6月30日~7月6日のサイバーセキュリティ情報では、Google Chromeの深刻なゼロデイ脆弱性(CVE-2025-6554)、sudoに12年間潜伏していた脆弱性(CVE-2025-32462)、Trend Micro製品における特権昇格の問題、コニカミノルタの複合機におけるWebセキュリティの不備、CitrixやTeleMessageにおける悪用中の脆弱性が報告された。これらはすでに攻撃に使われている可能性が高く、速やかなアップデートとセキュリティ対策の実施が求められる。

連載のこれまでの回はこちらを参照

6月30日~7月6日の最新サイバーセキュリティ情報

本稿では、6月30日~7月6日に報告された最新のサイバーセキュリティ脆弱性情報を取り上げる。Google Chromeのゼロデイ脆弱性や、sudoに長年潜伏していた重大な不具合など、一般ユーザーや企業に影響する事例が明らかとなった。

JPCERTコーディネーションセンターやCISAが警告を発していることからも分かるように、これらの脆弱性はすでに悪用されていたり、悪用のリスクが高いと考えられる。この記事では各脆弱性の説明、対象バージョン、推奨される対策を紹介し、読者が実際にどのような対応を取るべきかを説明する。

それでは以降で詳しく見ていこう。

Google、Chromeの深刻なセキュリティ問題を発表、影響は全OSに

Googleは6月30日(米国時間)、Google Chromeにセキュリティ脆弱性「CVE-2025-6554」が存在すると発表した(参考「Chrome Releases: Stable Channel Update for Desktop」)。

  • Chrome Releases: Stable Channel Update for Desktop

    Chrome Releases: Stable Channel Update for Desktop

JavaScriptエンジンであるV8に型混乱の問題があるとされており、このセキュリティ脆弱性を悪用された場合には細工されたHTMLページを読み込むことで任意の読み書きが可能になるとされている。共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)のスコア値はまだつけられていないが、Googleはこのセキュリティ脆弱性に「重要(High)」という評価を与えており注意が必要だとみられる。

  • NVD - CVE-2025-6554

    NVD - CVE-2025-6554

セキュリティ脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • Google Chrome 138.0.7204.96/.97 for Windowsよりも前のバージョン
  • Google Chrome 138.0.7204.92/.93 for Macよりも前のバージョン
  • Google Chrome 138.0.7204.92 for Linuxよりも前のバージョン

セキュリティ脆弱性が修正された製品およびバージョンは次のとおり。

  • Google Chrome 138.0.7204.96/.97 for Windows
  • Google Chrome 138.0.7204.92/.93 for Mac
  • Google Chrome 138.0.7204.92 for Linux

GoogleはChromeに発見されたセキュリティ脆弱性に関して、すぐにはその詳細を公開しない運用を行っている。このため、今回のセキュリティ脆弱性がどの程度ユーザーをリスクに晒すものであるかは外部から判断することが難しい。しかしながらGoogleは本セキュリティ脆弱性がすでに悪用されていることを確認済みであることは認めており、すぐに対応した方がよい問題であることは間違いがない。

Google Chromeはパソコンにおいて世界中で最も使われているWebブラウザの1つであり、そのセキュリティ脆弱性が与える影響は範囲が広大になる。日本においてもかなりの割合のパソコン利用者やスマートフォン、タブレットデバイスの利用者がGoogle Chromeを使っている。Google Chromeは自動更新機能を備えているが、再起動を行わなければ適用されないため、利用者自身の対応が必要だ。最新版への更新を実施するほか、従業員へ情報を共有しアップグレードを促すなどの取り組みを取ることが望まれる。

sudoの「hostオプション」に12年間潜伏していた脆弱性が判明

Stratascaleは6月30日(米国時間)、Linuxシステムで広く使用される特権コマンド実行ツール「sudo」に関する重大なローカル特権昇格の脆弱性「CVE-2025-32462」を公表した。この脆弱性は、sudoに12年以上前から存在していた「hostオプション」の実装不備に起因し、特定の構成下においてユーザーが本来許可されていないコマンドをroot権限で実行できる可能性がある(参考「Vulnerability Advisory: Sudo Host Option Elevation of Privileg」)。

