セキュリティレポート　2025/12/3

2025年12月3日2025年12月4日

「平穏な1ヶ月でした」と始めたいところですが、残念ながら今月もサイバーセキュリティの世界は相変わらずの大荒れ模様です。

ゼロデイ脆弱性が飛び交い、AIフレームワークやコラボツールにまでクリティカルな穴が見つかっている状況は、まるで最新のサイバー攻撃のカタログを見ているかのようです。

取引先の皆様も、この「デジタル時代のサバイバルゲーム」で生き残るため、今回のレポートで冷静に現状を把握し、取るべき行動をご確認ください。

■ 今月のエグゼクティブサマリー

2025年12月度は、ゼロデイ脆弱性の活発な悪用や大規模なデータ漏洩が複数報告されており、特に注意が必要です。

これらはモバイルデバイスの制御権奪取や、ユーザー情報の大量流出の点で非常に危険性が高いです。

また、イラン関連のAPTグループ「MuddyWater」の活動が活発化しており、国内でも三菱製紙やオオサキメディカルなどのインシデントが多数報告されました。

【最重要】直ちに確認すべき脆弱性と対策

今月は、特に以下の脆弱性にご注意ください。これらは既に積極的に悪用が確認されており、米CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）の「既知の悪用された脆弱性（KEV）カタログ」にも追加されています。お使いのシステムや製品が該当しないか確認し、速やかなアップデートまたは回避策の適用を強く推奨します。

■ Android OSのFrameworkコンポーネントにおけるゼロデイ脆弱性

CVE-2025-48633 / CVE-2025-48572: AndroidプラットフォームのFrameworkコンポーネントの欠陥に起因し、それぞれ情報漏洩 および権限昇格 の恐れがあります。既に限定的かつ標的型攻撃で悪用が確認されています。
影響: Androidバージョン 13、14、15、16。
対策: Googleが提供している2025年12月のセキュリティアップデート（2025-12-01または2025-12-05セキュリティパッチレベル以降）を速やかに適用してください。

【その他の脅威の動向】

■ AI分散処理フレームワーク「Ray」にRCE脆弱性: AI環境で広く利用されるPythonパッケージ「Ray」に、CVSSv4.0スコア9.4（クリティカル）のリモートコード実行（RCE）脆弱性「CVE-2025-62593」が判明しました。認証が設定されていない開発者のエンドポイント環境において、DNSリバインディング攻撃と組み合わせることで、リモートよりコードを実行されるおそれがあります。速やかに「Ray 2.52.0」以降へアップデートしてください。
■ コラボツール「Mattermost」にCVSS 9.9のクリティカル脆弱性: 組織向けコラボレーションツール「Mattermost」に、CVSSv3.1スコア9.9（クリティカル）の脆弱性（CVE-2025-12421、CVE-2025-12419など）が修正されました。これらは認証済みユーザーによるアカウント乗っ取りを可能とする重大な欠陥です。修正済みバージョンへのアップグレードが必須です。
■ 韓国EC大手Coupangで3370万人超の個人情報漏洩: 韓国のeコマース大手Coupangで、約5ヶ月間にわたり、韓国の顧客約3370万人の個人情報（氏名、メールアドレス、住所、電話番号、注文履歴）が外部サーバー経由で不正にアクセスされました。決済情報やログイン認証情報には影響がないとされていますが、極めて大規模な情報漏洩です。