Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
》 Oracle、「Java」の最新版「Java 25」を発表 ~8年間の長期サポート版 (窓の杜, 9/17)
》 EU、Microsoftの「Teams抱き合わせ」問題で和解 Slackは苦情取り下げ (ITmedia, 9/13)
最終的なコミットメントとして、MicrosoftはEEA域内の顧客に対し、Teamsを含まないOffice 365およびMicrosoft 365スイートを、Teamsを含む対応スイートよりも大幅に低い価格で提供することに合意した。Teams単体の価格を基準として算出されている既存の価格差(割引額)を、さらに50%拡大する。また、長期ライセンスを持つ顧客がTeamsを含まないスイートに切り替えられるようにし、Teamsの競合他社がMicrosoft製品との相互運用性を確保できるようにすることや、顧客が自身のTeamsメッセージデータを競合ソリューションに移行できるデータポータビリティを提供することも約束した。日本政府もがんばれ。
》 米政府、TikTok売却期限を4度目の延長 トランプ大統領「合意に到達」と投稿 (ITmedia, 9/17)
》 障害発生】通信サービスがご利用できない、またはご利用しづらい状況について(第 2 報:9 月 16 日 午後 4 時 30 分時点) (NTT西, 9/16)。龍大の学舎間内線もつながらなくなってます。
1.日時
2025年9月16日(火) 午後3時45分頃から継続中
2.影響エリア
大阪府、京都府の全域のエリア、兵庫県の一部のエリア
3.対象サービスと影響
・ひかり電話
・固定電話(加入電話、INSネット)
※電話サービスに影響がある場合、緊急通報への発信もご利用できない、またはご利用しづらい場合がございます……と、学舎間内線については復旧の連絡が来たぞ (16:58)。
終報出てました。
【復旧】大阪府、京都府の全域および兵庫県の一部エリアで通信サービスがご利用できない状況につい て(終報:9 月 16 日 午後 5 時 00 分時点) (NTT西, 9/16)。16:36 復旧。「原因 当社の通信設備の故障」。
ロシア無人機、夜間のポーランド領空侵犯 その時NATOは (Wall Street Journal, 9/11)
ロシアのドローン侵入、試されるNATOの結束と防衛力 (Wall Street Journal, 9/12)
ポーランド ロシア軍無人機の残骸見つかる NATOの対応が焦点 (NHK, 9/11)
ポーランドで発見された領空侵犯のロシア無人機の残骸は16機に増加 (JSF, 9/11)
○ドローン19飛来(3撃墜、1着弾、15未到達)とすると計算は合う。ポーランド軍が撃墜したロシア無人機、発泡スチロール製のおとりか…ウクライナの混乱狙った可能性 (読売, 9/11)。多くはガーベラ囮無人機?
【解説】 故意か偶然か……ロシア無人機によるポーランド領空侵犯 NATOにとっての試練に (BBC, 9/11)
ロシアのドローンによる領空侵犯、ポーランドのNATO第4条発動は何を意味するのか (CNN, 9/12)
広陵野球部暴力事件の真相 「じゃあ何て言うんじゃ」中井哲之監督の陰湿な“隠蔽強要”を暴く (文春オンライン, 9/9)
収束気配が見えない広陵高野球部の暴力問題 夏の甲子園辞退から1カ月、学校経営にも暗雲 (産経, 9/10)
広陵野球部内暴力 加害生徒が被害生徒の親権者らを刑事告訴「進路に重大な影響」民事訴訟も検討 (日刊スポーツ, 9/11)
広陵野球部は“廃部”へ一直線…加害生徒が被害生徒側を名誉棄損で告訴の異常事態 (日刊ゲンダイ, 9/11)
広陵高校の甲子園辞退、「連帯責任」の是非を問う!いまだ「教育的価値」を掲げる高校野球の欺瞞 (湯浅 大輝 / JBpress, 9/12)
》 ダイキン、従業員のPFOA曝露を初めて認める 通常の「500倍~5万倍」検出、住民向け説明では「健康被害ない」と詭弁 (tansa, 9/11)
