「CVSS」関連の最新 ニュース・レビュー・解説 記事 まとめ

セキュリティニュースアラート：
Outlookに「保護されたビュー」を回避する重大欠陥　PoC公開済み
Microsoft Outlookに存在する深刻な脆弱性「CVE-2024-21413」（MonikerLink）のPoCコードが公開された。この欠陥は認証情報の漏えいや任意コード実行に至る恐れがあり、早急な対策が求められる。（2025/12/3）

セキュリティニュースアラート：
md-to-pdfにCVSSスコア10.0の脆弱性　急ぎアップデートを
MarkdownからPDFを生成するコマンドラインツール「md-to-pdf」において、CVSSスコア10.0の脆弱性が見つかった。急ぎ対応が求められる。（2025/11/26）

「ソフトウェアサプライチェーンの不具合」は3位に上昇：
Webアプリの10大リスク2025年版　3ランク上昇の「設定ミス」を抑えた1位は？
4年ぶりの「OWASP Top 10 2025」が公開された。できる限り「症状」ではなく「根本原因」に焦点を当てるように刷新したという。（2025/11/25）

セキュリティニュースアラート：
pgAdmin4にCVSS9.1のRCE脆弱性　緊急更新を推奨
pgAdmin4のサーバモードにおけるPLAIN形式ダンプのリストア処理に深刻なRCE脆弱性が確認されている。開発側は修正版9.10を公開し、早急な更新が求められる。（2025/11/18）

セキュリティニュースアラート：
FortiWebに「管理コマンド実行」の重大脆弱性　緊急対応を
FortinetはFortiWebに相対パストラバーサル脆弱性が存在し、管理GUI経由で管理権限操作に到達され得ると発表した。既に悪用も確認されており、早急な対応が求められる。（2025/11/18）

セキュリティニュースアラート：
GitHub CopilotとVS Codeに脆弱性　速やかなアップデートを
MicrosoftはGitHub CopilotとVisual Studioに関する2件の脆弱性を公開した。これらはローカル環境の認証済み利用者による操作を前提とし、セキュリティ機能のバイパスにつながる。ユーザーは速やかに更新プログラムの適用が望まれる。（2025/11/15）

セキュリティニュースアラート：
Cisco ISEとCitrix製品に未公開のゼロデイ脆弱性　攻撃者が既に悪用
AmazonはCisco ISEとCitrix製品の未公開ゼロデイ脆弱性が高度な攻撃者によって悪用されていた事実を明らかにした。攻撃者は修正前から欠陥を突いていたとされる。重要インフラへの脅威が増大しており、多層防御強化が求められている。（2025/11/15）

セキュリティニュースアラート：
Webアプリケーションで最も高いリスクとは？　OWASP Top 10に新項目がランクイン
OWASPはWebアプリケーションのセキュリティリスクのうち重大なものをリスト化した「OWASP Top 10 2025」を公開した。2025年版のリストでは、幾つかの新たな項目がランクインしている。（2025/11/13）

セキュリティニュースアラート：
WSUS脆弱性対応パッチが「再起動不要」のHotpatch機能を無効化
2025年10月配信の更新プログラムKB5070881は、WSUSの脆弱性（CVE-2025-59287）に対応する緊急修正だが、一部のWindows Server 2025でHotpatch登録状態を損なう不具合を発生させた。Microsoftは修正版KB5070893を2025年10月24日に提供している。（2025/11/6）

セキュリティニュースアラート：
Docker ComposeにCVSS 8.9の高リスク　更新を
Docker Composeに、リモートのOCIアーティファクト処理時のパス検証不備による深刻な脆弱性が報告された。攻撃者による任意ファイル上書きが可能であり、CVSS 8.9（High）と評価されている。修正版への更新が推奨されている。（2025/10/31）

