6月9日〜15日にかけて、MicrosoftやAdobe製品の緊急性の高い脆弱性とそれに対するパッチ配布、パン・チルト・ズームカメラのグローバルなセキュリティ欠陥、CISAによる悪用済み脆弱性の追加が報告された。これらの情報は即時対応が求められる重大な内容だ。

連載のこれまでの回はこちらを参照

6月9日~15日の最新サイバーセキュリティ情報

本稿では、6月9日から6月15日にかけて報告された最新のサイバーセキュリティに関する脅威と対応策について紹介する。具体的には、MicrosoftやAdobeの主要製品に対するセキュリティ更新、パン・チルト・ズームカメラにおける深刻な脆弱性、CISAによる既知の悪用済み脆弱性の追加に焦点を当てる。

これらの情報は、個人ユーザーから企業、政府機関まで幅広い層に関係する内容だ。サイバー攻撃の被害を未然に防ぐためには、継続的な情報収集と迅速なアップデートが不可欠である。

それでは以降で詳しく見ていこう。

2025年6月のMicrosoftセキュリティ更新、悪用確認済みの脆弱性も含む67件の脆弱性に対応

Microsoftから2025年6月のセキュリティ更新プログラムの配信が開始された。Microsoft製品を使っている場合には速やかにアップデートを適用しよう。今回のアップデートには67件の脆弱性情報データベース(CVE Common Vulnerabilities and Exposures)に登録された脆弱性への対応が含まれている(参考「2025 年 6 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft」)。

  • 2025 年 6 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft

    2025 年 6 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft

MicrosoftはCVE-2025-33053については悪用された事実が確認されていると報告している。次の製品が該当するとされていることから、該当する製品を使っている場合には速やかにアップデートを適用することが望まれている(参考「CVE-2025-33053 - セキュリティ更新プログラム ガイド - Microsoft - Web 分散オーサリングとバージョン管理 (WebDAV) のリモートでコードが実行される脆弱性」)。

  • Windows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 21H2 for 32-bit Systems
  • Windows 10 Version 21H2 for ARM64-based Systems
  • Windows 10 Version 21H2 for x64-based Systems
  • Windows 10 Version 22H2 for 32-bit Systems
  • Windows 10 Version 22H2 for ARM64-based Systems
  • Windows 10 Version 22H2 for x64-based Systems
  • Windows 11 Version 22H2 for ARM64-based Systems
  • Windows 11 Version 22H2 for x64-based Systems
  • Windows 11 Version 23H2 for ARM64-based Systems
  • Windows 11 Version 23H2 for x64-based Systems
  • Windows 11 Version 24H2 for ARM64-based Systems
  • Windows 11 Version 24H2 for x64-based Systems
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2022
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022, 23H2 Edition (Server Core installation)
  • Windows Server 2025
  • Windows Server 2025 (Server Core installation)

本件に関しては情報処理推進機構(IPA:Information-technology Promotion Agency, Japan)が「Microsoft 製品の脆弱性対策について(2025年6月) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構」において、JPCERTコーディネーションセンター(JPCERT/CC:Japan Computer Emergency Response Team Coordination Center)が「2025年6月マイクロソフトセキュリティ更新プログラムに関する注意喚起」において注意喚起を行っている。

Microsoft製品はビジネスにおいてもっとも広く使われているソフトウェアの1つだ。利用者数が膨大であることからサイバー攻撃の対象として使われることが多い。使用しているMicrosoft製品は常にサポートが提供されているものを最新版にアップデートし続けることが推奨される。

深刻度『緊急』も含む Acrobat/Readerの脆弱性に関する注意

Adobeは6月10日(米国時間)、AcrobatやAcrobat Readerに10のセキュリティ脆弱性が存在すると発表した。セキュリティ脆弱性の深刻度は共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)基準で「警告」から「重要」に分類されている。Adobe基準では深刻度は「緊急(Critical)」とされている(参考「Adobe Security Bulletin - Security update available for Adobe Acrobat and Reader | APSB25-57」)。

