セキュリティレポート　2025/11/19

2025年11月20日2025年12月4日

「アップデートは後で」と放置した結果、実は数億円のコストや機密情報の流出につながる可能性を秘めているとしたら？

今月のレポートは、「既に悪用されている」ブラウザのゼロデイ脆弱性という、無視できない現実に焦点を当てています。

あなたのビジネスを守るため、この緊急事態への具体的な対策を今すぐご確認ください。

■ 今月のエグゼクティブサマリー

今月は、既に活発な悪用が確認されているゼロデイ脆弱性が複数報告されており、特に注意が必要です。

これらは広く利用されているブラウザのリモートコード実行の点で非常に危険性が高いです。また、英国の大手自動車メーカーが約2億ポンド近いコストを伴うサイバー攻撃被害を報告、国内でもクレジットカード情報流出やランサムウェア被害などのインシデントが報告されました。

今月は、特に以下の脆弱性にご注意ください。これらはCVSSスコアが高く、既に積極的に悪用が確認されているため、直ちに対応が必要です。お使いのシステムや製品が該当しないか確認し、速やかなアップデートまたは回避策の適用を強く推奨します。

■ Google ChromeおよびMicrosoft EdgeのV8スクリプトエンジンにおける型の取り違えの脆弱性

CVE-2025-13223 (CVSSv3.1: 8.8): Google ChromeのV8 JavaScript/WebAssemblyエンジンにおける型の取り違えの不具合に起因し、細工されたHTMLページを介してリモートコード実行（RCE）の恐れがあります。既に悪用が確認されているゼロデイ脆弱性であり、Googleの脅威分析グループ（TAG）によって報告されました。この脆弱性は、商用スパイウェアベンダーによって悪用された可能性があります。
影響: Google Chrome、およびChromiumをベースとするMicrosoft Edgeの利用者。
対策: Chromeはバージョン142.0.7444.175/.176へ、Edgeは142.0.3595.90へ、速やかに修正済みソフトウェアへのアップグレードを強く推奨します。

■ IBM AIXの深刻な脆弱性と対策

IBMのUNIX系OS「AIX」のNIMコンポーネントに、CVSSスコア9.0以上の深刻な脆弱性が複数（3件）判明しています。

これらはネットワーク経由でリモートから任意のコマンド実行につながる可能性があるため、該当製品（AIX/VIOS）をご利用の組織は直ちにアップデートが必要です。

■ 重要インシデントのコストと国内情報流出

自動車メーカーJaguar Land Roverは、9月のサイバー攻撃により生産が停止し、データ窃取が発生した結果、四半期で1億9,600万ポンド（約2億2,000万ドル）のコストが発生したと発表しました。

また、リサイクル着物の通販サイトでクレジットカード情報208人分が流出した可能性が判明し、国内における情報流出のリスクも継続しています。

今月は特に、ブラウザのゼロデイ脆弱性という身近で緊急性の高い脅威と、サプライチェーンや重要インフラに関わる重大インシデントが目立ちました。

貴社のシステムがこれらの脅威に晒されていないか、今一度ご確認いただき、適切なセキュリティ対策、特にパッチの速やかな適用を講じていただくようお願いいたします。