  • Vulnerability Advisory: Sudo Host Option Elevation of Privilege

    Vulnerability Advisory: Sudo Host Option Elevation of Privilege

この問題は、sudoの設定ファイルであるsudoersにおいて、HostまたはHost_Aliasディレクティブを用いてアクセス制御が行われている環境で発生する。設計上は「hostオプション」はSudoのルールを表示する-l(--list)オプションと併用する目的で追加されたが、実際にはコマンド実行時にも有効となり、他ホスト向けに設定されたルールを悪用してローカル環境でroot権限を取得できるという挙動が確認された。

例えば、開発環境(dev.test.local)でのみrootアクセスが許可されているユーザーが、sudoコマンド実行時にhostオプションでそのホストを指定すると、実際にはアクセスが禁止されている本番環境からもrootコマンドの実行が可能になる。この挙動は、設計意図やドキュメントと明確に矛盾しており、深刻なセキュリティリスクを引き起こす。

Stratascaleは、sudoの開発者であるTodd Miller氏と連携し、hostオプションを-lオプションと組み合わせた場合にのみ使用できるよう修正を加えた。この修正を含むsudo 1.9.17p1以降へのアップデートが推奨されており、管理者にはsudoers設定ファイルの見直しと、Host/Host_Aliasディレクティブの使用状況の精査が求められている。

パスワードマネージャーとウイルスバスターに深刻な脆弱性、早急な更新を

JPCERTコーディネーションセンター(JPCERT/CC:Japan Computer Emergency Response Team Coordination Center)は7月3日、トレンドマイクロ製パスワードマネージャー(Windows版)に複数のセキュリティ脆弱性が存在すると発表した(参考「JVNVU#91134474: トレンドマイクロ製パスワードマネージャー(Windows版)における複数の脆弱性(CVE-2025-48443、CVE-2025-52837)」)。

  • アラートアドバイザリ:パスワードマネージャーの脆弱性について (CVE-2025-52837) |トレンドマイクロサポート

    アラートアドバイザリ:パスワードマネージャーの脆弱性について(CVE-2025-52837)|トレンドマイクロサポート

セキュリティ脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • パスワードマネージャー(Windows版)バージョン 5.0.0.1266およびそれより前のバージョン
  • パスワードマネージャー(Windows版)バージョン 5.8.0.1327およびそれより前のバージョン

これらセキュリティ脆弱性を悪用された場合、任意のファイルやフォルダを削除されたり、特権昇格される可能性がある。

JPCERTコーディネーションセンターは7月4日、トレンドマイクロ製ウイルスバスタークラウド(Windows版)にWindowsショートカット(.LNK)の不適切な取り扱いに起因するセキュリティ脆弱性が存在すると発表した(参考「JVNVU#94870570: トレンドマイクロ製ウイルスバスター クラウド(Windows版)におけるWindowsショートカット(.LNK)の不適切な取扱い(CVE-2025-52521)」)。

  • アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について (CVE-2025-52521) |トレンドマイクロサポート

    アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について(CVE-2025-52521)|トレンドマイクロサポート

セキュリティ脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • ウイルスバスター クラウド(Windows版)17.8.1464より前のバージョン

このセキュリティ脆弱性を悪用された場合には、任意のファイルやフォルダを削除される可能性があるとされている。

上記セキュリティ脆弱性のうち2つは共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)のスコア値で重要と分析されていることから注意が必要だ。どちらの製品もすでに問題が修正されたバージョンが公開されていることから、該当する製品を使用している場合にはアップデートを適用することが望まれる。

コニカミノルタbizhubシリーズに複数のセキュリティリスク発覚

JPCERTコーディネーションセンターは6月30日、コニカミノルタの複合機に複数のセキュリティ脆弱性が存在すると発表した(参考「JVNVU#95470660: コニカミノルタ製複合機(MFP)のWeb Connectionにおける複数の脆弱性」)。