  • Adobe Security Bulletin

    Adobe Security Bulletin

セキュリティ脆弱性の影響を受ける製品およびバージョンは次のとおり。

  • Acrobat DC 25.001.20521およびこれよりも前のバージョン(Windows版、Mac版)
  • Acrobat Reader 25.001.20521およびこれよりも前のバージョン(Windows版、Mac版)
  • Acrobat 2024 24.001.30235およびこれよりも前のバージョン(Windows版、Mac版)
  • Acrobat 2020 20.005.30763およびこれよりも前のバージョン(Windows版、Mac版)
  • Acrobat Reader 2020 20.005.30763およびこれよりも前のバージョン(Windows版、Mac版)

セキュリティ脆弱性が修正された製品およびバージョンは次のとおり。

  • Acrobat DC 25.001.20531 (Windows版)
  • Acrobat DC 25.001.20529 (Mac版)
  • Acrobat Reader DC 25.001.20531 (Windows版)
  • Acrobat Reader DC 25.001.20529 (Mac版)
  • Acrobat 2024 24.001.30254 (Windows版、Mac版)
  • Acrobat 2020 20.005.30774 (Windows版、Mac版)
  • Acrobat Reader 2020 20.005.30774 (Windows版、Mac版)

PDFの閲覧や編集を行うソフトウェアとしてAdobeの製品は圧倒的なシェアを誇るとされている。その分、サイバー攻撃の標的として悪用されやすいソフトウェアだ。AcrobatやAdobe Readerを使っている場合には速やかにアップデートを適用しよう。

日本を含む世界中のパン・チルト・ズームカメラに深刻な脆弱性

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は6月12日(米国時間)、PTZOpticsとその他のパン・チルト・ズームカメラに深刻度が緊急(Critical)のセキュリティ脆弱性が存在すると発表した。不適切な認証、OSコマンドインジェクション、ハードコードされた資格情報の使用といった問題があるとされており、これらの脆弱性を悪用されるとサイバー攻撃者が機密データを漏えいしたり、任意のコマンドを実行したり、ハードコードされた資格情報を使用して管理Webインターフェイスにアクセスされたりする可能性があるとしている(参考「PTZOptics and Other Pan-Tilt-Zoom Cameras | CISA」 )。