セキュリティニュースアラート：
WSUSの深刻な脆弱性を悪用した攻撃が急拡大　2800超のサーバが危険に
WSUSに存在する脆弱性が悪用され、リモートコード実行が可能となる攻撃が発生している。PoC公開後に攻撃が拡大している中、多数のサーバが未修正のまま稼働しており、早急なパッチ適用とアクセス制御が求められている。（2025/10/29）

セキュリティニュースアラート：
BIND 9リゾルバに深刻なキャッシュポイズニングの脆弱性　70万件超が影響
CensysはBIND 9リゾルバにキャッシュポイズニング攻撃の脆弱性があると公表した。偽応答を注入し、キャッシュを汚染することでユーザーを不正なWebサイトに誘導できる。影響を受ける脆弱なBIND 9リゾルバは世界で70万6477件確認されている。（2025/10/28）

セキュリティニュースアラート：
LANSCOPEエンドポイントマネージャーオンプレミス版に脆弱性　悪用も確認
エムオーテックスはLANSCOPEエンドポイントマネジャーオンプレミス版における深刻な脆弱性CVE-2025-61932を公表した。修正版を公開し、全クライアントPCの更新を推奨している。（2025/10/25）

通信系アプリに46件の“認証不要攻撃”リスク
「MySQL」も対象　Oracleが374件の脆弱性を修正するセキュリティパッチを配布
Oracleは同社製品のセキュリティアップデート「Critical Patch Update - October 2025」を発表した。攻撃者が公開済みの脆弱性を悪用しようとする動きがあり、同社は「速やかにパッチを適用してほしい」と警告する。（2025/10/23）

セキュリティニュースアラート：
WSUSにCVSS 9.8の脆弱性　PoCコード公開済みのため要注意
HawkTrace Securityは、WSUSの「GetCookie」処理に存在する脆弱性CVE-2025-59287を解析し、PoCを公開した。この脆弱性はRCEが可能でCVSS 9.8の重大欠陥とされている。（2025/10/22）

週末の「気になるニュース」一気読み！：
ChatGPTの機能を大幅に緩和する方針を明らかに／Microsoftが月例のセキュリティ更新プログラムをリリース
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、10月12日週を中心に公開された主なニュースを一気にチェックしましょう！（2025/10/19）

IPAも更新を呼び掛け：
Microsoft、2025年10月の月例セキュリティ更新プログラムを公開　Windows 10サポート終了も発表
既に悪用が確認されている脆弱性やCVSS基本値9.8以上の高リスクな脆弱性の更新が含まれており、企業ユーザーには早急な適用が推奨される。（2025/10/16）

セキュリティニュースアラート：
7-Zipにリモートコード実行可能な2件の脆弱性　早急なアップデートを
ファイル圧縮ソフト「7-Zip」で、ZIPファイル中のシンボリックリンク処理の不備に起因する2件の深刻な脆弱性が報告された。任意コードの実行につながる恐れがあり、迅速なアップデートが推奨されている。（2025/10/15）

セキュリティニュースアラート：
CrowdStrike Falcon Sensorに複数の脆弱性　急ぎアップデートを
CrowdStrikeはWindows版Falcon Sensorの2件の脆弱性を修正した。いずれも攻撃者がコード実行権限を持つ場合に任意のファイル削除が可能となる。急ぎ修正版への更新が推奨されている。（2025/10/11）

こうしす！　こちら京姫鉄道 広報部システム課 ＠IT支線（53）：
脆弱性を速やかに公表しない輩は、わたくしが成敗いたしますわ！
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」の＠ITバージョン。第53列車は「脆弱性を発見したときの対処法 続編」です。※このマンガはフィクションです。（2025/10/9）

Unityに脆弱性、任意コード実行の恐れ　Windows、Android、macOS、Linux向けゲームとアプリに影響、SteamやMicrosoftも対処
米Unity Technologiesがゲームエンジン「Unity」に重大な脆弱性（CVE-2025-59489）を確認したと発表した。「Unity 2017.1」以降のバージョンでビルドされたWindows、Android、macOS、Linux向けの全ゲームとアプリケーションに影響するといい、PCゲーム配信プラットフォーム「Steam」を手掛ける米Valveといった国内外のゲーム・アプリ関連事業者が対応に動いている。（2025/10/7）

