールに関する注意喚起

2025年 8月25日にえきねっとを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
13:14:01着信
From: えきねっと <satochihiro94lover@mail-jcn.dnp-cdms.jp>
Subject: 【重要】 決済情報更新のお願い

リンク先は接続できますが、エラーとなります。
他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学の学生及び教職員の方で万が一、ID・パスワード、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。

【2025/08/25 13:20】JACCSカードを騙る詐欺メールに関する注意喚起

2025年 8月25日にJACCSカードを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
13:15:55着信
From: 株式会社ジャックス <inforjaccs-xxxx@skolyx.se>
Subject: 【株式会社ジャックスからのお知らせ】

リンク先は詐欺サイトが動作しています。

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学構成員の方で万が一、ID・パスワード、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。

【2025/08/25 10:30】DMM.com証券を騙る詐欺メールに関する注意喚起

2025年 8月25日にDMM.com証券を騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
10:29:48着信
From: DMM.com証券 <support-idpass@sec.dmm.com>
Subject: DMM FX 重要なお知らせ:システムメンテナンスとアカウント確認のお願い

リンク先は正規のサイトに接続されます。

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学構成員の方で万が一、ID・パスワード、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。

【2025/08/25 6:50】Appleを騙る詐欺メールに関する注意喚起

2025年 8月25日にAppleを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
05:05:31着信
05:20:39着信
06:42:06着信
From: "Apple" <no_reply@email.apple.com>
Subject: 【重要なお知らせ】アカウントのお支払い方法更新に関するお願い(2025/8/25)

リンク先は複数あり、全て詐欺サイトが動作しています。
No.2
14:51:35着信
From: "iCloud" <dIO8.applestore.updateservice.maildIO8@mag2letter.com>
Subject: お支払い情報を更新してiCloud+を引き続きご利用ください

リンク先は詐欺サイトが動作しています。

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学の学生及び教職員の方で万が一、ID・パスワード、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。

【2025/08/25 7:00】 JALを騙る詐欺メールに関する注意喚起

2025年 8月25日にJALを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
06:50:58着信
From: JALマイレージバンク <tj5h59@nfth.com>
Subject: JALマイレージバンク:マイル失効間近のご連絡

06:50:58着信
From: JALマイレージバンク <hr8hsiwccqj@qnyu.com>
Subject: 【JALマイレージバンク】マイル失効前の最終ご案内

リンク先は複数あり、全て詐欺サイトが動作しています。

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学の学生及び教職員の方で万が一、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。

【2025/08/25 6:00】 ANAを騙る詐欺メールに関する注意喚起

2024年 8月25日にANAを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
04:59:58着信
From: ANAマイレージクラブ事務局 <takahiro_kagoshima84_cool@oneill-every.lauralas.com>
Subject: マイル加算手続きのご案内

リンク先は詐欺サイトが動作しています。
No.2
05:50:29着信
From: ANAマイレージクラブ <klxn@rshh11.jczwkj.com>
Subject: ANAマイルの有効期限が近づいています!

リンク先は詐欺サイトが動作しています。

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学の学生及び教職員の方で万が一、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。

【2025/08/25 6:50】American Expressを騙る詐欺メールに関する注意喚起

2025年 8月25日にAmerican Expressを騙る詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
05:39:12着信
From: American Express <genji-mie84-lover@jmkajy.com>
Subject: カードのセキュリティ確認のお願い

06:44:30着信
From: American Express <American-Express.ohmichi@s423.panelbox.net>
Subject: カードのセキュリティ確認のお願い

リンク先は複数あり、接続できないものと、詐欺サイトが動作しているものがあります。

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
員の方で万が一、携帯電話番号、パスワード、クレジットカード番号等を送ってしまった方は至急情報基盤センターにご連絡ください。