CISA Adds Known Exploited Vulnerabilities to Catalog 8/18, 8/21

 CISA Adds One Known Exploited Vulnerability to Catalog | CISA (08/18)

CVE-2025-54948 Trend Micro Apex One OS Command Injection Vulnerability

“A vulnerability in Trend Micro Apex One (on-premise) management console could allow a pre-authenticated remote attacker to upload malicious code and execute commands on affected installations.”

 

CISA Adds One Known Exploited Vulnerability to Catalog | CISA (8/21)

CVE-2025-43300 Apple iOS, iPadOS, and macOS Out-of-Bounds Write Vulnerability

“An out-of-bounds write issue was addressed with improved bounds checking. This issue is fixed in macOS Sonoma 14.7.8, macOS Ventura 13.7.8, iPadOS 17.7.10, macOS Sequoia 15.6.1, iOS 18.6.2 and iPadOS 18.6.2. Processing a malicious image file may result in memory corruption. Apple is aware of a report that this issue may have been exploited in an extremely sophisticated attack against specific targeted individuals.”

 

モバイルバッテリーの注意点

 【第1018回】モバイルバッテリーで「やってはいけないこと」とは、発火防ぐ重要知識 - ケータイ Watch (08/27)

『自動車内への放置 .. 熱が籠もりやすい場所での充電 .. 古い劣化したケーブルを使う .. リコール情報にも注意』

スマートフォンやノートパソコンに内蔵されているリチウムイオン電池との違い

共通するリスク要因はありますが、モバイルバッテリーとは異なる点もあります。

以下に共通点と相違点を整理してご説明します。

---

 共通するリスク要因

1. リチウムイオン電池の基本的な性質
• 過充電・過放電・短絡による発熱・発火リスク
• 外部からの衝撃や高温環境による損傷
2. 劣化による内部抵抗の増加
• 長期間の使用や充放電の繰り返しで劣化し、発熱しやすくなる
3. 製造不良や設計ミス
• 稀にバッテリーセルや制御回路の不具合が原因で発火事故が起こることがあります

---

️ モバイルバッテリーと異なる点（スマホ・PCの方が安全性が高い理由）

1. 厳格な品質管理と安全設計
• スマホやPCは大手メーカーが設計・製造しており、バッテリー管理システム（BMS）が高度
• 温度センサー、電圧監視、過電流保護などが精密に制御されている
2. 製品ごとの最適化
• バッテリーは筐体や使用環境に合わせて設計されており、放熱設計も考慮されている
3. OSによる充電制御
• iOSやAndroid、Windowsなどが充電状態を監視し、過充電を防ぐ機能を持っている
4. ユーザーの使用環境が比較的安定
• モバイルバッテリーは屋外や車内など過酷な環境で使われることが多いが、スマホやPCは比較的安定した環境で使われることが多い

---

 まとめ

項目	モバイルバッテリー	スマホ・PC内蔵電池
品質管理	ばらつきあり（特に安価品）	厳格な管理
放熱設計	密閉で熱がこもりやすい	放熱設計あり
保護回路	不十分な場合あり	高度な制御あり
使用環境	過酷な場面も多い	比較的安定
発火リスク	高め	低め（ただしゼロではない）

---

別のプロンプトから　↓ 

🧠 OS + BMSがあるスマホ・ノートPCの安全性

要素	安全性への貢献
OS制御	ユーザーの充電習慣に応じて充電を最適化（例：Appleの「最適化されたバッテリー充電」）
BMS機能	過充電・過放電・過電流・短絡・温度異常などをリアルタイムで監視・制御
センサー連携	温度・電圧・電流を常時監視し、異常時は即遮断
セルバランシング	複数セルの電圧を均等化し、劣化や発熱を防止
ファームウェア更新	安全アルゴリズムのアップデートが可能で、長期的な安全性を維持