通知メール操作、ブルートフォース攻撃、不正アクセスの可能性：
VMware vCenter/NSXに重大な脆弱性、Broadcomが修正版を公開
影響はVMware Cloud FoundationやTelco Cloudにも。（2025/10/1）

セキュリティニュースアラート：
最新版Chrome公開　V8エンジンに関連した複数の脆弱性に対処
GoogleはChromeの安定版を更新し、V8エンジンに関する3件の重大な脆弱性を修正した。情報漏えいや任意コード実行の恐れがあり、ユーザーには早期の更新適用が推奨されている。（2025/9/26）

セキュリティニュースアラート：
2025年ゼロデイ脆弱性の悪用最新動向　複数製品で見つかったリスク
Cybersecurity Newsは2025年に報告された主要なゼロデイ脆弱性の悪用状況を分析した。GoogleやMicrosoft製品、Citrix NetScalerといったインフラ製品などに悪用が進む脆弱性が見つかっている。（2025/9/25）

週末の「気になるニュース」一気読み！：
「Google Chrome」に致命的な脆弱性　修正版が展開中／経産省が脆弱性関連情報の取り扱いに関して声明を発表
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、9月7日週を中心に公開された主なニュースを一気にチェックしましょう！（2025/9/14）

CVEスコア9.8の脆弱性も：
Windows 10/11、Office、Azureなどに影響　Microsoftが2025年9月の月例セキュリティ更新プログラムを公開
Microsoftは、2025年9月の月例セキュリティ更新プログラムを公開した。WindowsやOffice、Azureなど広範囲の製品に影響し、認証不要で悪用可能な深刻度「緊急」の脆弱性も含まれる。（2025/9/11）

継続的デリバリーツール「Argo CD」に深刻な脆弱性、APIトークン経由で認証情報流出の恐れ
継続的デリバリーツール「Argo CD」において、プロジェクト権限を持つAPIトークン経由でリポジトリ認証情報が漏えいする脆弱性（CVE-2025-55190）が報告された。CVSSスコアは9.9（Critical）で、修正版へのアップデートが推奨されている。（2025/9/5）

セキュリティニュースアラート：
回避策・緩和策「なし」　攻撃者が大好きなNetScalerにゼロデイ脆弱性
CitrixはCitrix NetScaler ADCおよびGatewayで3件の深刻な脆弱性を公表した。これらの中でもCVE-2025-7775は悪用事例が確認され、更新が急務となっている。（2025/8/29）

生成AIを巡るリスクと対処法【前編】
生成AIで「情報漏えい」や「罰金」も　最悪の事態を招きかねない6つのリスク
企業での生成AIツール活用が広がる中、そのリスクを認識せずに使い続けると、機密情報流出や法律違反といった思いがけない問題に発展する恐れがある。安全な生成AI利用のために知っておきたい「6つのリスク」とは。（2025/8/26）

セキュリティニュースアラート：
「iOS」「iPadOS」「macOS」を標的にしたゼロデイ脆弱性　画像を用意するだけで悪用可能
AppleはImageIOに存在する境界外書き込み脆弱性「CVE-2025-43300」への対策としてiOSやiPadOS、macOSにセキュリティアップデートを公開した。多数のApple製品が対象となっており、ユーザーは速やかに更新することが望まれている。（2025/8/23）

セキュリティニュースアラート：
PostgreSQLのpgdumpに3つの脆弱性　全バージョンに影響
PostgreSQLプロジェクトは「PostgreSQL」の全サポートバージョンに影響を及ぼす複数の深刻な脆弱性を公開した。これらを悪用されると、悪質なプログラムが実行されたり、SQLインジェクション攻撃を実行されたりするリスクがある。（2025/8/20）

