3行まとめ
- Windows 10のサポート終了タイミングの大量パッチ(170件超)。すでに悪用中ゼロデイも含むため優先度を付けて即時適用を。出典:https://krebsonsecurity.com/2025/10/patch-tuesday-october-2025-end-of-10-edition/ / https://thehackernews.com/2025/10/two-new-windows-zero-days-exploited-in.html
- F5侵害:国家支援アクター関与。ソースコード/未公開脆弱性情報の窃取懸念が公表され、BIG-IP等の運用組織は緊急点検を。出典:https://www.securityweek.com/f5-blames-nation-state-hackers-for-theft-of-source-code-and-vulnerability-data/ / https://www.infosecurity-magazine.com/news/f5-nation-state-breach-immediate/
- CISA KEVが10/14・10/15に追記。実害発生中のCVEを優先的に対処。出典:https://www.cisa.gov/news-events/alerts/2025/10/14/cisa-adds-five-known-exploited-vulnerabilities-catalog / https://www.cisa.gov/news-events/alerts/2025/10/15/cisa-adds-one-known-exploited-vulnerability-catalog
直近7日の主な見出し(一覧表)
参考:NVD “recent/modified”フィードは直近8日分を提供。自社CPEと突合して自動チケット化を推奨。出典:https://nvd.nist.gov/vuln/data-feeds
APWG/OWASP/NICTERは今週の新規レポートなし(四半期報告やブログ更新はあり)。出典:https://apwg.org/trendsreports / https://owasp.org/blog/ / https://blog.nicter.jp/
今週のハイライト(解説)
1) Windows 10 EoS と 10月パッチの要諦
10/14の月例で170件超の修正(媒体により集計差あり)。悪用中ゼロデイを含み、Windows 10は今月でセキュリティ更新終了。移行待ち端末はESU/隔離運用/用途限定のいずれかを即断。出典:https://krebsonsecurity.com/2025/10/patch-tuesday-october-2025-end-of-10-edition/ / https://thehackernews.com/2025/10/two-new-windows-zero-days-exploited-in.html / https://www.csoonline.com/article/4072485/october-2025-patch-tuesday-holes-in-windows-server-update-service-and-an-ancient-modem-driver.html
2) ASP.NET Core の“過去最高”級:CVE-2025-55315
HTTPリクエスト・スマグリング系でAPI/リバースプロキシ構成に波及。.NET/ASP.NET Coreの即時更新と、WAF/IDSのリクエスト分割検知の見直しを。出典:https://www.securityweek.com/highest-ever-severity-score-assigned-by-microsoft-to-asp-net-core-vulnerability/ / https://www.csoonline.com/article/4074590/critical-asp-net-core-vulnerability-earns-microsofts-highest-ever-severity-score.html
3) F5侵害:長期潜伏と機密窃取の懸念
SEC向け開示等で国家支援アクターの関与が示唆。ソースコード/未公開脆弱性情報の窃取に言及。BIG-IPを含む運用は構成・認証情報・CI/CD連携の全面監査を。出典:https://www.securityweek.com/f5-blames-nation-state-hackers-for-theft-of-source-code-and-vulnerability-data/ / https://www.infosecurity-magazine.com/news/f5-nation-state-breach-immediate/ / https://www.darkreading.com/cyberattacks-data-breaches
重大脆弱性とパッチ情報
- Microsoft(10月):悪用中ゼロデイ複数。170件超の修正はサービス影響を考慮しつつ段階展開。出典:https://krebsonsecurity.com/2025/10/patch-tuesday-october-2025-end-of-10-edition/ / https://thehackernews.com/2025/10/two-new-windows-zero-days-exploited-in.html
- ASP.NET Core(CVE-2025-55315):フレームワーク更新+WAF/リバプロ設定の再検討。出典:https://www.securityweek.com/highest-ever-severity-score-assigned-by-microsoft-to-asp-net-core-vulnerability/
