株式会社ラック（LAC）

K7 Ultimate Security における任意のプロセスの停止が可能となる脆弱性（Scan Tech Report）画像

インシデント・事故

株式会社ラックデジタルペンテスト部

2025.12.2 Tue 8:10

K7 Ultimate Security における任意のプロセスの停止が可能となる脆弱性（Scan Tech Report）

2025 年 9 月に、K7 Ultimate Security のカーネルドライバーにて、任意のプロセスの停止が可能となる脆弱性の情報が公開されています。

ACD（能動的サイバー防御）領域で政府や企業に提案～ KDDI と NEC が合弁会社設立画像

製品・サービス・業界動向

ScanNetSecurity

2025.11.28 Fri 8:00

ACD（能動的サイバー防御）領域で政府や企業に提案～ KDDI と NEC が合弁会社設立

　KDDI株式会社と日本電気株式会社（NEC）は11月20日、サイバーセキュリティ分野の強化を目的とした合弁会社United Cyber Force株式会社（UCF）を設立し、2025年11月28日に活動を開始すると発表した。UCF設立は2025年5月に締結した協業の一環となる。

Windows 版 Docker Desktop におけるホスト OS の侵害につながる Docker Remote API サーバーが常時稼働してしまう不備（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2025.11.18 Tue 8:15

Windows 版 Docker Desktop におけるホスト OS の侵害につながる Docker Remote API サーバーが常時稼働してしまう不備（Scan Tech Report）

2025 年 8 月に、Windows 版の Docker Desktop にてコンテナからホスト OS の侵害が可能となる脆弱性が報告されています。

脆弱性と脅威

ScanNetSecurity

2025.11.13 Thu 8:00

Autodesk Installer に権限昇格の脆弱性

　株式会社ラックは11月10日、Autodesk Installerにおける権限昇格の脆弱性（CVE-2025-10885）について「LAC WATCH」で発表した。同社の飯田雅裕氏が発見し、同社からZero Day Initiative（ZDI）に報告を行っている。影響を受けるシステムは以下の通り。

Wing FTP Server における遠隔からの任意のコード実行が可能となる NULL バイト処理の不備（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2025.10.27 Mon 8:45

Wing FTP Server における遠隔からの任意のコード実行が可能となる NULL バイト処理の不備（Scan Tech Report）

　2025 年 5 月に修正された、Wing FTP Server にて遠隔からの任意のコード実行が可能となる脆弱性を悪用するエクスプロイトコードが公開されています。

Roundcube における任意のコード実行が可能となる PHP Object Injection の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2025.10.16 Thu 8:15

Roundcube における任意のコード実行が可能となる PHP Object Injection の脆弱性（Scan Tech Report）

2025 年 6 月に、Roundcube にて遠隔からの任意のコード実行が可能となる脆弱性を悪用するエクスプロイトコードが公開されています。

Microsoft Windows の Windows Update サービスにおける特権昇格につながるリンクファイルの検証不備（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2025.10.1 Wed 8:20

Microsoft Windows の Windows Update サービスにおける特権昇格につながるリンクファイルの検証不備（Scan Tech Report）

2025 年 7 月に、Windows OS にて管理者権限の奪取が可能となる脆弱性が報告されています。

sudo における管理者権限の奪取が可能となるルートディレクトリ変更時の検証不備（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2025.9.16 Tue 8:10

sudo における管理者権限の奪取が可能となるルートディレクトリ変更時の検証不備（Scan Tech Report）

2025 年 7 月に、Linux OS に標準実装されているコマンドである sudo に存在する root 権限の奪取が可能となる脆弱性に対するエクスプロイトコードが公開されています。

Microsoft Windows OS の .url ファイルにおいて任意のプログラムが実行可能となる検証不備の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2025.9.3 Wed 8:10

Microsoft Windows OS の .url ファイルにおいて任意のプログラムが実行可能となる検証不備の脆弱性（Scan Tech Report）

　当該脆弱性の悪用に攻撃者が WebDAV を用いたため、公開されているいくつかの記事では WebDAV の部分が強調されており、あたかも WebDAV に関連する脆弱性かのように書かれているものがあります。しかし、脆弱性の本質は遠隔のサーバに配置されている EXE や DLL などのファイルを実行してしまう点であり、WebDAV の代わりに SMB を用いても脆弱性は悪用できます。

Microsoft Windows OS の SMB クライアントにおける NTLM Reflection による管理者権限での任意のコード実行につながる検証不備の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2025.8.20 Wed 8:10

Microsoft Windows OS の SMB クライアントにおける NTLM Reflection による管理者権限での任意のコード実行につながる検証不備の脆弱性（Scan Tech Report）

