CVE-2025-59374として追跡されているASUS Live Updateの脆弱性が、インフォセック系フィードで広く取り上げられており、一部の見出しでは最近または継続中の悪用が示唆されています。
しかしこのCVEが記録しているのは、サポート終了(EoL)のソフトウェア製品における過去のサプライチェーン攻撃であり、新たに出現した脅威ではありません。
すべてのCISA KEVが緊急性を示すわけではない
最近のCVE-2025-59374に関する報道では、この問題がCISAの既知の悪用された脆弱性(KEV)カタログに追加されたことを受けて、新たに重要性を増したセキュリティリスクであるかのように扱われています。
しかし、詳しく見ると実態ははるかに複雑です。
このCVEは、悪意をもって改変されたASUS Live Updateのバイナリが、標的となった少数のシステムに選別して配布された、2018〜2019年の「ShadowHammer」サプライチェーン攻撃を記録しています。
現在CVSSスコアで9.3(Critical)と評価されている侵害に関するCVEエントリには、次のように記載されています:
「UNSUPPORTED WHEN ASSIGNED」ASUS Live Updateクライアントの特定バージョンは、サプライチェーン侵害によって導入された無許可の改変を含む形で配布されました。改変されたビルドにより、特定の標的条件を満たすデバイスが意図しない動作を実行する可能性があります。影響を受けたのは、これらの条件を満たし、侵害されたバージョンをインストールしたデバイスのみです。Live Updateクライアントは2021年10月にすでにサポート終了(EOS)に達しており、現在サポートされているデバイスや製品はこの問題の影響を受けません。
「unsupported when assigned」という文言自体が、このCVEがEoL製品を対象として登録されたことを示唆しています。
CVEエントリでリンクされている主要なベンダー勧告は2019年のものです。この勧告はさらにFAQへのリンクも含んでいます:https://www.asus.com/support/faq/1018727/ で、最終更新日時として 2025/12/06 20:09が表示されています。
ただし、このFAQ 1018727へのリンクは、2019年に勧告が最初に公開された時点ですでに同じ場所に存在していました。
BleepingComputerが確認したところ、このFAQページには初回公開日時のメタデータは提供されていません。むしろ今月に更新されただけで、ページ上には前述の12月6日の日付が表示されています。
(BleepingComputer)
アーカイブされたページは、このページの目的を明らかにし、最近行われた更新が必ずしも2019年の問題によるリスク再燃を意味しない理由を示すのに役立ちます。
このFAQエントリは、ASUSのプレースホルダーページであり、アップグレード手順、すなわちベンダーのLive Updateユーティリティとしてユーザーが採用すべき最新バージョンに関する情報を提供するために、定期的に改訂されているようです。
さらに、このページは2019年の日付が入ったスクリーンショットを含む(古い)修正ガイダンスを引き続き表示しています:
2025年のCVE付与についてより多くの情報を得るため、BleepingComputerは公開よりかなり前にASUSへ連絡しましたが、回答は得られませんでした。
また、このCVEがKEVカタログに追加されたきっかけを理解するため、CISAにも問い合わせました。
CISAは追加コメントの提供を拒否し、その代わりに拘束力のある運用指令22-01の文言を参照するようBleepingComputerに示しました。そこには次のように記されています:
「脆弱性がKEVカタログに追加されたことは、CISAが現在進行中の活発な悪用を観測していることを示すものではない。活発な悪用について正確な報告がある場合、古いものであっても、いかなる脆弱性もKEVカタログ追加の対象となり得る」
これらを総合すると、このCVE付与は、CVE発行以前に起きた広く知られた攻撃を正式に文書化する、遡及的な分類作業を反映していることを示唆します。
ユーザー向けの実用的なガイダンス
それでも、製品は最新の修正済みバージョンになっていることを確認してください。
CVEエントリによれば、影響を受けるソフトウェアであるASUS Live Updateは2021年10月にサポート終了(EOS)に達しており、「現在サポートされているデバイスや製品はこの問題の影響を受けない」とされています。
しかし、今月更新されたASUSのFAQページはこの文言と矛盾しており、サポートが明確に2025年12月4日に終了したかのように示しています:
「ASUS LiveUpdateのサポート終了を2025/12/4に発表しました。最終バージョンは3.6.15です。」
(BleepingComputer)
FAQの以前のコピー(2019〜22年)では、この問題の修正が当時そのバージョンで実装されたとして、「セキュリティ上の懸念を解消するためにV3.6.8以上へアップグレードする」ことが推奨されていました。こうした古い助言は、今月更新されたFAQでもそのまま残されています。
一方で、リリース3.6.15が「最終バージョン」として掲載されています。しかしそのバージョンは、(それ以前でないとしても)少なくとも2024年3月の時点で存在していたようであり、最近のサプライチェーン侵害後に一般的に見られるような「今すぐアップグレードが必要」という新たな緊急性はありません。
CVE-2025-59374は、十分に文書化された過去の攻撃を正式化するものです。FAQの更新、古い修正ガイダンス、ユーティリティの最新リリース、そしてCISAの文脈から、このページは新たなエクスプロイトに対処したり、パッチ適用要件を課したり、差し迫ったリスクを示したりするためではなく、文書化目的で更新されたことが分かります。
したがって、セキュリティチームは、CISA関連のCVEを緊急として扱う際には注意が必要です。特に、廃止されたソフトウェアや、すでに解決済みの長期的なインシデントについてはなおさらです。
