JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は10月8日、週次のセキュリティ関連情報をまとめるWeekly Report 2025-10-08号を発行した。企業や組織のシステム管理者を対象に公開された脆弱性情報の中から対策、パッチ情報やバージョンアップ情報なども含んだサマリーを提供するものだ。
JVNVU#93161789は、WebサーバにおけるSSL/TLS実装など広くインターネットで利用されているオープンソースの暗号ライブラリOpenSSLにおける複数の脆弱性。CVE-2025-9230、CVE-2025-9231、CVE-2025-9232の3つの脆弱性で現地時間9月30日にアドバイザリーが公開されている。
CVE-2025-9230は、暗号化・署名データの構造化フォーマットCMS(Cryptographic Message Syntax)メッセージを復号する際にバッファ外のメモリの読み書きを行ってしまうというもので、悪意あるコードの実行可能性がある。RFC 3211で規定されるKEK Unwrapを使用する際に限られ、パスワードベースの方式PWRI(Password Recipient Info)は、ほとんど利用されていないためOpenSSL Projectでは深刻度、中程度(Severity: Moderate)と評価する。
CVE-2025-9231は、64ビットARM上のSM2署名処理におけるタイミングサイドチャネル攻撃の脆弱性で、タイミングサイドチャネルは、暗号処理時間を精密に測定することで鍵の一部を推測するもの。SM2は、中国の国家暗号標準アルゴリズムとしても利用されるものでOpenSSLのTLSでは直接サポートしていないが、カスタムプロバイダを介した証明書の追加は可能になるとしている。SM2は、同じく深刻度は中程度。
CVE-2025-9232は、OpenSSL 3.x以降で追加されたOpenSSLのHTTPクライアントAPIにおける境界外読み取り(Out-of-Bounds Read)の脆弱性、no_proxy環境変数を設定するPv6アドレスの処理でクラッシュするというもので深刻度は、低(Low)。
また、Node.jsのパッケージ管理システムnpmで起こったマルウェア「Shai-Hulud」によるサプライチェーン攻撃について、米ソフトウェアサプライチェーンセキュリティ企業Socketの関連文書を示し注意を促す。
npm install --ignore-scripts
を使ってスクリプトの実行を防ぐ等のいくつかの防御策、軽減策を示している。またGitHubは、開発者向けにアドバイザリー(公式ブログ/現地時間9月22日)を発している。
そのほか、Mozilla、Google Chrome、Apple製品の脆弱性など詳細は「JPCERT/CC WEEKLY REPORT 2025-10-08」にて掲載されている。
中国国家支援グループがAnthropicの「Claude Code」悪用 - AIエージェントによる前例のないサイバー攻撃
