2025年7月第2週のサイバーセキュリティ関連情報では、Apache HTTP ServerやTomcat、エプソン製Mac用インストーラー、Microsoft製品、RailsやZimbraといった広範なソフトウェアで深刻な脆弱性が報告された。なかでもMicrosoftのリモートコード実行脆弱性や、CISAが警告する既知の悪用脆弱性は即時対応が求められる。対象製品を使用している場合は、速やかにアップデートを実施し、システムを最新状態に保つことが推奨される。

連載のこれまでの回はこちらを参照

7月7日~13日の最新サイバーセキュリティ情報

7月7日~13日に報告された最新のサイバーセキュリティ情報は、インフラ運用者や情報システム担当者にとって見逃せない内容が多数含まれている。本稿では、Apache HTTP ServerやTomcatといったWebサーバ系ソフトウェア、Microsoft製品、さらにはEpsonやRails、Zimbraといったエンドユーザー向け製品や開発基盤における脆弱性を取り上げる。

CISAが新たに既知の悪用脆弱性として公表した案件や、リモートコード実行が可能な脆弱性が多数含まれており、攻撃者にとって格好の標的となるリスクが高い状況だ。各組織・企業が迅速に対応を取れるよう、脆弱性の詳細や影響範囲、推奨される対応策について説明していく。

それでは以降で詳しく見ていこう。

Apache HTTP Server 2.4系に複数の脆弱性、DoSやセッション乗っ取りの危険性

The Apache Software Foundationは7月10日(米国時間)、Apache HTTP Server 2.4系に複数のセキュリティ脆弱性が存在すると発表した。本件についてはJPCERTコーディネーションセンター(JPCERT/CC:Japan Computer Emergency Response Team Coordination Center)も情報を公開している(参考「JVNVU#91930855: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート」)。

これらセキュリティ脆弱性を悪用された場合、次のような影響を受ける可能性がある。

  • Apache HTTP Server 2.4 vulnerabilities - The Apache HTTP Server Project

    Apache HTTP Server 2.4 vulnerabilities - The Apache HTTP Server Project

  • HTTPレスポンスを分割し任意のヘッダーなどを挿入される
  • サイバー攻撃者が指定するURLへアウトバウンドプロキシリクエストを送信させられる
  • 悪意のあるサーバにNTLMハッシュが漏えいする
  • クライアントから提供されたデータに対してエスケープ処理が実施されないままログファイルに記録される
  • 別のバーチャルホストにアクセスされる
  • サービス運用妨害(DoS:Denial of Service)状態にされる
  • HTTPセッションを乗っ取られる
  • メモリーが開放されないことでDoS状態にされる

存在するとされるセキュリティ脆弱性と対象となるプロダクトおよびバージョンは次のとおり。

  • CVE-2024-42516、CVE-2024-43204、CVE-2024-43394、CVE-2024-47252 - Apache HTTP Server 2.4.0から2.4.63までのバージョン
  • CVE-2025-23048 - Apache HTTP Server 2.4.35から2.4.63までのバージョン
  • CVE-2025-49630 - Apache HTTP Server 2.4.26から2.4.63までのバージョン
  • CVE-2024-49812 - Apache HTTP Server 2.4.63およびそれよりも前のバージョン
  • CVE-2025-53020 - Apache HTTP Server 2.4.17から2.4.63までのバージョン

セキュリティ脆弱性の深刻度は公開されていない。すでに問題が修正されたバージョンが公開されていることから、開発元の提供する情報に基づいてアップデートを行うことが推奨されている。

Netcraftの調査によると、Apache HTTP Serverのシェアはこの10年で基本的に下落の傾向を続けており、2025年6月のシェアは15.28%となっている。シェアは下落を続けているものの、単体のWebサーバとしては第2位のシェアであり依然として一定の影響力を持っている(参考「June 2025 Web Server Survey | Netcraft」)。

  • June 2025 Web Server Survey|Netcraft

    June 2025 Web Server Survey | Netcraft

Tomcat 9/10/11にDoSリスクの脆弱性、早急なアップデートを推奨

The Apache Software Foundationは7月10日(米国時間)、Apache Tomcatに複数のセキュリティ脆弱性が存在すると発表した。本件についてはJPCERT/CCも情報を公開している(参考「JVNVU#91378143: Apache Tomcatにおける複数の脆弱性」)。