  • PTZOptics and Other Pan-Tilt-Zoom Cameras|CISA

    PTZOptics and Other Pan-Tilt-Zoom Cameras | CISA

セキュリティ脆弱性の影響を受ける製品はValueHD、PTZOptics、multiCAM Systems、SMTAVの次の製品とされる。

  • PTZOptics PT12X-SDI-xx-G2 6.3.34より前のバージョン (CVE-2025-35451)
  • PTZOptics PT12X-NDI-xx 6.3.34より前のバージョン (CVE-2025-35451)
  • PTZOptics PT12X-USB-xx-G2 6.2.81より前のバージョン (CVE-2025-35451)
  • PTZOptics PT20X-SDI-xx-G2 6.3.20より前のバージョン (CVE-2025-35451)
  • PTZOptics PT20X-NDI-xx 6.3.20より前のバージョン (CVE-2025-35451)
  • PTZOptics PT20X-USB-xx-G2 6.2.73より前のバージョン (CVE-2025-35451)
  • PTZOptics PT30X-SDI-xx-G2 6.3.30より前のバージョン (CVE-2025-35451)
  • PTZOptics PT30X-NDI-xx 6.3.30より前のバージョン (CVE-2025-35451)
  • PTZOptics PT12X-ZCAM 7.2.76より前のバージョン (CVE-2025-35451)
  • PTZOptics PT20X-ZCAM 7.2.82より前のバージョン (CVE-2025-35451)
  • PTZOptics PTVL-ZCAM 7.2.79より前のバージョン (CVE-2025-35451)
  • PTZOptics PTEPTZ-ZCAM-G2 8.1.81より前のバージョン (CVE-2025-35451)
  • PTZOptics PTEPTZ-NDI-ZCAM-G2 8.1.81より前のバージョン (CVE-2025-35451)
  • PTZOptics PT12X-SDI-xx-G2 すべてのバージョン (CVE-2025-35452)
  • PTZOptics PT12X-NDI-xx すべてのバージョン (CVE-2025-35452)
  • PTZOptics PT12X-USB-xx-G2 すべてのバージョン (CVE-2025-35452)
  • PTZOptics PT20X-SDI-xx-G2 すべてのバージョン (CVE-2025-35452)
  • PTZOptics PT20X-NDI-xx すべてのバージョン (CVE-2025-35452)
  • PTZOptics PT20X-USB-xx-G2 すべてのバージョン (CVE-2025-35452)
  • PTZOptics PT30X-SDI-xx-G2 すべてのバージョン (CVE-2025-35452)
  • PTZOptics PT30X-NDI-xx すべてのバージョン (CVE-2025-35452)
  • PTZOptics PT12X-ZCAM すべてのバージョン (CVE-2025-35452)
  • PTZOptics PT20X-ZCAM すべてのバージョン (CVE-2025-35452)
  • PTZOptics PTVL-ZCAM すべてのバージョン (CVE-2025-35452)
  • PTZOptics PTEPTZ-ZCAM-G2 すべてのバージョン (CVE-2025-35452)
  • PTZOptics PTEPTZ-NDI-ZCAM-G2 すべてのバージョン (CVE-2025-35452)
  • PTZOptics PT12X-4K-xx-G3 0.0.58より前のバージョン (CVE-2025-35452)
  • PTZOptics PT20X-4K-xx-G3 0.0.85より前のバージョン (CVE-2025-35452)
  • PTZOptics PT30X-4K-xx-G3 2.0.64より前のバージョン (CVE-2025-35452)
  • PTZOptics PT12X-LINK-4K-xx 0.0.63より前のバージョン (CVE-2025-35452)
  • PTZOptics PT20X-LINK-4K-xx 0.0.89より前のバージョン (CVE-2025-35452)
  • PTZOptics PT30X-LINK-4K-xx 2.0.71より前のバージョン (CVE-2025-35452)
  • PTZOptics PT12X-SE-xx-G3 9.1.43より前のバージョン (CVE-2025-35452)
  • PTZOptics PT20X-SE-xx-G3 9.1.32より前のバージョン (CVE-2025-35452)
  • PTZOptics PT30X-SE-xx-G3 9.1.33より前のバージョン (CVE-2025-35452)
  • PTZOptics PT-STUDIOPRO 9.0.41より前のバージョン (CVE-2025-35452)
  • PTZOptics PTZOptics VL 固定カメラ/NDI 固定カメラ 7.2.94より前のバージョン
  • SMTAV パンチルトズームカメラ すべてのバージョン
  • multiCAM Systems パンチルトズームカメラ すべてのバージョン
  • ValueHD パンチルトズームカメラ すべてのバージョン

このセキュリティ脆弱性は特定の国や地域に影響があるのではなく、世界中が影響を受ける可能性が高い。該当する製品は商業施設、重要製造業、政府サービス・施設、医療、公衆衛生など重要インフラストラクチャーを含むさまざまなシーンで使われていると考えられており、影響は長期に渡って広範囲におよぶリスクがある。

本件に関してはJPCERTコーディネーションセンターも「JVNVU#94757027: 複数のPTZカメラにおける複数の脆弱性」において注意喚起を行っている。

本件はかなり長期に渡って問題が残り続ける可能性がある。パン・チルト・ズームカメラを使っている場合、少なくとも上記リストに該当する製品を使っていないか確認を行うとともに、PTZOptics製品を使っている場合には修正プログラムの適用を、それ以外のベンダーの製品を使っている場合にはベンダーへの問い合わせを行うことが推奨されている。