  • コニカミノルタ製複合機のWeb Connectionにおける脆弱性の影響について - 重要なお知らせ|コニカミノルタ

    コニカミノルタ製複合機のWeb Connectionにおける脆弱性の影響について - 重要なお知らせ | コニカミノルタ

影響を受ける製品およびバージョンは次のとおり。

  • bizhub C759/C659 すべてのバージョン
  • bizhub C658/C558/C458 すべてのバージョン
  • bizhub C368/C308/C258 すべてのバージョン
  • bizhub C287/C227 すべてのバージョン
  • bizhub C3851/C3851FS/C3351 すべてのバージョン
  • bizhub 958/808/758 すべてのバージョン
  • bizhub 658e/558e/458e すべてのバージョン
  • bizhub 368e/308e すべてのバージョン
  • bizhub 558/458/368/308 すべてのバージョン
  • bizhub 367/287/227 すべてのバージョン
  • bizhub 4752/4052 すべてのバージョン

これらのセキュリティ脆弱性を悪用された場合、Web Connectionにログインしている状態のユーザーのWebブラウザにおいて任意のスクリプトが実行されたり、細工されたURLにより意図しない動作を引き起こされる可能性があると説明されている。

同日、JPCERTコーディネーションセンターは同じくコニカミノルタの複合機(bizhubシリーズ)にPass-Back攻撃が可能になるセキュリティ脆弱性が存在することも発表した(参考「JVNVU#93850661: コニカミノルタ製bizhubシリーズにおけるPass-Back攻撃が可能になる脆弱性」)。

  • コニカミノルタ製の複合機における Pass-Back攻撃の脆弱性について - 重要なお知らせ|コニカミノルタ

    コニカミノルタ製の複合機における Pass-Back攻撃の脆弱性について - 重要なお知らせ | コニカミノルタ

このセキュリティ脆弱性を悪用された場合には、該当製品がLDAPサーバーのような外部システムを使用するよう設定されている場合に、特定の状況をつくることで外部システムの認証情報が取得できてしまう可能性があると説明されている。

これらセキュリティ脆弱性の深刻度は共通脆弱性評価システム(CVSS)スコア値で注意から警告の間にとどまっており、それほど緊急性の高いものとは認識されていない。定例のアップデートのタイミングでのアップデートと回避策の実施などを行うことが望まれる。

CitrixとChromeにセキュリティリスク、CISAが対処促す

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、6月30日~7月6日にカタログに4つのエクスプロイトを追加した。

CISAが追加したエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • Citrix NetScaler ADC 14.1から47.46より前のバージョン
  • Citrix NetScaler ADC 13.1から59.19より前のバージョン
  • Citrix NetScaler ADC 13.1 FIPS and NDcPPから37.236より前のバージョン
  • TeleMessage service 2025-05-05までのバージョン
  • Google Chrome 138.0.7204.96から138.0.7204.96よりも前のバージョン

CISAは6月30日から7月6日の間に、既知の悪用された脆弱性4件を新たにカタログに追加した。対象となるCVEにはCVE-2025-6543やCVE-2025-48927などが含まれ、脆弱性の影響はCitrix NetScaler ADC、TeleMessageサービス、Google Chromeが含まれている。

これらの脆弱性は、すでに実際の攻撃に悪用されていることが確認されており、対象製品を使用している組織や個人にとっては早急な対応が求められる。Citrix製品については、複数のバージョンが対象となっており、システム管理者は適用可能なパッチの有無を即座に確認する必要がある。

CISAの脆弱性カタログは、現実の脅威に基づいた実用的な情報を提供しており、サイバーセキュリティ対策の判断材料として有用だ。関係者はCISAの最新情報を継続的に参照し、脆弱性への対応を通じて、インフラストラクチャーの安全性を確保していこう。

* * *

今週報告されたセキュリティ脆弱性は、いずれも実際の攻撃に悪用される可能性が高く、放置すれば深刻な被害に直結するおそれがある。Chromeやsudoといった基幹ソフトウェアに対しては注意が必要で、定期的なアップデートと設定の見直しを怠ってはならない。

企業や組織においては、従業員への情報共有、脆弱性の影響を受ける製品の使用状況の確認、早急なパッチの適用が重要だ。日々進化するサイバー攻撃への備えとして、最新の情報を常にキャッチアップし、実効性のあるセキュリティ対策を継続的に実施していく姿勢が求められる。

参考