週末の「気になるニュース」一気読み！：
Perplexity AIが「Chrome ブラウザ」の買収を提案　5兆円超で／米xAIのAIモデル「Grok 4」がグローバルで無償利用可能に
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、8月10日週を中心に公開された主なニュースを一気にチェックしましょう！（2025/8/17）

セキュリティニュースアラート：
GitHub Copilotに潜むリモートコード実行脆弱性　「CVE-2025-53773」の実態
GitHub CopilotにプロンプトインジェクションによるRCE脆弱性「CVE-2025-53773」が発見された。開発者端末を完全に制御可能にするこの脆弱性は、Copilotが自動で設定を変更する「YOLOモード」を悪用する。（2025/8/15）

Windowsのグラフィックス描画に関わる主要なコンポーネントが対象：
認証やユーザー操作なしで悪用できる脆弱性対応を含む　Microsoftが2025年8月セキュリティ更新プログラムを公開
Microsoftは2025年8月の月例セキュリティ更新プログラムを公開した。CVSS基本値が9.8の脆弱性対応が含まれているため早急な対応が必要だ。（2025/8/15）

セキュリティニュースアラート：
BitLockerを完全回避する4つのゼロデイが見つかる　Microsoftが発表
MicrosoftはBlack Hat USA 2025で、WinREの設計変更を悪用し、BitLockerを回避する4件のゼロデイ脆弱性を公開した。物理アクセスで認証不要の攻撃が可能とされている。（2025/8/14）

セキュリティニュースアラート：
Windowsに重大なDoS／DDoSを可能にする4件の脆弱性　急ぎ対処を
SafeBreachは、Windowsに存在する認証不要のDoS／DDoSの脆弱性4件と、これを悪用した新手法「Win-DoS」「Win-DDoS」を公表した。攻撃者は内部／外部ネットワークからリソースを枯渇させ、サーバをクラッシュさせることが可能になる。（2025/8/14）

セキュリティニュースアラート：
100機種超に影響　Dell製ノートPCに複数の重大な脆弱性
Cisco TalosはDell製ノートPCに搭載されているファームウェアおよびAPIに5件の深刻な脆弱性があると発表した。これらの脆弱性は「ReVault」と名付けられており、100機種以上に影響を与えるとされており注意が必要だ。（2025/8/8）

「2025年版 DevSecOps調査レポート」を発表
「CVSSで緊急」でも優先対応すべきは“わずか18％”――Datadogが調査
セキュリティと開発・運用を一体化する「DevSecOps」の実践が急務となる中、DatadogがDevSecOpsに関する2025年版レポートを発表。同社の分析から見えた実態と、脆弱性対応を見直す鍵とは何か。（2025/8/5）

Datadog「2025年版DevSecOps調査レポート」：
Javaアプリは脆弱性の割合が特に高い──Datadogが「2025年版DevSecOps調査レポート」を発表
Datadogは「2025年版DevSecOps調査レポート」を発表した。本レポートによると、緊急対応が本当に必要な脆弱性はごく一部に限られることや、他のプログラミング言語と比較してJavaアプリケーションに脆弱性が多いことなどが明らかになった。（2025/7/31）

「Citrix Bleed」と同等の危険性
「NetScaler ADC」「NetScaler Gateway」の新しい脆弱性で“あの悪夢”再びか
Citrix Systemsのネットワーク機器に危険な脆弱性が見つかった。セキュリティ専門家によると、Boeingも被害を受けた脆弱性「Citrix Bleed」と同等の危険性を持つ。その脅威の正体とは。（2025/7/29）

セキュリティニュースアラート：
TP-Link製NVRとルーターに深刻な脆弱性　サポート終了製品も含まれるため要注意
TP-LinkのNVRおよびルーターに深刻な脆弱性が確認された。NVRはOSコマンドインジェクションによって不正に制御される恐れがあり、ルーターにはクリックジャッキングの脆弱性が存在する。後者はサポート終了により使用中止が推奨されている。（2025/7/28）