CISAは防御策としての次の項目を挙げている。

  • 全ての制御システムデバイスおよびシステムのネットワーク露出を最小限に抑え、インターネットからアクセスできないようにする
  • 制御システムネットワークとリモートデバイスをファイアウォールの背後に配置しビジネスネットワークから分離する
  • リモートアクセスが必要な場合は仮想プライベートネットワーク(VPN:Virtual Private Network)などの安全な方法を使用する。VPNには脆弱性が存在する可能性があるため最新バージョンを使うこと。また、VPNのセキュリティは接続されたデバイスのセキュリティと同列にしか確保できないことに注意する

ネットワークに接続されたデバイスは組織や個人が責任を持って管理する必要がある。セキュリティ脆弱性が存在する製品を放置することでサイバー攻撃に被害者になったり加害者になるリスクがある。当局やサイバーセキュリティベンダーから発表される情報は精査して常に対応を怠らないようにしよう。

CISA、悪用中の脆弱性4件をカタログに追加 - Windowsなど広範囲に影響

CISAは、6月9日~15日にカタログに4つのエクスプロイトを追加した。

CISAが追加したエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • Erlang/OTP 27.0-rc1から27.3.3よりも前のバージョン
  • Erlang/OTP 26.0-rc1からOTP-26.2.5.11よりも前のバージョン
  • Erlang/OTP 25.3.2.20よりも前のバージョン
  • Roundcube 1.5.7までのバージョン
  • Roundcube 1.6.0から1.6.7までのバージョン
  • Wazuh 4.4.0から4.9.1よりも前のバージョン
  • Microsoft Windows 10 Version 1809 (32ビットシステム、x64ベースシステム) 10.0.17763.0から10.0.17763.7434より前のバージョン
  • Microsoft Windows Server 2019 (x64ベースシステム) 10.0.17763.0から10.0.17763.7434より前のバージョン
  • Microsoft Windows Server 2019 (Server Core installation) (x64ベースシステム) 10.0.17763.0から10.0.17763.7434より前のバージョン
  • Microsoft Windows Server 2022 (x64ベースシステム) 10.0.20348.0から10.0.20348.3807より前のバージョン
  • Microsoft Windows 10 Version 21H2 (32ビットシステム、ARM64ベースシステム、x64ベースシステム) 10.0.19044.0から10.0.19044.5965より前のバージョン
  • Microsoft Windows 11 version 22H2 (ARM64ベースシステム、x64ベースシステム) 10.0.22621.0から10.0.22621.5472より前のバージョン
  • Microsoft Windows 10 Version 22H2 (x64ベースシステム、ARM64ベースシステム、32ビットシステム) 10.0.19045.0から10.0.19045.5965より前のバージョン
  • Microsoft Windows Server 2025 (Server Core installation) (x64ベースシステム) 10.0.26100.0から10.0.26100.4349より前のバージョン
  • Microsoft Windows 11 version 22H3 (ARM64ベースシステム) 10.0.22631.0から10.0.22631.5472より前のバージョン
  • Microsoft Windows 11 Version 23H2 (x64ベースシステム) 10.0.22631.0から10.0.22631.5472より前のバージョン
  • Microsoft Windows Server 2022, 23H2 Edition (Server Core installation) (x64ベースシステム) 10.0.25398.0から10.0.25398.1665より前のバージョン
  • Microsoft Windows 11 Version 24H2 (ARM64ベースシステム、x64ベースシステム) 10.0.26100.0から10.0.26100.4349より前のバージョン
  • Microsoft Windows Server 2025 (x64ベースシステム) 10.0.26100.0から10.0.26100.4349より前のバージョン
  • Microsoft Windows 10 Version 1507 (32ビットシステム、x64ベースシステム) 10.0.10240.0から10.0.10240.21034より前のバージョン
  • Microsoft Windows 10 Version 1607 (32ビットシステム、x64ベースシステム) 10.0.14393.0から10.0.14393.8148より前のバージョン
  • Microsoft Windows Server 2016 (x64ベースシステム) 10.0.14393.0から10.0.14393.8148より前のバージョン
  • Microsoft Windows Server 2016 (Server Core installation) (x64ベースシステム) 10.0.14393.0から10.0.14393.8148より前のバージョン
  • Microsoft Windows Server 2008 Service Pack 2 (32ビットシステム) 6.0.6003.0から6.0.6003.23351より前のバージョン
  • Microsoft Windows Server 2008 Service Pack 2 (Server Core installation) (32ビットシステム、x64ベースシステム) 6.0.6003.0から6.0.6003.23351より前のバージョン
  • Microsoft Windows Server 2008 Service Pack 2 (x64ベースシステム) 6.0.6003.0から6.0.6003.23351より前のバージョン
  • Microsoft Windows Server 2008 R2 Service Pack 1 (x64ベースシステム) 6.1.7601.0から6.1.7601.27769より前のバージョン
  • Microsoft Windows Server 2008 R2 Service Pack 1 (Server Core installation) (x64ベースシステム) 6.1.7601.0から6.1.7601.27769より前のバージョン
  • Microsoft Windows Server 2012 (x64ベースシステム) 6.2.9200.0から6.2.9200.25522より前のバージョン
  • Microsoft Windows Server 2012 (Server Core installation) (x64ベースシステム) 6.2.9200.0から6.2.9200.25522より前のバージョン
  • Microsoft Windows Server 2012 R2 (x64ベースシステム) 6.3.9600.0から6.3.9600.22620より前のバージョン
  • Microsoft Windows Server 2012 R2 (Server Core installation) (x64ベースシステム) 6.3.9600.0から6.3.9600.22620より前のバージョン

