【GPT-5】今週のサイバーセキュリティ・ダイジェスト（2025-10-18版 / 対象：2025-10-11〜10-17 JST）

3行まとめ

• Windows 10のサポート終了タイミングの大量パッチ（170件超）。すでに悪用中ゼロデイも含むため優先度を付けて即時適用を。出典：https://krebsonsecurity.com/2025/10/patch-tuesday-october-2025-end-of-10-edition/ / https://thehackernews.com/2025/10/two-new-windows-zero-days-exploited-in.html
• F5侵害：国家支援アクター関与。ソースコード／未公開脆弱性情報の窃取懸念が公表され、BIG-IP等の運用組織は緊急点検を。出典：https://www.securityweek.com/f5-blames-nation-state-hackers-for-theft-of-source-code-and-vulnerability-data/ / https://www.infosecurity-magazine.com/news/f5-nation-state-breach-immediate/
• CISA KEVが10/14・10/15に追記。実害発生中のCVEを優先的に対処。出典：https://www.cisa.gov/news-events/alerts/2025/10/14/cisa-adds-five-known-exploited-vulnerabilities-catalog / https://www.cisa.gov/news-events/alerts/2025/10/15/cisa-adds-one-known-exploited-vulnerability-catalog

---

直近7日の主な見出し（一覧表）

日付(JST)	出典	見出し（日本語要約）	要点（1行）	出典URL
10/17	SecurityWeek	Sotheby’sが機微個人情報の流出を公表	高額顧客データが標的、監視と通知体制を強化	https://www.securityweek.com/hackers-steal-sensitive-data-from-auction-house-sothebys/
10/17	SecurityWeek	ASP.NET Coreの重大欠陥（CVE-2025-55315）に“過去最高”級のスコア	HTTPリクエスト・スマグリング、フレームワークの迅速更新を	https://www.securityweek.com/highest-ever-severity-score-assigned-by-microsoft-to-asp-net-core-vulnerability/
10/17	CSO Online	ASP.NET Coreの重大欠陥がMicrosoft史上最高評価	Kestrel由来。実装依存でも影響は広範	https://www.csoonline.com/article/4074590/critical-asp-net-core-vulnerability-earns-microsofts-highest-ever-severity-score.html
10/16	Infosecurity Magazine	F5が国家支援侵害を公表	ソースコード/未公開脆弱性情報の窃取懸念、即時の点検を要請	https://www.infosecurity-magazine.com/news/f5-nation-state-breach-immediate/
10/16	Dark Reading	F5 BIG-IP環境が侵害	国家支援アクター関与。露出面とログの横断点検を	https://www.darkreading.com/cyberattacks-data-breaches
10/16	KnowBe4	Salesforce狙いのボイスフィッシングに注意喚起	UNC6040が電話で認証迂回を誘導	https://blog.knowbe4.com/protect-yourself-from-voice-phishing-attacks-targeting-salesforce-instances
10/15	SecurityWeek	Fortinet/Ivantiが高深刻度の修正を公開	広範な製品群に対応、運用停止回避しつつ優先適用	https://www.securityweek.com/high-severity-vulnerabilities-patched-by-fortinet-and-ivanti/
10/15	The Hacker News	Windowsで“悪用中”ゼロデイ2件を修正	10月月例で170件超、ゼロデイ/高CVSSを含む	https://thehackernews.com/2025/10/two-new-windows-zero-days-exploited-in.html
10/15	Infosecurity Magazine	“最後の”Windows 10 Patch Tuesdayはゼロデイ複数を修正	Win10 EoS、移行計画の前倒しを	https://www.infosecurity-magazine.com/end-point-security/
10/15	SecurityWeek	Harvard、Oracle EBSゼロデイの初確認被害に	Cl0p系が1TB超のデータ公開と主張	https://www.securityweek.com/harvard-is-first-confirmed-victim-of-oracle-ebs-zero-day-hack/
10/14	Krebs on Security	Patch Tuesday（10月）：Win10最終月、170件超	既に悪用中の欠陥あり。移行不可端末は隔離運用へ	https://krebsonsecurity.com/2025/10/patch-tuesday-october-2025-end-of-10-edition/
10/14	CISA	KEVに5件追加（10/14）	実悪用CVEの優先パッチ対象	https://www.cisa.gov/news-events/alerts/2025/10/14/cisa-adds-five-known-exploited-vulnerabilities-catalog
10/15	CISA	KEVに1件追加（10/15）	追加入り。対応SLAの確認を	https://www.cisa.gov/news-events/alerts/2025/10/15/cisa-adds-one-known-exploited-vulnerabilities-catalog
10/14–15	MITRE ATT&CK	ATT&CKcon 6.0 開催（イベント）	最新ユースケースとマッピング事例の共有	https://attack.mitre.org/resources/attackcon/
10/14	CVE.org	Browser Company / FoxitがCNAに追加	識別体系の拡充、開発元の直接採番が容易に	https://www.cve.org/Media/News/item/news/2025/10/14/Browser-Company-Added-as-CNA / https://www.cve.org/Media/News/item/news/2025/10/14/Foxit-Added-as-CNA