これらセキュリティ脆弱性を悪用された場合、次のような影響を受ける可能性がある。

  • DoS状態に陥る
  • JVNVU#91378143: Apache Tomcatにおける複数の脆弱性

    JVNVU#91378143: Apache Tomcatにおける複数の脆弱性

存在するとされるセキュリティ脆弱性と対象となるプロダクトおよびバージョンは次のとおり。

  • CVE-2025-52434 - Apache Tomcat 9.0.0.M1から9.0.106までのバージョン
  • CVE-2025-52520、CVE-2025-53506 - Apache Tomcat 11.0.0-M1から11.0.8までのバージョン
  • CVE-2025-52520、CVE-2025-53506 - Apache Tomcat 10.1.0-M1から10.1.42までのバージョン
  • CVE-2025-52520、CVE-2025-53506 - Apache Tomcat 9.0.0.M1から9.0.106までのバージョン

セキュリティ脆弱性の深刻度は公開されていない。すでに問題が修正されたバージョンが公開されていることから、開発元の提供する情報に基づいてアップデートを行うことが推奨されている。

エプソン製Mac向けインストーラーに脆弱性、対象製品は広範囲

セイコーエプソンおよびエプソン販売は7月7日、同社製品についてMacで利用する最新のドライバーや関連ソフトウェアをまとめてインストールするツール「Epson Web Installer」セキュリティ脆弱性が存在すると発表した(参考「Mac版Epson Web Installer および epson.snでのドライバー/ソフトウェアインストール時における脆弱性について | エプソン」)。

  • Mac版Epson Web Installer および epson.snでのドライバー/ソフトウェアインストール時における脆弱性について|エプソン

    Mac版Epson Web Installer および epson.snでのドライバー/ソフトウェアインストール時における脆弱性について | エプソン

Mac版Epson Web Installerを起動すると特権ヘルパーツールが登録および起動される。ヘルパーツール起動中には任意のユーザー権限アプリがヘルパーツールに接続でき、結果的に管理者認証なしで特権操作が実行される可能があるとされている。

セキュリティ脆弱性の深刻度は共通脆弱性評価システム(CVSS)4.0の基本値で8.4とされており「重要」と分析されている。さらに影響を受けるとされるインクジェットプリンター、レーザープリンター、大判プリンター、スキャナー、業務用写真・プリントシステムはかなりの数に上る。

また、影響を受けるとされるOSは次のとおり。

  • macOS Sequoia(Mac OS 15.x)
  • macOS Sonoma(Mac OS 14.x)
  • macOS Ventura(Mac OS 13.x)
  • macOS Monterey(Mac OS 12.x)
  • macOS Big Sur(Mac OS 11.x)
  • macOS Catalina(Mac OS 10.15)
  • macOS Mojave(Mac OS 10.14)
  • macOS High Sierra(Mac OS 10.13)
  • macOS Sierra(Mac OS 10.12)
  • OS X El Capitan(Mac OS 10.11)

影響を受ける製品はかなりの数に上るものの、本セキュリティ脆弱性を悪用したサイバー攻撃の報告は確認されていないこと、同社がすでに6月23日 12:00の段階でセキュリティ脆弱性に対応したバージョンを公開しており、Epson Web Installer起動時に自動的にダウンロードおよび実行が行われることから、ユーザーへの影響はないと考えられている。同社はユーザーが対策を取る必要はないとしており、こうした情報が公開されたことを把握していくだけでよいと見られる。

なお、本セキュリティ脆弱性についてはJPCERT/CCが「JVNVU#93543156: Epson Web Installer(Mac版)における重要な機能に対する認証の欠如の脆弱性」においても情報を公開しており、該当する製品を使用している場合には合わせて確認しておきたい。

Microsoft、2025年7月の緊急セキュリティ更新を公開:速やかな対応を推奨

Microsoftから2025年7月の累積更新プログラムの配信が始まった。同社は影響を受ける製品を利用しているユーザーに対して早期に更新プログラムを適用するように求めている(参考「2025 年 7 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center」)。

