-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
2025年11月12日:サイバーセキュリティ関連ニュース
マイクロソフト、2025年11月の月例パッチで悪用されているゼロデイ含む63件の脆弱性に対処:CVE-2025-62215ほか
BleepingComputer – November 11, 2025
マイクロソフトは2025年11月の月例セキュリティ更新プログラムにおいて、攻撃で悪用されているゼロデイCVE-2025-62215を含む63件の脆弱性に関するセキュリティアップデートをリリース。このうち4件は、深刻度が「Critical(緊急)」と評価されている。
CVE-2025-62215はWindowsカーネルにおける特権昇格の脆弱性で、CVSS 3.1スコアは7.0、深刻度は「Important(重要)」との評価。マイクロソフトによれば、このゼロデイを悪用するためには競合状態に勝つ必要があるものの、悪用が成功すれば攻撃者はSYSTEM権限を取得できるようになるという。脆弱性の発見者はマイクロソフトの脅威インテリジェンスセンター(MSTIC)およびセキュリティレスポンスセンター(MSRC)がクレジットされているが、どのような攻撃で悪用が観測されたのかなど、それ以上の情報は明かされていない。
また、今回の月例パッチで修正された脆弱性のうち、Critical評価のものは以下。
- CVE-2025-62199:Microsoft Officeにおけるリモートコード実行の脆弱性で、CVSS 3.1スコアは7.8。悪用のためには、ターゲットユーザーに悪意あるファイルを送付した上、ユーザー自身にそれを開くよう仕向ける必要があり、マイクロソフトは悪用される可能性は比較的低いと評価している。
- CVE-2025-30398:Nuance PowerScribe 360における情報開示の脆弱性で、CVSS 3.1スコアは8.1。Nuance PowerScribeにおける認可の欠如に起因する問題と説明されている。認証されていない攻撃者は、特定のエンドポイントへのAPIコールを作成することによりこの脆弱性を悪用することが可能で、その後、当該データを使ってサーバー上の機微な情報(PowerScribeの構成設定)へアクセスできるようになる恐れがあるとされる。マイクロソフトは悪用される可能性は比較的低いと評価している。
- CVE-2025-62214:Visual Studioにおけるリモートコード実行の脆弱性で、CVSS 3.1スコアは6.7。Visual Studioにおけるコマンドインジェクションの問題に起因するもので、権限を持つ攻撃者がこれを悪用した場合、ローカルでコードを実行できるようになるとされる。マイクロソフトは悪用される可能性は比較的低いと評価している。
- CVE-2025-60716:DirectX グラフィックスのカーネルにおける特権昇格の脆弱性で、CVSS 3.1スコアは7.0。Windows DirectXにおける使用済みメモリ解放の問題により、権限を持つ攻撃者が悪用した場合、ローカルでSYSTEM権限を取得できるようになると説明されている。ただし、悪用を成功させるためには競合状態に勝つことが求められる。マイクロソフトは悪用される可能性は比較的低いと評価している。
このほか、今月の月例パッチに関するさらなる情報はMSRCのページから確認できる。
SAP、SQL Anywhere モニタやSolution Managerの重大な脆弱性にパッチ:CVE-2025-42890、CVE-2025-42887
SecurityWeek – November 11, 2025
エンタープライズ向けソフトウェアメーカーのSAPは11月11日、2025年11月のセキュリティパッチの一環として、新旧計18件の最新セキュリティノートをリリース。今回修正された脆弱性には、CVSSスコアが10/10の脆弱性CVE-2025-42890も含まれる。
CVE-2025-42890は、SQL Anywhere モニタにおける安全でないキーおよびシークレット管理の脆弱性。SQL Anywhere モニタに存在するハードコードされた認証情報に起因する問題で、攻撃者が悪用を成功させた場合、任意のコードを実行されてシステムの機密性、完全性、可用性が脅かされる恐れがあるとされる。アプリケーションセキュリティ企業Onapsisによれば、今回のパッチはSQL Anywhere モニタを完全に削除するものであり、SAPは一時的なワークアラウンドとして、同モニタの使用を停止することと、同モニタのデータベースのあらゆるインスタンスを削除することを推奨しているという。
また11日には、Solution Managerに見つかったコードインジェクションの脆弱性CVE-2025-42887のパッチも展開された。CVSSスコアが9.9、深刻度が「Critical」と評価されるこの脆弱性は、リモート有効化機能モジュールがユーザー入力値をサニタイズしないことに起因する問題で、攻撃者に悪用されると悪意あるコードの挿入が可能になる恐れがある。
このほか、SAPは深刻度が「High」のCommonCryptoLibにおけるメモリ破損の脆弱性CVE-2025-42940などを修正したほか、2025年10月にリリースされたCVE-2025-42944のセキュリティノートを更新。NetWeaver AS Javaにおけるこの脆弱性に対する保護策を強化した。
これらの脆弱性のいずれに関しても、SAPは実際の攻撃での悪用には言及していない。ただ、SAP製品の脆弱性は脅威アクターに人気のターゲットであることから、ユーザーには可及的速やかにセキュリティノートを適用することが推奨される。
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
地政学レポート
インテリジェンス要件定義に関するガイドブック
ディープ&ダークウェブレポート
とは?.jpg)
