2025年3月12日(日本時間)に、Microsoft 製品に関するセキュリティ更新プログラム(月例)が公表されました。これらの脆弱性が悪用されると、アプリケーションの異常終了や攻撃者によるパソコンの制御など、深刻な被害が発生するおそれがあります。特に、以下のCVE脆弱性に関しては Microsoft 社が実際の悪用事実を確認済みであり、今後被害が拡大する可能性があるため、速やかに更新プログラムを適用する必要があります。
CVE-2025-24983
CVE-2025-24984
CVE-2025-24985
CVE-2025-24991
CVE-2025-24993
CVE-2025-26633
脆弱性の詳細と影響
CVE-2025-24983
(Base Score:7.0 HIGH) Windows Win32 カーネルサブシステムにおける「Use after free」脆弱性。悪用されると、攻撃者がローカルで権限昇格を行い、システムの制御権を取得する可能性があります。
CVE-2025-24984
(Base Score::4.6 MEDIUM) Windows NTFS における、ログファイルへの機密情報挿入に関する脆弱性。物理的な攻撃と組み合わせることで、認証されていない攻撃者が情報漏洩を引き起こすリスクがあります。
CVE-2025-24985
(Base Score:7.8 HIGH) Windows Fast FAT ドライバーにおける整数オーバーフローまたはラップアラウンドの問題。悪用されると、攻撃者がローカルで任意のコード実行を行う可能性があり、システム制御に至るリスクがあります。
CVE-2025-24991
(Base Score:5.5 MEDIUM) Windows NTFS の領域外読み取り(Out-of-bounds read)により、システム内の情報が漏洩する脆弱性。権限を持つ攻撃者がローカルで情報を取得するリスクがあります。
CVE-2025-24993
(Base Score: 7.8 HIGH)
Windows NTFSにおけるヒープベースのバッファオーバーフロー脆弱性。悪用されると、認証されていない攻撃者がローカルで任意のコード実行を行う可能性があります。
CVE-2025-26633
(Base Score: 7.0 HIGH)
Microsoft Management Consoleにおける不適切なニュートラリゼーションの問題。これにより、認証されていない攻撃者がローカルでセキュリティ機能を回避する恐れがあります。
推奨される対策
更新プログラムの自動適用
Windows Update を利用する Microsoft は通常、Windows Updateを通じて自動的にセキュリティ更新プログラムを配信しています。最新の更新プログラムを確認し、適用することで、上記脆弱性の悪用リスクを低減できます。
PCI DSSとは「Payment Card Industry Data Security Standard」の略称で、クレジットカード業界や関連事業者がクレジットカード情報を安全に取り扱うことを目的に定められた、12の要件から構成される国際基準です。American Express、Discover、JCB、MasterCard、VISAの5つのカードブランドが共同で2004年に策定しました。
代表的なクラウドサービスのひとつであるAWS(Amazon Web Services)は、最も規模の大きい「レベル1」のサービスプロバイダとして、PCI DSSに準拠しています。こういったサービスプロバイダを上手に活用すれば、あなたの組織でPCI
DSS準拠に対応すべき範囲を減らすこともできます。ただし、慎重な運用が必要となることに変わりはありません。まずはAWSの責任共有モデルの理解からはじめましょう。
APIセキュリティは、現代のビジネスにおいて不可欠な課題です。シリーズ第2回の今回は、APIを悪用した攻撃手法や、OWASP(Open Web Application Security Project)よりリリースされている「OWASP API Security Top 10」で取り上げられるリスクの詳細を解説します。インジェクション攻撃やDDoS攻撃、APIキーの悪用、アクセス制御に関する脆弱性など、主要な脅威を紹介しながら、APIが悪用された場合の影響について解説します。
日頃からインターネットなどのネットワークを使用することが多い今日、現代における多くの企業はAPIに大きく依存しており、今やAPIは不可欠なものとなっています。Akamai社のレポート「The API Security Disconnect」によると、調査対象となった企業の約8割以上が2023年に行った調査において、「過去12か月以内にAPIセキュリティをより重視した」と回答しています。しかし、2022年~2024年で調査した回答者のうち、半数以上が、APIのセキュリティインシデントの影響により顧客の信頼を失い、さらにそこからほぼ半数は生産性の低下や従業員の信頼の低下にもつながったといいます。
現代の企業にとってAPIによるアプリケーション連携は不可欠ですが、その悪用によるセキュリティリスクも増加しています。APIを悪用した攻撃の事例は、「OWASP API Security Top 10」に関連しています。主なセキュリティ脅威には、インジェクション攻撃、認証やセッション管理の不備、DDoS攻撃、APIキーの悪用、アクセス制御の脆弱性、不適切なデータ公開や改ざん、アカウント乗っ取りなどがあります。これらは重大なリスクを孕んでいるため不正アクセス、なりすまし、機密データの盗難を含む情報漏洩、データ改ざん、サービスのダウンによるサービス低下や業務への影響、ひいては企業の信用失墜といった深刻な結果を招きます。こうした被害を防ぐため、APIの設計段階から適切なセキュリティ対策を行い、監視やアクセス制御の強化が不可欠です。
特に注目すべきは、クレジットカードのセキュリティコードが漏洩している点です。セキュリティコードは通常、オンライン決済の際に使用される3桁または4桁の数字で、カード裏面に記載されています。この情報が漏洩すると、不正利用のリスクが大幅に高まります。一般的に、PCI DSS(Payment Card Industry Data Security Standard)という国際的なセキュリティ基準では、セキュリティコードを保存することは禁止されています。そのため、公式オンラインストアがこの情報を保存していた事実自体が、セキュリティ管理の甘さを示しているといえるでしょう。
This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.