---

🔌 モバイルバッテリーの安全性（BMS非搭載または簡易型）

要素	リスク要因
OS制御なし	外部機器なので、スマホやPCのOSからは制御不可
BMS未搭載製品が存在	特に安価な製品では保護回路が不十分な場合が多い
過充電・過放電のリスク	長時間充電や高温環境での使用により発火事故の可能性あり
リコール事例が多い	実際に発火・爆発事故が報告されている製品も複数存在
PSEマーク未取得製品	日本国内での安全基準を満たしていない製品が流通していることも

---

🔍 結論：安全性の比較

比較項目	OS + BMS搭載機器	モバイルバッテリー
過充電防止	高精度に制御可能	製品によって精度に差あり
発熱管理	センサー連携で即遮断	温度管理が甘い製品もある
異常検知	ソフト＋ハードで多層防御	単一回路での制御が多く、冗長性に欠ける
ユーザー通知	OSが警告や制限を表示	通知機能は基本的になし

---

LINE 個人情報保護

最悪の場合は無期懲役…中国で施行されたインターネット身分証と威力を発揮する信用スコア 　Wedge ONLINE (08/06)

『　中国の「社会信用システム」は、他人事ではない。日本にも似たようなシステムが存在している。LINEスコアがそれだ。

 

　LINE登録時に入力した属性情報（生年月日、性別、配偶者の有無、子供の人数、戸建てかマンション、持ち家か賃貸か、入居年数、同居人数、正社員か自営業か、職種、業種、勤続年数、年収、健康保険種類、郵便番号など）にLINEサービスの利用状況やLINEウォレット、LINE家計簿、LINEP Payと連携させ、LINEプラットフォーム上の全ての行動データをAIが分析し、100から1000点でスコアをつける仕組みがある。LINEの説明では貸付業務LINE Pocket Moneyの利率と限度額の設定に利用しているとしている。

 

　LINEは、23年に約52万人もの個人情報漏洩事件を起こし、総務省の行政指導を受けている。ランク付された個人情報が漏れた時の影響は計り知れない。

 

　LINEでは、通話やメッセージ内容はスコアの算出には使用しないといっているが、安易に人をランク付することのリスクについて考えて欲しいものだ。』

関連

ここで"LINE"を含む過去記事

9月から利用できる「スマホ保険証」とは？

マイナ保険証との違いやメリット・注意点を解説！（ファイナンシャルフィールド） - Yahoo!ニュース (08/12)

『

従来のICカード型マイナンバーカードを持ち歩かなくても、スマートフォンだけで医療機関の受付や本人認証が可能になります。Android端末に続き、2025年6月24日からはiPhoneでも対応が開始されるなど、広く普及が進む予定です。

…

マイナンバーカードの健康保険証利用登録と、NFC搭載のスマートフォン、最新のマイナポータルアプリで利用申請・登録することが条件です。機器導入済みの医療機関などであれば、スマートフォンを受付端末にかざすことで本人認証が完了します。なお、初診時は実物のマイナンバーカードも持参するよう、厚生労働省が呼びかけています。

…

この「スマホ保険証」の最大のメリット（中略）予定が空いて急きょ病院に行く場合にも対応しやすくなります。

注意点としては、すべての医療機関がすぐに対応できるわけではないことが挙げられます。2025年9月ごろから段階的に導入が始まりますが、特に初期は未対応の医療機関も多いと考えられるため、マイナンバーカード本体も携帯しておくと安心です。

』

関連

ここの"マイナンバー"を含む記事一覧

中国､エヌビディアH20製品使用控えるよう要求

企業向けに新指針 - Bloomberg (08/12)

『　国内半導体チップの技術開発に力を注ぐ中国は、西側企業が製造した製品から国内製品に乗り換えることを中国企業に望んでいる。

 

さらにエヌビディアは強く否定しているが、同社製の半導体チップが位置追跡や遠隔シャットダウン機能を備えていないか中国当局は不安視する。トランプ政権の当局者は、規制対象部品の対中輸出を阻止する目的で位置追跡機能を利用する可能性を積極的に検討しており、米議会では先端ＡＩ（人工知能）半導体の位置確認を義務付ける法案が提出された。』

位置確認機能をどのように実装し、遠隔制御するのか、興味深い。

 