  • 2025 年 7 月のセキュリティ更新プログラム (月例)|MSRC Blog|Microsoft Security Response Center

    2025 年 7 月のセキュリティ更新プログラム(月例)| MSRC Blog | Microsoft Security Response Center

公開されたセキュリティ更新プログラムのうち、深刻度が高いものは次のとおり。

  • 【緊急】Windows 11 v24H2 - リモートコード実行の脆弱性
  • 【緊急】Windows 11 v23H2 - リモートコード実行の脆弱性
  • 【緊急】Windows 10 v22H2 - リモートコード実行の脆弱性
  • 【緊急】Windows Server 2025 (Server Core installationを含む) - リモートコード実行の脆弱性
  • 【緊急】Windows Server 2022 (Server Core installationを含む) - リモートコード実行の脆弱性
  • 【緊急】Windows Server 23H2 (Server Core installationを含む) - リモートコード実行の脆弱性
  • 【緊急】Windows Server 2019 (Server Core installation を含む) - リモートコード実行の脆弱性
  • 【緊急】Windows Server 2016 (Server Core installation を含む) - リモートコード実行の脆弱性
  • 【重要】Remote Desktop client for Windows Desktop - リモートコード実行の脆弱性
  • 【重要】Microsoft Office - リモートコード実行の脆弱性
  • 【重要】Microsoft SharePoint - リモートコード実行の脆弱性
  • 【重要】Microsoft SQL Server - リモートコード実行の脆弱性
  • 【重要】Microsoft Visual Studio - 特権昇格の脆弱性
  • 【重要】Microsoft Azure - リモートコード実行の脆弱性

2025年7月に修正対象となっているセキュリティ脆弱性のうち「CVE-2025-49719 - セキュリティ更新プログラム ガイド - Microsoft - Microsoft SQL Server の情報漏えいの脆弱性」には注意が必要だ。このセキュリティ脆弱性は更新プログラムが公開されるよりも前に脆弱性情報が一般公開されており、リスクが高い状況にある。該当する製品を使用しているユーザーは迅速にアップデートを適用することが望まれている。

また「CVE-2025-47981 - セキュリティ更新プログラム ガイド - Microsoft - SPNEGO Extended Negotiation (NEGOEX) Security Mechanism Remote Code Execution Vulnerability」にも注意が必要だ。このセキュリティ脆弱性はCVSSのスコア値が9.8と高い値を付け深刻度は「緊急」と評価されている。認証やユーザーの操作なしで悪用可能な脆弱性であり、これもリスクが高い状態にある。該当する製品を使用している組織は迅速にアップデートを適用することが求められている。

Microsoft製品はパソコンにおいてもっとも広く使われているソフトウェアであり、同社製品のセキュリティ脆弱性はサイバー攻撃の標的として悪用されやすい。更新プログラムを適用することで不具合が発生することがあるためそうした経験を経たユーザーや組織はアップデートをためらいがちだが、サイバーセキュリティの観点からはWindows Updateといったアップデートは可能な限り迅速に適用することが原則となる。

サイバー攻撃を実施する側は1つでも穴を突けば内部への足がかりを得ることができ、そのあとは甚大な被害を受けるリスクがある。セキュリティアップデートは可能な限り迅速に適用し続ける体制を構築し、確実に実施していこう。

RailsやZimbraに影響:CISAが警告する5つの重大脆弱性

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、7月7日~13日にカタログに5つのエクスプロイトを追加した。

CISAが追加したエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • MRLG (Multi-Router Looking Glass) fastping.c 5.5.0よりも前のバージョン
  • PHPMailer 5.2.18よりも前のバージョン
  • Rails 5.2.2.1
  • Rails 5.1.6.2
  • Rails 5.0.7.2
  • Rails 4.2.11.1
  • Zimbra Collaboration Suite 8.6 patch 13よりも前のバージョン
  • Zimbra Collaboration Suite 8.7.11 patch 10よりも前の8.7.x系バージョン
  • Zimbra Collaboration Suite 8.8.10 patch 7よりも前の8.8.x系バージョン
  • Zimbra Collaboration Suite 8.8.11 patch 3よりも前の8.8.x系バージョン
  • NetScaler ADC 14.1から43.56より前のバージョン
  • NetScaler ADC 13.1から58.32より前のバージョン
  • NetScaler Gateway 14.1から43.56より前のバージョン
  • NetScaler Gateway 13.1から58.32より前のバージョン

今回CISAが新たに公表した5件の既知の悪用脆弱性は、過去から現在にかけて広く利用されてきたソフトウェア製品に影響を及ぼすものであり、依然として現場で悪用される可能性が高いと考えられる。対象となるバージョンを使用している組織やユーザーは、速やかに該当するパッチの適用またはバージョンの更新を実施し、攻撃リスクを低減させる必要がある。脆弱性カタログの継続的な監視と対応が、サイバーセキュリティ強化の鍵だ。

* * *

今回紹介した脆弱性はいずれも、修正プログラムが公開されているか、更新手段が整備されているものばかりであり、対応を怠る理由はない。サイバー攻撃者はこのような「既知の穴」を好んで狙ってくるため、脆弱性情報をいち早く把握し、対応する体制づくりが今後の鍵を握ることになる。

組織におけるシステムの棚卸しと定期的なアップデートの実施は、セキュリティ対策の基本だ。被害を未然に防ぐためにも、継続的に脆弱性情報を収集し、対処する文化を社内に根付かせていこう。

参考