-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
2025年4月第5週:Flashpointの脆弱性分析・優先順位付けに関するウィークリーレポート
脆弱性を予測し、状況を把握して優先順位を付けることで、組織に対する脅威に効果的に対処できます。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のウィークリーレポートを翻訳したものです。
VulnDBは、詳細に文書化した脆弱性の件数が40万件を超えるという大きな節目を迎えました。このことは企業や組織にとって重要な意味を持ちます。なぜなら、Verizon 2025 DBIRの最新調査によると脆弱性の悪用は増加傾向にあり、2024年に起きたデータ侵害全体の20%で初期アクセスベクターとして使われていたからです。したがって、セキュリティチームが脆弱性インテリジェンスの全体像を把握することはこれまで以上に求められています。
しかし企業や組織が共通脆弱性識別子(CVE)プログラムのみに依存すると、不完全な脆弱性データの増加やコンプライアンス報告の中断、そして組織的な情報開示やベンダーによるパッチのリリースの遅延に翻弄されることにつながります。
本ウィークリーレポートは、Flashpointのインテリジェンスチームが毎週収集している最も重大で優先度の高い脆弱性の詳しい調査結果です。これらの脆弱性に注目する理由を解説した上で、より効果的な対策を講じる際の優先順位付けを速やかに行えるような分析を提供します。本レポートを活用することでセキュリティチームはインテリジェンス主導のアプローチを導入し、攻撃対象領域(アタックサーフェス)における緊急性の高い脆弱性に適宜対応できるようになります。
目次
[開く][閉じる]- CVE-2025-31324
- CVE-2025-42599
- CVE-2025-32445
- VulnDB ID: 400516
- CVE-2025-22372
主な脆弱性:2025年4月第5週
優先順位付けの出発点
Flashpointが今週公開した脆弱性のうち、すぐに対処可能な脆弱性は138件を数えます。それぞれの脆弱性には解決策と公開済みのエクスプロイトが存在し、リモートで悪用できる状態になっています。だからこそ、これらの脆弱性は優先順位付けの取り組みを始める出発点として理想的なのです。
画像1:先週公開された脆弱性のうち、エクスプロイトがリリース済みで解決策もあり、なおかつリモートで悪用可能な脆弱性の数(画像入手元:Flashpoint)
さらに詳しく調査 – 緊急性の高い脆弱性
Flashpointが先週公開した脆弱性のうち、今週の脆弱性分析・優先順位付けに関するウィークリーレポートでは以下の5件が取り上げられています。その根拠は次の通りです。
- 広く使用されている製品に存在し、企業に影響を及ぼす可能性がある
- 実際に悪用されている、あるいはエクスプロイトが利用可能
- システム全体が侵害される可能性がある
- ネットワークを介して単体で、あるいはほかの脆弱性と組み合わせて悪用される可能性がある
- 対処するための解決策がある
さらに、これらの脆弱性はすべて簡単に発見できるため、ただちに調査して修正する必要があります。
これらの脆弱性にプロアクティブな姿勢で対処し、公開済みのソースにとどまらない包括的なカバレッジを確保するために、Flashpointの脆弱性インテリジェンスをご活用ください。ITやOT、IoT、CoT、さらにオープンソースのライブラリと依存関係を網羅する包括的なカバレッジを提供するFlashpointは、NVDに含まれていない、あるいはCVE IDのない脆弱性を10万件以上カタログ化し、一般に利用可能なソースを超える包括的なカバレッジを確保しています。なお、NVDでカバーされていない脆弱性はCVE IDが割り当てられていないため、VulnDBのIDによって言及されます。
| CVE ID | 説明 | CVSS スコア(v2、v3、v4) | エクスプロイトのステータス | エクスプロイトの結果 | ランサムウェア攻撃で利用される可能性 | ソーシャルリスク評価 | 解決策の有無 |
| CVE-2025-31324 | SAP NetWeaver Visual Composerのメタデータアップローダーにおける不適切な認証によるファイルのアップロード | 10.0 10.0 10.0 | 悪用されている | リモートコード実行 | 中 | 高 | あり |
| CVE-2025-42599 | Active! Mailのリクエスト処理時にリモートでスタックベースのバッファオーバーフローを引き起こす脆弱性 | 10.0 9.8 9.3 | 悪用されている | サービス拒否または任意コード実行 | 高 | 高 | あり |
| CVE-2025-32445 | Argo Eventsにおいてプロパティ追加権限が適切に管理されていないために発生するリモート権限昇格の脆弱性 | 9.0 9.9 9.4 | 公開されている | 特権アクセス取得 | 極めて高い | 低 | あり |
| VulnDB ID: 400516 | ManageEngine OpManagerにおいて検索ログを介して提供されるパストラバーサル型攻撃に起因する脆弱性 | 10.0 9.8 9.3 | 公開されていない | 予期せぬ影響 | 極めて高い | 未評価 | あり |
| CVE-2025-22372 | Sicomm BASECにおいて認証情報が十分に保護されていない場合にパスワードを開示する詳細不明の脆弱性 | 5.0 10.0 9.3 | 公開されていない | リモートでのパスワード開示 | 中 | 低 | なし |
評価:2025年4月30日時点