Huawei Ascend 910C

・Huawei Ascend 910C チップに関する技術分析：GPUとしての特性、線幅、NVIDIA H100との比較、LLM開発への応用、およびAlibabaデータセンターでの利用状況｜Kawamura Akihiro (04/26)

・HuaweiはNVIDIAのAIチップ「H100」に匹敵する「Ascend 910C」を早ければ5月に中国の顧客向けに大量出荷するとの報道 - GIGAZINE (04/22)

 

Gmail経由のハッキング。アカウント回復方法

グーグル、Gmail経由のハッキング被害増加を警告──自分のアカウントを回復する方法 | Forbes JAPAN 公式サイト（フォーブス ジャパン） (08/07)

『

（1） ブラウザーで「アカウント復元ページ」にアクセスし、自分のGmailアドレスを入力する。過去にそのアカウントでサインインしたことのあるパソコンやスマートフォンを使い、いつも使用しているブラウザーで、普段ログインしている場所からアクセスするのが望ましい

（2） グーグルが提示する質問には可能な限り正確に答える。パスワードを思い出せない場合は以前使っていたものを入力するか、思い当たる候補を入力する

（3） 復旧用メールアドレスや電話番号、認証アプリ、またはデバイスへの通知にセキュリティコードが送られることがある。ただし「グーグルがメール・電話・メッセージでパスワードや認証コードを求めることはない」ため、そうした要求はハッカーからのものと判断すべきだ

（4） 指示に従い、パスワードをリセットする

』

CISA Adds Known Exploited Vulnerabilities to Catalog 08/05, 07/28, 07/22, 07/22, 07/20

CISA Adds Three Known Exploited Vulnerabilities to Catalog (08/05)

• CVE-2020-25078 D-Link DCS-2530L and DCS-2670L Devices Unspecified Vulnerability

• CVE-2020-25079 D-Link DCS-2530L and DCS-2670L Command Injection Vulnerability

• CVE-2022-40799 D-Link DNR-322L Download of Code Without Integrity Check Vulnerability

 

上二つは難易度は低い。2020に発見され、今までカタログに載らずに済んでいたのが不思議なくらい。

 

CISA Adds Three Known Exploited Vulnerabilities to Catalog (07/28)

• CVE-2025-20281 Cisco Identity Services Engine Injection Vulnerability

『A vulnerability in a specific API of Cisco ISE and Cisco ISE-PIC could allow an unauthenticated, remote attacker to execute arbitrary code on the underlying operating system as root. The attacker does not require any valid credentials to exploit this vulnerability. This vulnerability is due to insufficient validation of user-supplied input. An attacker could exploit this vulnerability by submitting a crafted API request. A successful exploit could allow the attacker to obtain root privileges on an affected device.』

• CVE-2025-20337 Cisco Identity Services Engine Injection Vulnerability

『A vulnerability in a specific API of Cisco ISE and Cisco ISE-PIC could allow an unauthenticated, remote attacker to execute arbitrary code on the underlying operating system as root. The attacker does not require any valid credentials to exploit this vulnerability. This vulnerability is due to insufficient validation of user-supplied input. An attacker could exploit this vulnerability by submitting a crafted API request. A successful exploit could allow the attacker to obtain root privileges on an affected device.』

• CVE-2023-2533 PaperCut NG/MF Cross-Site Request Forgery (CSRF) Vulnerability

『A Cross-Site Request Forgery (CSRF) vulnerability has been identified in PaperCut NG/MF, which, under specific conditions, could potentially enable an attacker to alter security settings or execute arbitrary code. This could be exploited if the target is an admin with a current login session. Exploiting this would typically involve the possibility of deceiving an admin into clicking a specially crafted malicious link, potentially leading to unauthorized changes.』

 

CISA Adds Four Known Exploited Vulnerabilities to Catalog (07/22)

• CVE-2025-54309 CrushFTP Unprotected Alternate Channel Vulnerability

• CVE-2025-6558 Google Chromium ANGLE and GPU Improper Input Validation Vulnerability