》 「TikTokはナチスのラジオと同じ」ドイツ極右政党、躍進のキーマンが目を付けた”毒を広める隙” 選挙とSNSを問う (テレ朝 / Yahoo, 7/10)。AfD。
》 ドイツ極右議員、中国側から収賄か 検察が事務所捜索 (時事, 9/12)。AfD のマクシミリアン・クラー連邦議会議員。関連:
スパイ容疑で極右政党議員スタッフ逮捕 独検察 中国に情報提供 (ロイター, 2024.04.23)。これは去年のニュース。
独検察、中国人の女をスパイ容疑で逮捕 右派政党の欧州議会議員元スタッフに情報 (産経, 2024.10.01)。これも去年のニュース。 「中国人の女」を逮捕。「既にスパイ容疑で逮捕された男に流していた」。
「中国スパイ、欧州議会文書500件盗み出す」…ドイツ議員補佐官がスパイ容疑で起訴 (中央日報, 4/30)。これは今年のニュース。 中国出身でドイツ国籍保有者の Jian Guo 氏。
Guo氏はこの期間、ドイツのための選択肢(AfD)所属のマクシミリアン・クラー(Maximilian Krah)欧州議会議員の補佐官として勤務し、欧州議会が「敏感な書類」に分類した文書500件余りを入手して交渉・決定関連情報を中国情報機関に渡した容疑(刑法上他国情報機関のための間諜等)がもたれている。
ドイツ検察はGuo氏が2002年からドイツで中国情報機関の要員として勤務しながら、AfDの政治家やドイツ内の中国反体制人事に関連する諜報を収集するなど広範囲な情報活動を行っていたと明らかにした。
(中略)
あわせてドイツ検察はライプツィヒ空港で物流会社の職員として働きながら、Guo氏に軍需業者の武器輸送や貨物・乗客情報を渡した容疑で中国国籍者のYaqi X氏も共に起訴した。
》 チャーリー・カーク狙撃事件方面。 犯人は依然として逃走中のようだ。
Utah Valley Shooting Updates (FBI)。犯人の写真、逃走動画が掲載されている。 懸賞金 10 万ドルだそうで。
米保守活動家チャーリー・カーク殺害、容疑者の「逃走動画」を当局が公開。約1500万円の懸賞金 (ハフポスト, 9/12)
》 MAGA 活動家チャーリー・カーク、狙撃され死亡。 犯人は逃走中のようだ。
米保守活動家チャーリー・カーク氏、大学イベントで銃撃され死亡 熱烈なトランプ氏支持者 (BBC, 9/11)
米保守活動家カーク氏の銃撃事件、何が起きたか (Wall Street Journal, 9/11)
どこから入手した情報なのか、「FBIが容疑者を拘束」と書いてしまう 読売新聞オンライン https://x.com/Yomiuri_Online/status/1965909639331197159 。なぜツイートを削除しないのだろう。
2025.09.12 追記:米保守活動家チャーリー・カーク殺害、容疑者の「逃走動画」を当局が公開。約1500万円の懸賞金 (ハフポスト, 9/12)
FBIのパテル長官は事件後の10日夜、「チャーリー・カークの命を奪った恐ろしい銃撃事件容疑者の身柄を拘束した」とXに投稿したが、約1時間後に、拘束された人物はすでに解放されたと発表した。
当局は現在も容疑者の行方を追っている。
》 グーグル「大勝利」、アップルにはさらに大きな勝利 (Wall Street Journal, 9/4)
両社は2日、米政府がグーグルを相手取って起こした2件の反トラスト法(独占禁止法)違反を巡る訴訟の一つで大きな勝利を手にした。連邦地裁のアミット・P・メータ判事は、グーグルの事業分割や同社検索エンジンを巡るアップルへの対価支払い停止を求めた政府の要請を基本的に却下した。
》 レールガンの洋上射撃試験に成功──装備庁が報告 長射程射撃&船への射撃で成果 (ITmedia, 9/10)
》 経済産業省ら、脆弱性関連情報をむやみに第三者に公開しないよう求める声明を発表 (Internet Watch, 9/9)。「むやみに」?