- Fortinet / Ivanti:高深刻度多数、資産台帳に基づき優先適用。出典:https://www.securityweek.com/high-severity-vulnerabilities-patched-by-fortinet-and-ivanti/
インシデント・データ侵害
- F5:長期潜伏の上で情報窃取。Secretsローテーションと管理ネットワークの再点検を即実施。出典:https://www.securityweek.com/f5-blames-nation-state-hackers-for-theft-of-source-code-and-vulnerability-data/
- Sotheby’s:SSNを含む機微情報が流出。高額顧客の監視・通知を強化。出典:https://www.securityweek.com/hackers-steal-sensitive-data-from-auction-house-sothebys/
- Harvard(Oracle EBSゼロデイ):Cl0p系が関与の見立て、被害規模大。出典:https://www.securityweek.com/harvard-is-first-confirmed-victim-of-oracle-ebs-zero-day-hack/
フィッシング/ソーシャルエンジニアリング
- Salesforce狙いのボイスフィッシング(UNC6040):ヘルプデスク経由で権限付与を誘導。折り返し認証・コールバック番号固定・管理者操作の二経路承認を標準に。出典:https://blog.knowbe4.com/protect-yourself-from-voice-phishing-attacks-targeting-salesforce-instances
- AI支援のフィッシング増加(今週の動向)も継続。出典:https://blog.knowbe4.com/cyberheistnews-vol-15-41-ai-misuse-alert-new-phishing-campaign-uses-ai-tools-to-evade-detection
政策・基準・フレームワーク動向
- CISA KEV:10/14に5件、10/15に1件追加。SLA(例:24–72h)での優先対応を。出典:
https://www.cisa.gov/news-events/alerts/2025/10/14/cisa-adds-five-known-exploited-vulnerabilities-catalog / https://www.cisa.gov/news-events/alerts/2025/10/15/cisa-adds-one-known-exploited-vulnerability-catalog - MITRE ATT&CK:現行はv17(4月)。今週はATT&CKcon 6.0で最新事例共有。出典:https://attack.mitre.org/resources/updates/ / https://attack.mitre.org/resources/attackcon/
- CVE Program:主要ベンダがCNAに追加。採番体制の拡充で公開速度向上に期待。出典:https://www.cve.org/media/news/allnews
日本の組織への影響と“今すぐやること”
- Windows:10月更新を優先展開。Win10はEoSのため、ESU適用/ネット分離/用途限定の暫定策を本日中に決定。出典:https://krebsonsecurity.com/2025/10/patch-tuesday-october-2025-end-of-10-edition/
- .NET/ASP.NET Core:CVE-2025-55315の影響棚卸し→フレームワーク更新→WAF/IDSルール強化。出典:https://www.securityweek.com/highest-ever-severity-score-assigned-by-microsoft-to-asp-net-core-vulnerability/
- F5製品:認証情報・証明書・APIキーの全面ローテーションと脅威ハンティング。出典:https://www.securityweek.com/f5-blames-nation-state-hackers-for-theft-of-source-code-and-vulnerability-data/
- SaaS防御(Salesforce等):ヘルプデスク経由の権限付与を電話のみで完結させない運用へ。コールバック必須化。出典:https://blog.knowbe4.com/protect-yourself-from-voice-phishing-attacks-targeting-salesforce-instances
- パッチ運用:CISA KEV対応を最優先に。週次でKEV/NVD “recent”を突合し、自動起票。出典:https://www.cisa.gov/known-exploited-vulnerabilities-catalog / https://nvd.nist.gov/vuln/data-feeds
中長期対策のメモ
- 老朽OSの用途限定化:Win10継続は完全ネット分離/アプリホワイトリスト必須。
- SBoMと依存関係の見える化:.NET/Node等ランタイム更新をCI/CDで自動化。
- サプライチェーン:ベンダ脆弱性(F5など)に備えサブ処理者管理と秘密情報の最小化。
- 人的リスク低減:ボイス/ビデオ含む多チャネル認証の内製ルール化と教育反復(四半期)。
運用メモ:KEV / NVD 直近8日“要監視”
- KEVカタログ(10/14・10/15更新):https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- NVD “recent/modified”フィード(過去8日):https://nvd.nist.gov/vuln/data-feeds