今週のハイライト
① CISAがKEVに2件追加(XWiki RCE / DELMIA Apriso RCE)。XWikiは社内Wikiや開発ポータル等の一般ITに、DELMIA Aprisoは製造業のOT領域に波及するため、両面で優先度「最上」。KEV追加=実運用悪用の確証あり。出典:
https://www.cisa.gov/news-events/alerts/2025/10/30/cisa-adds-two-known-exploited-vulnerabilities-catalog /
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
② Chromeゼロデイ(CVE-2025-2783)悪用中。エスピオナージ系キャンペーンとの連動報告あり。企業は段階的強制更新+未更新端末の隔離を運用化。出典:
https://www.securityweek.com/chrome-zero-day-exploitation-linked-to-hacking-team-spyware/ /
https://nvd.nist.gov/vuln/detail/CVE-2025-2783
③ npmサプライチェーン:PhantomRaven。不可視依存(Remote/Dynamic Dependencies)を悪用し検知回避、CIの外向き通信制御とインストール時の動的解析が鍵。出典:
https://www.darkreading.com/application-security/malicious-npm-packages-invisible-dependencies
④ AIモデル悪用のLotL手法(WindowsネイティブAI/ONNX)。モデルを“信頼済みデータ”扱いする盲点を突く。モデル署名・ハッシュ配布とローダAPI監視を。出典:
https://www.darkreading.com/vulnerabilities-threats/lotl-attack-malware-windows-native-ai-stack
重大脆弱性とパッチ情報
XWiki(CVE-2025-24893):テンプレート評価起点のRCEで積極的悪用。バージョン確認・更新、WAFで危険なテンプレート関数を暫定ブロック。CVE記録も参照。出典:
https://www.cisa.gov/news-events/alerts/2025/10/30/cisa-adds-two-known-exploited-vulnerabilities-catalog /
https://www.cisa.gov/known-exploited-vulnerabilities-catalog /
https://www.cve.org/CVERecord?id=CVE-2025-24893
DELMIA Apriso(CVE-2025-6204/6205):OT/製造のMOM/MESに影響。資産棚卸とセグメント隔離、パッチ適用の計画停止を前倒し。出典:
https://www.cisa.gov/news-events/alerts/2025/10/30/cisa-adds-two-known-exploited-vulnerabilities-catalog /
https://thehackernews.com/2025/10/active-exploits-hit-dassault-and-xwiki.html /
https://www.securityweek.com/cisa-warns-of-exploited-delmia-factory-software-vulnerabilities/
Google Chrome(CVE-2025-2783):ブラウザ配信の強制・未更新端末のネット分離・高リスクSaaSへのアクセス制御を実施。出典:
https://www.securityweek.com/chrome-zero-day-exploitation-linked-to-hacking-team-spyware/ /
https://nvd.nist.gov/vuln/detail/CVE-2025-2783
QNAP NetBak PC Agent:ASP.NET Coreの重大欠陥(CVE-2025-55315)に間接影響、フレームワーク更新を明確化。出典:
https://www.securityweek.com/qnap-netbak-pc-agent-affected-by-recent-asp-net-core-vulnerability/ /
https://www.securityweek.com/highest-ever-severity-score-assigned-by-microsoft-to-asp-net-core-vulnerability/
インシデント・データ侵害
今週は新規の大型漏えい公表よりも、悪用中のCVE(XWiki/Apriso/Chrome)と供給網(npm)のリスクが主。既存資産の緊急パッチとサプライチェーン監視の優先度が上昇。出典:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog /
https://www.darkreading.com/application-security/malicious-npm-packages-invisible-dependencies
フィッシング・ソーシャルエンジニアリング
X(Grok)悪用:動画カードでリンク制限を回避する手口。社内教育で「動画カード=安全」の思い込み排除を周知。出典:
https://blog.knowbe4.com/cyberheistnews-vol-15-43-heads-up-block-attackers-who-abuse-grok-to-spread-phishing-links
Google Careersなりすまし:採用担当者偽装で認証情報を詐取。差出人ドメイン検証・応募受付基盤(ATS)側での照合を標準化。出典:
https://blog.knowbe4.com/phishing-campaign-impersonates-google-careers-recruiters
政策・基準・フレームワーク動向