》 警視庁、偽のCAPTCHA画面でマルウェアをインストールさせる手口に注意喚起 (Internet Watch, 9/10)
》 IPA、「情報セキュリティ白書2025」PDF版の先行公開開始 (Internet Watch, 9/11)
》 生成AIが巡回するたび報酬が発生? 無断クローラー対策の決定版となる標準規格が誕生 (やじうま Watch, 9/11)
》 パブリック TLS 証明書からクライアント認証 EKU サービス停止のご案内 (DigiCert, 9/4)
DigiCert は、2025 年 10 月 1 日以降、パブリック TLS 証明書にクライアント認証拡張キー使用法 (EKU) をデフォルトで含めなくなります。これは、Google Chrome のルート プログラム要件に対応するための変更で セキュリティを強化し、相互運用性を促進することを目的としています。へえ。関連:
ClientAuthの無効化が金融機関をX9 PKIに向かわせる理由 (DigiCert, 5/15)
Zoom
「Zoom」にサービス拒否や権限昇格など全7件の脆弱性 ~最新版へのアップデートを (窓の杜, 2025.09.11)
curl
curl 8.16.0 (daniel.haxx.se, 2025.09.10)。2 件のセキュリティ修正を含む。
以下になります。 ColdFusion が Priority:1、Adobe Commerce が Priority:2、他は 3。
- APSB25-85 : Security update available for Adobe Acrobat Reader (Adobe, 2025.09.10)
- APSB25-86 : Security update available for Adobe After Effects (Adobe, 2025.09.10)
- APSB25-87 : Security update available for Adobe Premiere Pro (Adobe, 2025.09.10)
- APSB25-88 : Security update available for Adobe Commerce (Adobe, 2025.09.10)
- APSB25-89 : Security update available for Adobe Substance 3D Viewer (Adobe, 2025.09.10)
- APSB25-90 : Security update available for Adobe Experience Manager (Adobe, 2025.09.10)
- APSB25-91 : Security update available for Adobe Dreamweaver (Adobe, 2025.09.10)
- APSB25-92: Security update available for Adobe 3D Substance Modeler (Adobe, 2025.09.10)
- APSB25-93 : Security update available for Adobe ColdFusion (Adobe, 2025.09.10)
Chrome 140.0.7339.127/.128 (Windows) 140.0.7339.132/.133 (Mac) 140.0.7339.127 (Linux) 公開。2 件のセキュリティ修正を含む。
[$43000][440454442] Critical CVE-2025-10200: Use after free in Serviceworker. Reported by Looben Yang on 2025-08-22
[$30000][439305148] High CVE-2025-10201: Inappropriate implementation in Mojo. Reported by Sahan Fernando & Anon on 2025-08-18うひょ〜、金額!! 関連:
Chrome for Android Update (Google, 2025.09.09)。Chrome 140 (140.0.7339.123) for Android。
Microsoft 2025.09 更新出ました。 86 Microsoft CVE + 5 non-MS CVE。 CVE 番号が太字 なのは critical (最大深刻度: 緊急) 扱い。
- Azure Arc CVE-2025-55316
- Azure Windows Virtual Machine Agent CVE-2025-49692
- Capability Access Management Service (camsvc) CVE-2025-54108
- Graphics Kernel CVE-2025-55223 CVE-2025-55226 CVE-2025-55236
- Microsoft AutoUpdate (MAU) CVE-2025-55317
- Microsoft Brokering File System CVE-2025-54105
- Microsoft Edge (Chromium-based) CVE-2025-53791 CVE-2025-9864 CVE-2025-9865 CVE-2025-9866 CVE-2025-9867
- Microsoft Graphics Component CVE-2025-53800 CVE-2025-53807
- Microsoft High Performance Compute Pack (HPC) CVE-2025-55232
- Microsoft Office CVE-2025-54906 CVE-2025-54910 CVE-2025-55243
- Microsoft Office Excel CVE-2025-54896 CVE-2025-54898 CVE-2025-54899 CVE-2025-54900 CVE-2025-54901 CVE-2025-54902 CVE-2025-54903 CVE-2025-54904