　2025 年 6 月に、Microsoft Windows における管理者権限での遠隔からの任意のコード実行につながる脆弱性の情報が公開されています。デフォルトの設定では、ドメインコントローラを除き、Active Directory ドメインに参加しているすべての端末への侵入が可能となる脆弱性であるため、間接的にドメインコントローラの制圧が可能となる可能性が高い脆弱性で、Active Directory 史上最も注目度が高い脆弱性と言えます。

製品・サービス・業界動向

ScanNetSecurity

2025.8.1 Fri 8:00

LAC と KDDI、海外拠点持つ日本企業に向けたグローバル展開に本腰

　株式会社ラックとKDDI株式会社は7月25日、サイバー攻撃への対策に向けセキュリティソリューションのグローバル展開を7月28日から本格開始すると発表した。海外拠点を持つ日本企業に向けて、セキュリティ環境の診断から運用までを包括的に支援する。

Kubernetes Ingress NGINX Controller における遠隔からの任意のコード実行につながる検証処理の不備（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2025.7.30 Wed 8:10

Kubernetes Ingress NGINX Controller における遠隔からの任意のコード実行につながる検証処理の不備（Scan Tech Report）

　コンテナアプリケーションを管理するソフトウェアとして世界的に利用されている Kubernetes が公式にサポートしている管理用ソフトウェアである Ingress NGINX Controller にて、遠隔からの任意のコード実行につながる脆弱性が報告されています。

製品・サービス・業界動向

ScanNetSecurity

2025.7.4 Fri 8:00

LAC が「情報危機管理コンテスト人材育成賞」受賞

　株式会社ラックは7月1日、サイバー犯罪に関する白浜シンポジウム実行委員会から5月22日に「情報危機管理コンテスト人材育成賞」を受賞したと発表した。

Erlang/OTP の SSH における遠隔からの任意のコード実行につながる認証不備の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2025.7.1 Tue 8:10

Erlang/OTP の SSH における遠隔からの任意のコード実行につながる認証不備の脆弱性（Scan Tech Report）

　脆弱性は、SSH サーバーと通信できる状態であれば、認証なしに遠隔コード実行が可能であり、エクスプロイトコードの作成が容易であるため、当該ソフトウェアを利用している場合は攻撃者に狙われる可能性が高いと考えられます。

白浜情報危機管理コンテストのウラ側も～ 7 / 3 「サイバーセキュリティ人材育成セミナーサイバーセキュリティ人材育成の20年とこれから」開催画像

研修・セミナー・カンファレンス

ScanNetSecurity

2025.6.27 Fri 8:00

白浜情報危機管理コンテストのウラ側も～ 7 / 3 「サイバーセキュリティ人材育成セミナーサイバーセキュリティ人材育成の20年とこれから」開催

　和歌山大学学術情報センターは6月19日、「サイバーセキュリティ人材育成セミナー～サイバーセキュリティ人材育成の20年とこれから～」を7月3日に開催すると発表した。

Microsoft Windows OS の Explorer における NTLM 認証の強制につながるライブラリファイルに対する処理の不備（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2025.6.19 Thu 8:10

Microsoft Windows OS の Explorer における NTLM 認証の強制につながるライブラリファイルに対する処理の不備（Scan Tech Report）

2025 年 3 月に、Microsoft Windows OS の Explorer にて、NT ハッシュ値の漏洩や Active Directory ドメインレベルでの権限昇格につながる脆弱性が公開されています。

「LAC SeaParadise」チーム、国際 CTF 大会「Global Cyber Skills Benchmark CTF 2025: Operation Blackout」で国内 2 位世界 10 位画像

製品・サービス・業界動向

ScanNetSecurity

2025.6.19 Thu 8:00

「LAC SeaParadise」チーム、国際 CTF 大会「Global Cyber Skills Benchmark CTF 2025: Operation Blackout」で国内 2 位世界 10 位

　株式会社ラックは6月17日、「LAC SeaParadise」チームが国際CTF大会「Global Cyber Skills Benchmark CTF 2025: Operation Blackout」で国内2位、世界10位を獲得したと発表した。

Next.js における認可の回避につながる HTTP リクエストヘッダー検証不備の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2025.6.11 Wed 8:10