サードパーティーという代替策もあるが……
「VMware旧ライセンス」ユーザーに届いた“最後通告”が波紋を呼ぶ
Broadcomは、VMwareのサポート期限切れの永久ライセンスを保有する顧客企業に対し、VMware製品の利用停止を求める書簡を送付した。その中身が波紋を呼んでいる。（2025/7/28）

セキュリティニュースアラート：
セキュリティ強化のつもりが逆効果　人気WordPressプラグインに深刻な脆弱性
WordPressの「Malcure Malware Scanner」プラグインに任意のファイルを削除する脆弱性が見つかった。認証済みの低権限ユーザーでもファイル削除が可能となり、リモートコード実行などのリスクがある。現時点で修正パッチは提供されていない。（2025/7/18）

セキュリティニュースアラート：
中国製IPカメラにCVSS 10.0の脆弱性　ベンダーは“音信不通”
中国製のIPカメラに、デフォルトで無効化不能なTelnetサービスが存在し、rootアクセスが可能となる重大な脆弱性が見つかった。CVSS 10.0の脆弱性とされているが、ベンダーへの連絡手段は存在せず、修正方法も公開されていないという。（2025/7/16）

増え続ける脆弱性とどう向き合うか：
脆弱性管理の「もやもや」を解消するポイントとは？　識者や担当者の議論に学ぶ、脆弱性管理体制構築のヒント
2024年11月に開催されたInternet Week 2024では「脆弱性管理は必要不可欠だけど、どう進めればいいか分からない」という課題をテーマに、講演者や参加者同士で議論するBoFが開催された。（2025/7/15）

“真のクラウド活用”を軌道に乗せる：
PR：「クラウドは人類には早過ぎた」　辻伸弘氏×気鋭エンジニアが語る、リスクの本質
日本を覆う閉塞（へいそく）感は、ITの力で打ち破れるはずだ。しかし、クラウドやAIなどによって高度化するITの最前線を追い掛け続けることは容易ではない。脅威からビジネスを守りつつ“攻め”に転じるのも一筋縄ではいかないのが現実だ。企業は「サイバーセキュリティ」を味方に付けられるのか。若手エンジニアが、企業の現在地とセキュリティの最前線を知る有識者を取材する。（2025/7/15）

Microsoftが脆弱性を修正
Windowsユーザーを危険にさらす「重大な欠陥」の悪用シナリオと深刻度
Microsoftの主力製品に影響する脆弱性が見つかり、同社はパッチを公開した。システムを守るために知っておきたい、脆弱性情報をまとめた。（2025/7/14）

週末の「気になるニュース」一気読み！：
xAIが最新AIモデル「Grok 4」を発表／Bluetoothメッシュネットワークを使ったアプリ「bitchat」公開
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、7月6日週を中心に公開された主なニュースを一気にチェックしましょう！（2025/7/13）

セキュリティニュースアラート：
FortiWebにSQLインジェクションの脆弱性　CVSS 9.6でアップデート推奨
Fortinetは、FortiWebにSQLインジェクションの深刻な脆弱性「CVE-2025-25257」が存在すると公表した。CVSSスコアは9.6で緊急と評価されており、対象バージョンにはパッチ適用が強く推奨されている。（2025/7/11）

継続的な取り組みには文書化も不可欠：
普通の組織で「脆弱性管理」を始めるには？　日本シーサート協議会WGが解説する4つのステップ
サイバー攻撃は事業継続を脅かす経営課題となって久しい。サイバー攻撃の被害を招く主要な原因の一つにあるのが、対策可能なはずの「既知の脆弱性」だ。では、普通の組織は既知の脆弱性管理をどう始めればよいのか。日本シーサート協議会の脆弱性管理WGが「Internet Week 2024」で、脆弱性管理を始めるための4つのステップを解説した。（2025/7/11）