注:脆弱性の深刻度を表すスコアは、新たな情報が反映されたことで変動する可能性があります。Flashpointでは最新かつ関連性の高い入手可能な情報を使って脆弱性データベースを維持しています。より多くの脆弱性に関するメタデータを確認し、最新の情報を入手するにはログインしてください。
CVSSスコア:当社アナリストは入手可能な新しい情報を基に、NVDが評価したCVSSスコアを計算し、必要に応じて調整しています。
ソーシャルリスク評価:Flashpointでは脆弱性がソーシャルメディアでどの程度注目されているかを推定し、評価しています。言及や議論が増えるとソーシャルリスク評価も上がり、悪用される可能性が高くなります。この評価には投稿量や投稿者などの要素が考慮されており、脆弱性の関連性が低くなれば評価は下がります。
ランサムウェア攻撃で利用される可能性:この評価では、ある脆弱性とランサムウェア攻撃での使用が確認された脆弱性との類似性を推定します。当社が脆弱性に関する新たな情報(悪用方法、影響を受けるテクノロジーなど)を入手し、さらにランサムウェア攻撃に使われる脆弱性が追加で発見されると、この評価も変動することがあります。
Flashpoint Igniteでは各要素が視認性の高いレイアウトにまとめられており、例えばCVE-2025-31324の脆弱性に関するレコードは以下のような形で参照することができます。
このレコードでは影響を受ける製品のバージョン、MITRE ATT&CKのマッピング、アナリストのメモ、解決策の説明、分類、脆弱性のタイムラインとエクスポージャー指標、エクスプロイトに関する参考情報など追加のメタデータが提供されています。
注目すべき脆弱性に対するアナリストのコメント
ここでは、組織が危険にさらされた際に重点的に対応すべき脆弱性について、すでに話題に上がった5つの脆弱性を例にFlashpointのアナリストが説明します。
CVE-2025-31324
この欠陥はSAP NetWeaverのVisual Composer開発サーバーのメタデータアップローダー内に存在し、認証メカニズムが適切に実装されていない場合に引き起こされます。/development server/metadatauploaderエンドポイントへの特別に細工されたリクエストにより、リモート攻撃者が任意のファイルをj2ee/cluster/apps/sap[.]com/irj/servletjsp/irj/root/ディレクトリにアップロードし、任意のコード実行をリクエストできます。当該ベンダーは定例外(OOB)リリースでパッチを公開しました。この問題を修正する既知の回避策やアップグレードはありません。4月22日現在、この脆弱性を悪用した事例が報告されています。
CVE-2025-42599
Active! mailには特定の入力値が適切に検証されていない場合に詳細不明のオーバーフロー状態を引き起こす脆弱性が存在します。リモート攻撃者は特別に作成したリクエストを送信することでスタックベースのバッファオーバーフローを引き起こすことができるため、サービス拒否や任意のコード実行を可能にします。4月15日現在、この脆弱性を悪用した事例が報告されています。
CVE-2025-32445
Argo Eventsには、コンテナにプロパティを追加する権限が適切に管理されていないために発生する脆弱性が存在します。これにより、認証されたリモート攻撃者にホストシステムおよびクラスタへの特権アクセスを取得されることがあります。少なくとも「EventSourceおよびSensorのカスタムリソースの作成/変更」権限を持つ攻撃者は、この脆弱性を悪用する可能性があります。
VulnDB ID: 400516
ManageEngine OpManagerには、制限されたパスの外側へのトラバースを許す脆弱性が存在します。この問題はプログラムが入力値を適切にサニタイズしていないこと、具体的には検索ログを介して提供されるパストラバーサル型の攻撃(例: 「../」)に起因し、リモート攻撃によって予期せぬ影響を受ける可能性があります。「ディレクトリトラバーサル」とも呼ばれるパストラバーサルの脆弱性は深刻な結果をもたらす恐れがあり、機微データへの不正アクセス、システムの侵害、さらにはリモートコード実行につながる危険性があります。攻撃者はこれらの脆弱性を悪用することで、Webアプリケーションの本来のスコープ外にあるファイルやディレクトリの読み取り、書き込み、変更または削除を行うことができます。この種の脆弱性は通常、ランサムウェア攻撃の重大なリスクを伴います。
CVE-2025-22372
Sicomm BASECには詳細不明の脆弱性が存在します。認証情報が十分に保護されていない場合に発生するこの脆弱性により、リモートの攻撃者に平文のパスワードを開示される危険性があります。研究者はこれ以上の詳細を明らかにしていません。この欠陥を悪用すると、攻撃者が開示されたパスワードを使って認証可能になるという直接的な影響が生じます。この問題に対処する正規のパッチはリリースされていません。Flashpointのアナリストは、パスワード保存メカニズムの見直しと修正、認証情報への強力な一方向暗号ハッシュの実装、すべての管理者権限の制限と監視を推奨しています。
Flashpoint, VulnDBについて
Flashpointは、Deep & DarkWeb(DDW)に特化した検索・分析ツールです。ダークウェブ等の不法コミュニティで、どのようなPoCやエクスプロイトが議論・取引されているか等をモニタリングできます。また、Flashpointの一機能として利用できるVulnDBは、CVE/NVDデータベースにない脆弱性情報や各脆弱性のメタデータを豊富に含んだ脆弱性データベースです。
日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。
FlashpointやVulnDBについて詳しくは、以下のフォームからお問い合わせください。