『Insufficient validation of untrusted input in ANGLE and GPU in Google Chrome prior to 138.0.7204.157 allowed a remote attacker to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: High)』

• CVE-2025-2776 SysAid On-Prem Improper Restriction of XML External Entity Reference Vulnerability

• CVE-2025-2775 SysAid On-Prem Improper Restriction of XML External Entity Reference Vulnerability

 

CISA Adds Two Known Exploited Vulnerabilities to Catalog (07/22)

• CVE-2025-49704 Microsoft SharePoint Code Injection Vulnerability

• CVE-2025-49706 Microsoft SharePoint Improper Authentication Vulnerability

 

CISA Adds One Known Exploited Vulnerability, CVE-2025-53770 “ToolShell,” to Catalog (07/20)

• CVE-2025-53770: Microsoft SharePoint Server Remote Code Execution Vulnerability

金融庁が証券会社のインターネット取引サービスでの不正アクセス・不正取引による被害状況を更新

セキュリティは楽しいかね (08/10)

『本日金融庁発表の証券不正取引事案の最新状況をグラフ化。不正取引額は先月比で微増ですが、不正アクセス件数は大幅減、取引件数は微減ですhttps://t.co/MbfaxPG2Wa

 

不正アクセスから不正取引に至る割合は過去平均56%のところ84%と過去最高。乗っ取りが難航する中で取捨選択できなくなってる傾向？ pic.twitter.com/RZv68GRlPo

— nekono_nanomotoni (@nekono_naha) August 7, 2025』

Trend Micro Apex One等 CVE-2025-54948、CVE-2025-54987

Trend Micro Apex Oneで確認された管理コンソールに対するコマンドインジェクションによるリモートコード実行の脆弱性（CVE-2025-54948, CVE-2025-54987） (08/08)

『

脆弱性の影響を受ける製品/コンポーネント/ツール

該当する脆弱性	製品/コンポーネント/ツール	バージョン	CVSS3.0 スコア	深刻度
CVE-2025-54948	Apex One   Apex One SaaS   Standard Endpoint Protection	All	9.4	重大
CVE-2025-54987		All	9.4	重大

脆弱性の概要

CVE-2025-54948:  管理コンソールに対するコマンドインジェクションによるリモートコード実行の脆弱性

・・・

Weakness: CWE-78: OSコマンドインジェクション
Apex One、Apex One SaaSおよびStandard Endpoint Protectionの管理コンソールにおいて、認証前の攻撃者が悪性のコードを管理サーバ上にアップロードして実行することができる脆弱性が確認されました

注意：トレンドマイクロは、この脆弱性が実際の攻撃に利用されたことを確認しています。Apex One SaaSおよびStandard Endpoint Protectionに対しては、2025年7月31日にバックエンド側で対応を行ったため、お客様側での対処は不要です。Apex Oneに対しては、できるだけ早く下記の対処法にある緩和策を適用することを推奨しています。

 

CVE-2025-54987:  管理コンソールに対するコマンドインジェクションによるリモートコード実行の脆弱性
・・・

Weakness: CWE-78: OSコマンドインジェクション
Apex One、Apex One SaaSおよびStandard Endpoint Protectionの管理コンソールにおいて、認証前の攻撃者が悪性のコードを管理サーバ上にアップロードして実行することができる脆弱性が確認されました。この脆弱性は、CVE-2025-54948と本質的には同一のものですが異なるCPUアーキテクチャを対象とした攻撃です。

製品/コンポーネント/ツール	バージョン	対応状況	Readme
Apex One	2019	FixTool_Aug2025※2 (一時的な緩和策：詳細は下記の注意事項を参照)	同梱
Apex One SaaS※1 Standard Endpoint Protection※1	ー	2025年7月31日　対応済み	ー

注意事項：Apex Oneの対処方法として提供しているツール「FixTool_Aug2025」は短期的な緩和策として準備されたものです。このツールの利用により、この脆弱性に対する攻撃を防ぐことができますが、制限として管理コンソールのリモートインストール機能を利用することができなくなります。他のインストール方法 のご利用をお願いいたします。

』