CVE-2025-59374として追跡されているASUS Live Updateの脆弱性が情報セキュリティ関連のフィードで広まり、一部の見出しでは最近または継続中の悪用が示唆されています。
しかしこのCVEが記録しているのは、新たに出現した脅威ではなく、サポート終了(EoL)のソフトウェア製品における過去のサプライチェーン攻撃です。
すべてのCISA KEVが緊急性を示すわけではない
CVE-2025-59374に関する最近の報道では、CISAの既知の悪用済み脆弱性(KEV)カタログに追加されたことを受けて、この問題が新たに重要なセキュリティリスクであるかのように扱われています。
しかし、詳しく見ると実態ははるかに複雑です。
このCVEが記録しているのは、悪意をもって改変されたASUS Live Updateのバイナリが少数の標的システムに選択的に配布された、2018〜2019年の「ShadowHammer」サプライチェーン攻撃です。
現在CVSSスコア9.3(Critical)と評価されているこの侵害について、CVEエントリには次のように記載されています。
「UNSUPPORTED WHEN ASSIGNED」ASUS Live Updateクライアントの特定バージョンが、サプライチェーン侵害により持ち込まれた不正な改変を含む形で配布されました。改変されたビルドにより、特定の標的条件を満たすデバイスが意図しない動作を実行する可能性があります。これらの条件を満たし、侵害されたバージョンをインストールしたデバイスのみが影響を受けました。Live Updateクライアントは2021年10月にすでにサポート終了(EOS)に達しており、現在サポートされているデバイスや製品は本問題の影響を受けません。
「unsupported when assigned」という文言自体が、このCVEがEoL製品について提出されたことを示唆しています。
CVEエントリでリンクされている主要なベンダーアドバイザリは2019年のものです。このアドバイザリはさらにFAQにもリンクしており、https://www.asus.com/support/faq/1018727/ には最終更新日時として 2025/12/06 20:09 が表示されています。
ただし、このFAQ 1018727へのリンクは、2019年にアドバイザリが最初に公開された時点ですでに同じ場所に存在していました。
BleepingComputerが確認したところ、このFAQページには初回公開日時のメタデータはありません。単に今月更新され、ページ上に前述の12月6日の日付が表示されているだけです。
(BleepingComputer)
アーカイブされたページは、このページの目的を明らかにし、ページに最近加えられた更新が必ずしも2019年の問題によるリスク再燃を意味しない理由を示すのに役立ちます。
このFAQエントリはASUSのプレースホルダーページであり、ベンダーのLive Updateユーティリティについて、ユーザーが採用すべき最新バージョン、すなわちアップグレード手順に関する情報を提供するために定期的に改訂されているようです。
さらに、このページには2019年の日付が入ったスクリーンショットを含む(古い)対処ガイダンスが引き続き表示されています。
2025年のCVE付与についてさらに情報を得るため、BleepingComputerは公開前にかなり早い段階でASUSに問い合わせましたが、回答は得られませんでした。
また、このCVEがKEVカタログに追加されたきっかけを理解するため、CISAにも問い合わせました。
CISAは追加コメントの提供を拒否し、代わりに拘束力のある運用指令(Binding Operational Directive)22-01の文言を参照するようBleepingComputerに示しました。そこには次のように記されています。
「脆弱性がKEVカタログに追加されたことは、CISAが現在進行中のアクティブな悪用を観測していることを示すものではない。アクティブな悪用について正確な報告がある場合、脆弱性はその古さにかかわらずKEVカタログ追加の対象となり得る」
これらを総合すると、このCVE付与は、CVE発行以前から知られていた攻撃を正式に文書化する、遡及的な分類作業を反映していることを示唆します。
ユーザー向けの実用的なガイダンス
それでも、製品の最新の修正済みバージョンを使用していることを確認すべきです。
CVEエントリによれば、影響を受けるソフトウェアであるASUS Live Updateは2021年10月にサポート終了(EOS)に達しており、「現在サポートされているデバイスや製品は本問題の影響を受けない」とされています。
しかし、今月更新されたASUSのFAQページはこの文言と矛盾しており、サポートが明確に2025年12月4日に終了したかのように示しています。
「ASUS LiveUpdateのサポート終了を2025/12/4に発表しました。最終バージョンは3.6.15です。」
(BleepingComputer)
FAQの以前のコピー(2019〜2022年)では、当時そのバージョンで修正が実装されたとして、「セキュリティ上の懸念を解消するためにV3.6.8以上へアップグレードする」ことが推奨されていました。こうした古い助言は、今月更新されたFAQにもそのまま残されています。
一方で、リリース3.6.15が「最終バージョン」として掲載されています。しかしそのバージョンは、明らかに遅くとも2024年3月には存在していた(それ以前から存在していた可能性もある)ため、最近のサプライチェーン侵害後に通常見られるような「今すぐアップグレードが必要」という新たな緊急性はありません。
CVE-2025-59374は、十分に文書化された過去の攻撃を正式化するものです。FAQの更新、古い対処ガイダンス、ユーティリティの最新リリース、そしてCISAの文脈から、このページは新たなエクスプロイトへの対応、パッチ適用要件の課し、または差し迫ったリスクの示唆のためではなく、文書化目的で更新されたことが分かります。
したがってセキュリティチームは、CISAに紐づくCVEを緊急と扱う際には注意すべきであり、特に廃止されたソフトウェアや、すでに解決済みの古いインシデントについては慎重である必要があります。