参考：NVD “recent/modified”フィードは直近8日分を提供。自社CPEと突合して自動チケット化を推奨。出典：https://nvd.nist.gov/vuln/data-feeds

APWG／OWASP／NICTERは今週の新規レポートなし（四半期報告やブログ更新はあり）。出典：https://apwg.org/trendsreports / https://owasp.org/blog/ / https://blog.nicter.jp/

---

今週のハイライト（解説）

1) Windows 10 EoS と 10月パッチの要諦

10/14の月例で170件超の修正（媒体により集計差あり）。悪用中ゼロデイを含み、Windows 10は今月でセキュリティ更新終了。移行待ち端末はESU/隔離運用/用途限定のいずれかを即断。出典：https://krebsonsecurity.com/2025/10/patch-tuesday-october-2025-end-of-10-edition/ / https://thehackernews.com/2025/10/two-new-windows-zero-days-exploited-in.html / https://www.csoonline.com/article/4072485/october-2025-patch-tuesday-holes-in-windows-server-update-service-and-an-ancient-modem-driver.html

2) ASP.NET Core の“過去最高”級：CVE-2025-55315

HTTPリクエスト・スマグリング系でAPI/リバースプロキシ構成に波及。.NET/ASP.NET Coreの即時更新と、WAF/IDSのリクエスト分割検知の見直しを。出典：https://www.securityweek.com/highest-ever-severity-score-assigned-by-microsoft-to-asp-net-core-vulnerability/ / https://www.csoonline.com/article/4074590/critical-asp-net-core-vulnerability-earns-microsofts-highest-ever-severity-score.html

3) F5侵害：長期潜伏と機密窃取の懸念

SEC向け開示等で国家支援アクターの関与が示唆。ソースコード／未公開脆弱性情報の窃取に言及。BIG-IPを含む運用は構成・認証情報・CI/CD連携の全面監査を。出典：https://www.securityweek.com/f5-blames-nation-state-hackers-for-theft-of-source-code-and-vulnerability-data/ / https://www.infosecurity-magazine.com/news/f5-nation-state-breach-immediate/ / https://www.darkreading.com/cyberattacks-data-breaches

---

重大脆弱性とパッチ情報

• Microsoft（10月）：悪用中ゼロデイ複数。170件超の修正はサービス影響を考慮しつつ段階展開。出典：https://krebsonsecurity.com/2025/10/patch-tuesday-october-2025-end-of-10-edition/ / https://thehackernews.com/2025/10/two-new-windows-zero-days-exploited-in.html
• ASP.NET Core（CVE-2025-55315）：フレームワーク更新＋WAF/リバプロ設定の再検討。出典：https://www.securityweek.com/highest-ever-severity-score-assigned-by-microsoft-to-asp-net-core-vulnerability/
• Fortinet / Ivanti：高深刻度多数、資産台帳に基づき優先適用。出典：https://www.securityweek.com/high-severity-vulnerabilities-patched-by-fortinet-and-ivanti/