MITRE ATT&CK v18(2025年10月):検知戦略・ロギング・分析の整理が進化。SOCユースケースのマトリクス更新を推奨。出典:
https://attack.mitre.org/resources/updates/updates-october-2025/ /
https://attack.mitre.org/resources/versions/
国内視点の影響
XWiki:社内ナレッジ/開発Wikiとしての採用例が多く、外向き公開やVPN越し公開のケースは露出が高い。管理者UIの到達性制御・テンプレート機能の監査を強化。出典:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
DELMIA Apriso(OT):自動車・電子部品の製造現場で採用実績。資産インベントリの鮮度とネットワーク分離、保守停止枠でのパッチ計画が鍵。出典:
https://www.securityweek.com/cisa-warns-of-exploited-delmia-factory-software-vulnerabilities/
Chrome:自治体・教育機関・SaaS業務で標準ブラウザの比率が高い。MDM(Intune/Jamf/GPO)で強制更新し、未再起動端末の検知と通知もセットで実施。出典:
https://www.securityweek.com/chrome-zero-day-exploitation-linked-to-hacking-team-spyware/
npmサプライチェーン:国内のSaaS/スタートアップでOSS依存の可視化不足がボトルネック。外向き通信(egress)制御とnpm実行時の動的解析をCIに実装。出典:
https://www.darkreading.com/application-security/malicious-npm-packages-invisible-dependencies
今すぐやるべきこと(優先度順)
- Chrome(CVE-2025-2783)を緊急更新:自動更新の強制/未更新端末のネット分離/高リスクSaaSのアクセス制御。出典:
https://www.securityweek.com/chrome-zero-day-exploitation-linked-to-hacking-team-spyware/ /
https://nvd.nist.gov/vuln/detail/CVE-2025-2783 - XWiki / DELMIA Apriso 影響資産の特定とパッチ:CMDB・SBOMで範囲特定、権限最小化・WAFルールで暫定緩和。出典:
https://www.cisa.gov/news-events/alerts/2025/10/30/cisa-adds-two-known-exploited-vulnerabilities-catalog - npm供給網対策:一時的に
npm ci --ignore-scriptsを適用、インストール時の外部URL遮断、サンドボックスでの動的解析をCIに。出典:
https://www.darkreading.com/application-security/malicious-npm-packages-invisible-dependencies - AIモデル取扱いの強化:モデル署名・ハッシュ配布、ONNXローダAPIの呼び出し監視(Sysmon/EDR/AppLocker)。出典:
https://www.darkreading.com/vulnerabilities-threats/lotl-attack-malware-windows-native-ai-stack - フィッシング訓練の即時更新:Grok悪用/求人型なりすましを模したシナリオで来週演習。出典:
https://blog.knowbe4.com/cyberheistnews-vol-15-43-heads-up-block-attackers-who-abuse-grok-to-spread-phishing-links /
https://blog.knowbe4.com/phishing-campaign-impersonates-google-careers-recruiters
中長期対策
- SBOM/資産台帳の信頼性を底上げ(Wiki、製造系ソフト、ブラウザ、開発環境を含む)。
- CI/CDで“動的”セキュリティテストを標準化(インストール時通信/挙動監視)。
- AIモデルのサプライチェーン管理(モデル署名・社内レジストリ・受入スキャン)。
- ATT&CK v18対応の検知マッピング(ユースケース棚卸とテレメトリ不足解消)。出典:
https://attack.mitre.org/resources/updates/updates-october-2025/
CISA KEV & NVD “recent” から運用影響大の項目(抜粋)
- CVE-2025-24893(XWiki RCE):KEV入り、Web基盤で横展開リスク高。即時更新。出典:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog /
https://www.cve.org/CVERecord?id=CVE-2025-24893 - CVE-2025-6204 / CVE-2025-6205(DELMIA Apriso RCE):KEV入り、製造現場の停止計画を前倒しして適用。出典:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog /
https://thehackernews.com/2025/10/active-exploits-hit-dassault-and-xwiki.html - CVE-2025-2783(Google Chrome):NVD recent対象のゼロデイ。企業ブラウザの即時更新をSLA化。出典:
https://nvd.nist.gov/vuln/detail/CVE-2025-2783 /
https://www.securityweek.com/chrome-zero-day-exploitation-linked-to-hacking-team-spyware/