- Microsoft Office PowerPoint CVE-2025-54908
- Microsoft Office SharePoint CVE-2025-54897
- Microsoft Office Visio CVE-2025-54907
- Microsoft Office Word CVE-2025-54905
- Microsoft Virtual Hard Drive CVE-2025-54112
- Role: Windows Hyper-V CVE-2025-54091 CVE-2025-54092 CVE-2025-54098 CVE-2025-54115
- SQL Server CVE-2024-21907 CVE-2025-47997 CVE-2025-55227
- Windows Ancillary Function Driver for WinSock CVE-2025-54099
- Windows BitLocker CVE-2025-54911 CVE-2025-54912
- Windows Bluetooth Service CVE-2025-53802
- Windows Connected Devices Platform Service CVE-2025-54102 CVE-2025-54114
- Windows Defender Firewall Service CVE-2025-53808 CVE-2025-53810 CVE-2025-54094 CVE-2025-54104 CVE-2025-54109 CVE-2025-54915
- Windows DWM CVE-2025-53801
- Windows Imaging Component CVE-2025-53799
- Windows Internet Information Services CVE-2025-53805
- Windows Kernel CVE-2025-53803 CVE-2025-53804 CVE-2025-54110
- Windows Local Security Authority Subsystem Service (LSASS) CVE-2025-53809 CVE-2025-54894
- Windows Management Services CVE-2025-54103
- Windows MapUrlToZone CVE-2025-54107 CVE-2025-54917
- Windows MultiPoint Services CVE-2025-54116
- Windows NTFS CVE-2025-54916
- Windows NTLM CVE-2025-54918
- Windows PowerShell CVE-2025-49734
- Windows Routing and Remote Access Service (RRAS) CVE-2025-53796 CVE-2025-53797 CVE-2025-53798 CVE-2025-53806 CVE-2025-54095 CVE-2025-54096 CVE-2025-54097 CVE-2025-54106 CVE-2025-54113 CVE-2025-55225
- Windows SMB CVE-2025-55234
- Windows SMBv3 Client CVE-2025-54101
- Windows SPNEGO Extended Negotiation CVE-2025-54895
- Windows TCP/IP CVE-2025-54093
- Windows UI XAML Maps MapControlSettings CVE-2025-54913
- Windows UI XAML Phone DatePickerFlyout CVE-2025-54111
- Windows Win32K - GRFX CVE-2025-54919 CVE-2025-55224 CVE-2025-55228
- Xbox CVE-2025-55245
0-day は 2 件。
Windows SMB Elevation of Privilege Vulnerability CVE-2025-55234 (Microsoft, 2025.09.09)。情報公開のみ。
VulnCheck: CVE-2024-21907 Improper Handling of Exceptional Conditions in Newtonsoft.Json CVE-2024-21907 (Microsoft, 2025.09.09)。情報公開のみ。
2025.08 patch で発生した不具合のうち、修正された分。
関連:
【Windows11】 WindowsUpdate 2025年9月 不具合情報 - セキュリティ更新プログラム KB5065431 / KB5065426 (ニッチなPCゲーマーの環境構築Z, 2025.09.10)
【Windows11】 WindowsUpdate 2025年9月 不具合情報 - セキュリティ更新プログラム KB5065431 / KB5065426 (ニッチなPCゲーマーの環境構築Z, 2025.09.10)
》 職員への誹謗中傷、調べたら投稿者は元職員……3万7000人分の情報持ち出しも発覚 堺市文化振興財団 (ITmedia, 9/9)。 【重要なお知らせ】元職員による個人データ漏えい事案の発生とお詫び (堺市文化振興財団, 9/8)
》 「自分の声が無断で生成AIに」──プリキュア声優の山村響さんが告発 とある音声合成AIが波紋 経緯は (ITmedia, 9/9)
無料のAI音声合成ソフト「AivisSpeech」の標準モデル「Anneli」の開発では、声優の山村響(やまむら ひびく)さんの許諾を取っていない――同モデルの作成者による告白により、AivisSpeechがSNS上で波紋を広げている。