---

インシデント・データ侵害

• F5：長期潜伏の上で情報窃取。Secretsローテーションと管理ネットワークの再点検を即実施。出典：https://www.securityweek.com/f5-blames-nation-state-hackers-for-theft-of-source-code-and-vulnerability-data/
• Sotheby’s：SSNを含む機微情報が流出。高額顧客の監視・通知を強化。出典：https://www.securityweek.com/hackers-steal-sensitive-data-from-auction-house-sothebys/
• Harvard（Oracle EBSゼロデイ）：Cl0p系が関与の見立て、被害規模大。出典：https://www.securityweek.com/harvard-is-first-confirmed-victim-of-oracle-ebs-zero-day-hack/

---

フィッシング／ソーシャルエンジニアリング

• Salesforce狙いのボイスフィッシング（UNC6040）：ヘルプデスク経由で権限付与を誘導。折り返し認証・コールバック番号固定・管理者操作の二経路承認を標準に。出典：https://blog.knowbe4.com/protect-yourself-from-voice-phishing-attacks-targeting-salesforce-instances
• AI支援のフィッシング増加（今週の動向）も継続。出典：https://blog.knowbe4.com/cyberheistnews-vol-15-41-ai-misuse-alert-new-phishing-campaign-uses-ai-tools-to-evade-detection

---

政策・基準・フレームワーク動向

• CISA KEV：10/14に5件、10/15に1件追加。SLA（例：24–72h）での優先対応を。出典：
  https://www.cisa.gov/news-events/alerts/2025/10/14/cisa-adds-five-known-exploited-vulnerabilities-catalog / https://www.cisa.gov/news-events/alerts/2025/10/15/cisa-adds-one-known-exploited-vulnerability-catalog
• MITRE ATT&CK：現行はv17（4月）。今週はATT&CKcon 6.0で最新事例共有。出典：https://attack.mitre.org/resources/updates/ / https://attack.mitre.org/resources/attackcon/
• CVE Program：主要ベンダがCNAに追加。採番体制の拡充で公開速度向上に期待。出典：https://www.cve.org/media/news/allnews

---

日本の組織への影響と“今すぐやること”

1. Windows：10月更新を優先展開。Win10はEoSのため、ESU適用／ネット分離／用途限定の暫定策を本日中に決定。出典：https://krebsonsecurity.com/2025/10/patch-tuesday-october-2025-end-of-10-edition/
2. .NET/ASP.NET Core：CVE-2025-55315の影響棚卸し→フレームワーク更新→WAF/IDSルール強化。出典：https://www.securityweek.com/highest-ever-severity-score-assigned-by-microsoft-to-asp-net-core-vulnerability/
3. F5製品：認証情報・証明書・APIキーの全面ローテーションと脅威ハンティング。出典：https://www.securityweek.com/f5-blames-nation-state-hackers-for-theft-of-source-code-and-vulnerability-data/
4. SaaS防御（Salesforce等）：ヘルプデスク経由の権限付与を電話のみで完結させない運用へ。コールバック必須化。出典：https://blog.knowbe4.com/protect-yourself-from-voice-phishing-attacks-targeting-salesforce-instances
5. パッチ運用：CISA KEV対応を最優先に。週次でKEV/NVD “recent”を突合し、自動起票。出典：https://www.cisa.gov/known-exploited-vulnerabilities-catalog / https://nvd.nist.gov/vuln/data-feeds

---

中長期対策のメモ

• 老朽OSの用途限定化：Win10継続は完全ネット分離／アプリホワイトリスト必須。
• SBoMと依存関係の見える化：.NET/Node等ランタイム更新をCI/CDで自動化。
• サプライチェーン：ベンダ脆弱性（F5など）に備えサブ処理者管理と秘密情報の最小化。
• 人的リスク低減：ボイス/ビデオ含む多チャネル認証の内製ルール化と教育反復（四半期）。

---

運用メモ：KEV / NVD 直近8日“要監視”

• KEVカタログ（10/14・10/15更新）：https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• NVD “recent/modified”フィード（過去8日）：https://nvd.nist.gov/vuln/data-feeds