<<< JPCERT/CC WEEKLY REPORT 2025-09-25 >>>

■09/14(日)〜09/20(土) のセキュリティ関連情報

目　次

【1】NECのUNIVERGE IX／IX-R／IX-Vシリーズルータにクロスサイトスクリプティングの脆弱性

【2】Google Chromeに複数の脆弱性

【3】WatchGuardのFireboxに任意のコード実行につながる脆弱性

【4】複数のAtlassian製品に脆弱性

【5】Spring FrameworkおよびSpring Securityに認可バイパスの脆弱性

【6】アイ・オー・データの無線LANルーターに複数の脆弱性

【7】複数のMozilla製品に脆弱性

【8】複数のApple製品に脆弱性

【9】警察庁が「令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開

【10】SonicWallがクラウドバックアップサービスに関連するインシデントの情報を公表

【11】JPCERT/CCが「解説：脆弱性関連情報取扱制度の運用と今後の課題について（後編）-脆弱性悪用情報のハンドリングと今後の課題-」を公開

【12】フィッシング対策協議会が「送信ドメイン認証技術導入実施状況について -ISP、CATV、モバイル事業者、フリーメール事業者における導入・設定状況-」を公開

【1】NECのUNIVERGE IX／IX-R／IX-Vシリーズルータにクロスサイトスクリプティングの脆弱性

情報源

https://jvn.jp/jp/JVN95938761/

概要

日本電気株式会社（NEC）が提供するUNIVERGE IX／IX-R／IX-Vシリーズルータには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書

https://jpn.nec.com/security-info/secinfo/nv25-005.html

【2】Google Chromeに複数の脆弱性

情報源

https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_17.html

概要

Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。なお、Googleは、今回修正した一部の脆弱性について、エクスプロイトの存在を確認しているとのことです。詳細は、開発者が提供する情報を参照してください。

【3】WatchGuardのFireboxに任意のコード実行につながる脆弱性

情報源

https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00015

概要

WatchGuardが提供するFireboxには、任意のコード実行につながる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】複数のAtlassian製品に脆弱性

情報源

https://confluence.atlassian.com/security/security-bulletin-september-16-2025-1627098357.html

概要

複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】Spring FrameworkおよびSpring Securityに認可バイパスの脆弱性

情報源

https://spring.io/security/cve-2025-41248

概要

Spring FrameworkおよびSpring Securityには、特定のアノテーションを用いている場合に認可処理がバイパスされる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書

https://spring.io/security/cve-2025-41249

【6】アイ・オー・データの無線LANルーターに複数の脆弱性

情報源

https://jvn.jp/vu/JVNVU97490987/

概要

株式会社アイ・オー・データ機器が提供する無線LANルーターには、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書

https://www.iodata.jp/support/information/2025/09_wn-7d36qr/index.htm

【7】複数のMozilla製品に脆弱性

情報源

https://www.mozilla.org/en-US/security/advisories/mfsa2025-73/

概要

複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Focus for iOS、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書

https://www.mozilla.org/en-US/security/advisories/mfsa2025-74/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-75/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-76/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-77/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-78/

【8】複数のApple製品に脆弱性

情報源

https://support.apple.com/ja-jp/125108

概要

複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。今回、iOSおよびiPadOS 15系、16系に向けて、すでに悪用が確認されている脆弱性（CVE-2025-43300）の修正も提供されています。詳細は、開発者が提供する情報を参照してください。

関連文書

https://support.apple.com/ja-jp/125109

https://support.apple.com/ja-jp/125110

https://support.apple.com/ja-jp/125111

https://support.apple.com/ja-jp/125112

https://support.apple.com/ja-jp/125113

https://support.apple.com/ja-jp/125114

https://support.apple.com/ja-jp/125115

https://support.apple.com/ja-jp/125116

https://support.apple.com/ja-jp/125117

https://support.apple.com/ja-jp/125141

https://support.apple.com/ja-jp/125142

【9】警察庁が「令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開

情報源

https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf

概要

警察庁は「令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開しました。この文書では、令和7年上半期におけるサイバー攻撃やサイバー犯罪の情勢および警察の取り組みについてまとめられています。

【10】SonicWallがクラウドバックアップサービスに関連するインシデントの情報を公表

情報源

https://www.sonicwall.com/support/knowledge-base/mysonicwall-cloud-backup-file-incident/250915160910330

概要

SonicWallは、同社が運営するポータルサイト「MySonicWall」に保存されているファイアウォールの設定ファイルに第三者がアクセスしたとの情報を公表しました。SonicWallによると、クラウドバックアップ機能を有効にしている製品が本件の影響を受ける可能性があるとのことです。SonicWallは、MySonicWallにログインし、影響を受けたシリアル番号がリストされているかどうかの確認をユーザーに推奨しています。影響を受ける場合は、資格情報のリセットなど対処が必要です。詳細は、SonicWallが提供する情報を参照してください。

【11】JPCERT/CCが「解説：脆弱性関連情報取扱制度の運用と今後の課題について（後編）-脆弱性悪用情報のハンドリングと今後の課題-」を公開

情報源

https://blogs.jpcert.or.jp/ja/2025/09/handling_vul_info_2.html

概要

JPCERT/CCは、「脆弱性関連情報取扱制度の運用と今後の課題について（後編）-脆弱性悪用情報のハンドリングと今後の課題-」を公開しました。本記事（後編）では、脆弱性がすでに悪用されている、あるいは悪用の蓋然性が高まっている状況における対処オペレーションについて、JPCERT/CCとしての視点から解説しています。

【12】フィッシング対策協議会が「送信ドメイン認証技術導入実施状況について -ISP、CATV、モバイル事業者、フリーメール事業者における導入・設定状況-」を公開

情報源

https://www.antiphishing.jp/report/wg/cert_20250916.html

概要

フィッシング対策協議会の証明書普及促進ワーキンググループが「送信ドメイン認証技術導入実施状況について -ISP、CATV、モバイル事業者、フリーメール事業者における導入・設定状況-」を公開しました。本報告書では、一般財団法人日本データ通信協会の迷惑メール相談センターが実施した「送信ドメイン認証実施状況」の2023年ならびに2024年の調査結果をもとに、SPF／DKIM／DMARC／BIMIの導入率を集計した結果が示されています。

■JPCERT/CCからのお願い