》 民放5局、BS4Kから撤退か──TBSの資料から浮かび上がる厳しい現状とは? 代わりに浮上した4K配信 (ITmedia, 9/9)
》 国勢調査が行われる2025年、なりすましの「かたり調査」などに国民生活センターが注意喚起 (Internet Watch, 9/8)
》 欧州の通信事業者で2024年に発生したセキュリティインシデント、最も多い原因は? (山賀 正人 / Internet Watch, 9/8)
今回の報告書で注目すべきなのは、悪意のある行為が原因となるセキュリティインシデントが1割にも満たない点です。(中略) 通信事業者のように正常なサービスの提供停止(情報セキュリティのCIAのうちの「A:可用性」の侵害)を極めて深刻なセキュリティインシデントと見なさなければならない企業や組織においては、どのような原因であれ、停止に至った出来事は間違いなく全てセキュリティインシデントなのです。
》 「自民党は断末魔の苦しみにある」 石破辞任を海外メディアはこう報じた (クーリエ・ジャポン, 9/8)。 「自民の断末魔だ……」 「自民の断末魔です!」
》 厚生労働省薬事審議会にて緊急避妊薬のスイッチOTC化の方針が可決。声明文を公開しました。 (change.org, 9/8)。まずはめでたい。
一方で、2021年の要望提出から4年、2016年の最初の申請からは9年という長期に渡る議論が積み重ねられ、また、年齢制限や保護者同意の条件はつけないことになったものの、薬剤師の面前服用の条件は課されることとなりました。また、向き合うべき課題は、まだあまりにも山積しており、今回のようやくの可決を手放しで喜ぶことはできません。なおも闘いはつづく。
》 R-18コンテンツを開いているブラウザタブを検知・スクショするマルウェア Webカムで撮影も 性的脅迫に使用か (ITmedia, 9/5)。おぉぅ。
》 「Firefox ESR 115」のWindows 7対応がさらに延長、これで3度目 (窓の杜, 9/5)。2026.03 までだそうです。
》 天気予報サービス「177」の終了について (NTT東, 2024.07.26)。「2025年3月31日(月)をもって提供終了」。知らんかった。
関連: 電話の3桁番号サービス (NTT東)。104 も「2026年3月31日サービス終了」だそうで。
Python 用 TkEasyGUI
Pythonの国産GUIライブラリ「TkEasyGUI」に深刻な脆弱性 ~任意OSコマンド実行の恐れ (窓の杜, 2025.09.05)。 v1.0.22 以降で修正されているそうです。
Chrome 140.0.7339.80 (Linux) および 140.0.7339.80/81 (Windows / Mac) が stable に。6 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2025.09.02)。Chrome 140 (140.0.7339.35) for Android。
Chrome Stable for iOS Update (Google, 2025.09.03)。 Desktop 版 / Android 版のセキュリティ修正にどれだけ追従しているのかは不明。
Microsoft Edge 140 Web プラットフォームのリリース ノート (2025 年 9 月) (Microsoft)。「2025 年 9 月 4 日にリリースされる Microsoft Edge 140 」 だそうなので、もう出ているのでしょう。
》 川重、海自潜水艦エンジンで検査データ改ざんか 20年間不正の疑い (毎日, 8/28)
川重によると、今月、「2021年までに製造された潜水艦エンジンの一部で検査不正が行われていた可能性が高い」と防衛省に報告。外部弁護士らの特別調査委員会が調査しており、年内にも最終報告をまとめる見通しという。関連:
開示事項の経過)舶用エンジンにおける検査不正について (川崎重工業株式会社, 8/29)
<1分で解説>川重、今度は潜水艦検査データ改ざんか 相次ぐ不祥事 (毎日, 8/29)
》 「ヤバさが伝わる」の声も──NHKの「津波マルチ画面」“見やすさ”の工夫を広報に聞いた (ITmedia, 9/1)
》 楽天ふるさと納税、10月からポイント付与取りやめ 総務省のルール変更で (ITmedia, 9/1)
》 サウジアラビアは世界最大の格ゲーの祭典「EVO」を買収して「スポーツウォッシング」をしているという批判 (gigazine, 9/4)
》 UNC5325と関係するTINYSHELLベースの新しいLinux用マルウェア (IIJ-SECT, 9/4)
》 営業秘密の漏えい、サイバー攻撃要因が大きく増加~IPAが企業における営業秘密管理に関する実態調査を発表 (Internet Watch, 9/2)
》 Windowsのロック画面がカスタマイズ可能に、スマホ情報、クイズ、タイマーなどもOK ~8月プレビューパッチから展開 (窓の杜, 9/4)
「Windows 11 バージョン 24H2」の2025年8月非セキュリティプレビュー更新プログラム「KB5064081」以降、この制限は緩和され、ロック画面に表示するウィジェットを自由に追加・削除できるようになる。ウィジェットの並び替えも可能
WhatsApp / WhatsApp Business for iOS, WhatsApp for Mac
「WhatsApp」にゼロデイ脆弱性、iOS/macOSの脆弱性と組み合わせて標的型攻撃に悪用か (窓の杜, 2025.09.02)。 iOS / macOS 用アプリに欠陥 CVE-2025-55177。 Apple 0-day 対応 (iOS / iPadOS, macOS) で修正された CVE-2025-43300 との合わせ技で攻撃していた模様。
Android
Androidに2件のゼロデイ脆弱性~2025年9月のセキュリティ情報が公開 (窓の杜, 2025.09.03)
》 マイナ免許証、9月1日から更新しやすく システム接続で“二度手間”なくなる (ITmedia, 9/1)。マイナ免許証にするとむしろ不便感が 1 つ減ったようです。