Vulnerability Management

• Apple は iOS、iPadOS、macOS の複数 OS にて、80 以上の脆弱性情報を解決した新しいセキュリティ更新をリリースしました。
• WebKit や Kernel、そして Apache ライブラリや Curl といったサードパーティ依存関係にも多数のパッチが適用されました。
• マルウェアによる利用が確認されていないものの、XSS 回避、メモリ書き出し、サンドボックス脱出などの重大なリスクが含まれています。

これほど多くの OS とコンポーネントに大量の脆弱性情報を解決する更新は、ユーザー環境全体のセキュリティ強度を劇的に向上させるため重要です。

• Chrome, Firefox, Intel, SAP, Adobe, Microsoft, Fortinet, Budibase などの多岐にわたる企業用ソフトウェア製品において、複数の脆弱性が発覚していることを報告する。
• 特に n8n ワークフロー自動化プラットフォームに関する観測では、Zerobot というマルウェアが CVE-2025-68613 を悪用した侵害が発生し、コード実行機能のリスクを浮き彫りにした。
• 警察庁による令和 7 年サイバー脅威情勢報告も公開されており、企業向けには製品更新や監視強化などの具体的な対策対応が求められる現状を示している。

多数の上流ソフトウェア製品の同時攻撃対象化はサプライチェーンリスクを直視させるとともに、AI やコード生成ツールを含む新領域の悪用可能性も示唆されているため極めて重要である。

• 米国 CISA のトップが、イランとの戦争開始以来サイバー脅威が増加していないと発表した。
• 人工知能を駆使した攻撃の「速度問題」に対応するため、CISA は CVE 対応期間の短縮を検討している。
• 他国のサイバー犯罪集団も活動しており、国家だけでなく多様な敵対勢力との戦いが続いていると指摘する。

CISA の公式見解は、国際紛争中のサイバーセキュリティ環境の理解に不可欠であり、AI 利用による脅威増大への対処法が議論された。