Next.js における認可の回避につながる HTTP リクエストヘッダー検証不備の脆弱性（Scan Tech Report）

2025 年 3 月に、Web アプリケーションの開発フレームワークである Next.js に、機密情報の漏洩につながる脆弱性が報告されています。

製品・サービス・業界動向

ScanNetSecurity

2025.6.10 Tue 8:00

ラック、サポート詐欺被疑者検挙に貢献～警察庁 JC3と連携

　株式会社ラックは6月6日、警察庁、一般財団法人日本サイバー犯罪対策センター（JC3）、及びMicrosoft Corporationと連携し、日本を狙ったサポート詐欺の被疑者検挙に貢献したと発表した。

Vite の開発者モードにおける遠隔からの任意のファイル読み取りにつながるクエリ文字列制御不備の脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2025.6.3 Tue 8:10

Vite の開発者モードにおける遠隔からの任意のファイル読み取りにつながるクエリ文字列制御不備の脆弱性（Scan Tech Report）

　脆弱性の悪用は容易ですが、開発者モードのソフトウェアをネットワーク越しにアクセスできる状態で動作させていることが前提条件となります。開発者モードでの動作は必要な時のみに限定し、開発環境内からのみアクセスできる状態で動作させる運用が安全です。

Apache Tomcat における partial PUT の実装による遠隔コード実行につながる脆弱性（Scan Tech Report）画像

脆弱性と脅威

株式会社ラックデジタルペンテスト部

2025.5.8 Thu 8:15

Apache Tomcat における partial PUT の実装による遠隔コード実行につながる脆弱性（Scan Tech Report）

2025 年 3 月に、Apache 財団の Tomcat にて遠隔からの任意のコード実行につながる脆弱性が報告されています。

株式会社ラック（LAC）

K7 Ultimate Security における任意のプロセスの停止が可能となる脆弱性（Scan Tech Report）

ACD（能動的サイバー防御）領域で政府や企業に提案 ～ KDDI と NEC が合弁会社設立

Windows 版 Docker Desktop におけるホスト OS の侵害につながる Docker Remote API サーバーが常時稼働してしまう不備（Scan Tech Report）

Autodesk Installer に権限昇格の脆弱性

Wing FTP Server における遠隔からの任意のコード実行が可能となる NULL バイト処理の不備（Scan Tech Report）

Roundcube における任意のコード実行が可能となる PHP Object Injection の脆弱性（Scan Tech Report）

Microsoft Windows の Windows Update サービスにおける特権昇格につながるリンクファイルの検証不備（Scan Tech Report）

sudo における管理者権限の奪取が可能となるルートディレクトリ変更時の検証不備（Scan Tech Report）

Microsoft Windows OS の .url ファイルにおいて任意のプログラムが実行可能となる検証不備の脆弱性（Scan Tech Report）

Microsoft Windows OS の SMB クライアントにおける NTLM Reflection による管理者権限での任意のコード実行につながる検証不備の脆弱性（Scan Tech Report）

LAC と KDDI、海外拠点持つ日本企業に向けたグローバル展開に本腰

Kubernetes Ingress NGINX Controller における遠隔からの任意のコード実行につながる検証処理の不備（Scan Tech Report）

LAC が「情報危機管理コンテスト人材育成賞」受賞

Erlang/OTP の SSH における遠隔からの任意のコード実行につながる認証不備の脆弱性（Scan Tech Report）

白浜情報危機管理コンテストのウラ側も ～ 7 / 3 「サイバーセキュリティ人材育成セミナー サイバーセキュリティ人材育成の20年とこれから」開催

Microsoft Windows OS の Explorer における NTLM 認証の強制につながるライブラリファイルに対する処理の不備（Scan Tech Report）

「LAC SeaParadise」チーム、国際 CTF 大会「Global Cyber Skills Benchmark CTF 2025: Operation Blackout」で国内 2 位 世界 10 位

Next.js における認可の回避につながる HTTP リクエストヘッダー検証不備の脆弱性（Scan Tech Report）

ラック、サポート詐欺被疑者検挙に貢献 ～ 警察庁 JC3と連携

Vite の開発者モードにおける遠隔からの任意のファイル読み取りにつながるクエリ文字列制御不備の脆弱性（Scan Tech Report）

Apache Tomcat における partial PUT の実装による遠隔コード実行につながる脆弱性（Scan Tech Report）

ACD（能動的サイバー防御）領域で政府や企業に提案～ KDDI と NEC が合弁会社設立

白浜情報危機管理コンテストのウラ側も～ 7 / 3 「サイバーセキュリティ人材育成セミナーサイバーセキュリティ人材育成の20年とこれから」開催

「LAC SeaParadise」チーム、国際 CTF 大会「Global Cyber Skills Benchmark CTF 2025: Operation Blackout」で国内 2 位世界 10 位

ラック、サポート詐欺被疑者検挙に貢献～警察庁 JC3と連携