今回CISAが公表した4件の脆弱性は、すでに実際の攻撃に利用されている「既知の悪用済み脆弱性」であり、影響範囲はErlang/OTP、Roundcube、Wazuh、そして広範なバージョンのMicrosoft Windows製品におよぶ。これらの脆弱性は、政府機関だけでなく民間のITインフラにも深刻なリスクをもたらすものだ。

Windowsに関する影響は、サーバー・クライアント双方の複数バージョンにまたがっており、長期サポート中の環境においても例外ではない。そのため、早急なバージョン確認とパッチ適用が求められる。また、ErlangやRoundcube、WazuhといったOSSベースのミドルウェアを採用している環境では、開発・運用部門の連携による迅速な対応が不可欠だ。

CISAのカタログに掲載されたということは、脅威が実在することを意味し、未対策のシステムはすでに標的となっている可能性がある。被害を未然に防ぐためには、当該脆弱性に関する技術情報の収集、ログの精査、IOC(侵害の痕跡)の確認を徹底し、恒常的な脆弱性管理体制を確立することが重要だ。今後も継続的にCISAの動向に注目し、速やかなリスク対応を実施することが組織のセキュリティレジリエンス向上につながる。

サイバーセキュリティ対策に終わりはない。常に最新の情報を収集し、継続した対応を行っていこう。

* * *

本稿で紹介したように、今週もさまざまな分野でサイバーセキュリティに関連する深刻な脆弱性が報告されている。MicrosoftやAdobe製品のような広く普及したソフトウェア、またはパン・チルト・ズームカメラのようなインフラ系デバイスにおけるリスクは、被害が発生すればその影響も大きい。

企業やユーザーには自社システムや使用製品がこれらの脆弱性に該当していないかを即時確認し、必要な対策を講じることが望まれている。アップデートの自動化、監視体制の強化、ベンダーとの連携による脆弱性管理の継続が、サイバー攻撃からの被害を未然に防ぐ有効な手段になる。

参考