Cisco Nexusスイッチに深刻な脆弱性が発覚し、攻撃者によるリモートリロードやDoSの危険性が指摘された。また、DeepSeekを装った偽サイトが情報窃取マルウェア「Vidar」の拡散に悪用されるなど、新たな攻撃手法が明らかになった。さらに、CISAがAdobe ColdFusionやZimbraに影響を与える4つのエクスプロイトを追加し、オーストラリアもKaspersky製品の使用禁止を決定するなど、セキュリティの脅威が拡大している。これらの動向を踏まえ、適切なリスク対策を講じることが求められる。

連載のこれまでの回はこちらを参照

2月24日~3月2日の最新サイバーセキュリティ情報

Cisco Nexusスイッチにおける深刻な脆弱性が発覚し、攻撃者によるリモートでのリロードやサービス運用妨害(DoS)の危険性が指摘された。加えて、ZscalerはDeepSeekを装った偽サイトが情報窃取マルウェア「Vidar」の拡散に利用されていることを報告し、生成AIの人気を悪用した新たな脅威が浮上している。

また、CISAは既知の脆弱性カタログを更新し、Adobe ColdFusionやZimbraなどに影響を及ぼす4つのエクスプロイトを追加した。さらに、Kaspersky製品の使用禁止措置がオーストラリアにも広がるなど、国際的なセキュリティ対策の動向も注目される。これらの最新情報を確認し、早急なアップデートやリスク対策を講じることが重要だ。

それでは以降で詳しく見ていこう。

Cisco Nexusスイッチに深刻な脆弱性 - 攻撃者によるリロードやDoSの危険性

Cisco Systemsは2月26日(米国時間)、スタンドアロンNX-OSモードのCisco Nexus 3000シリーズスイッチおよびCisco Nexus 9000シリーズスイッチのヘルスモニタリング診断にセキュリティ脆弱性が存在すると発表した。認証されていないサイバー攻撃者によってデバイスを予期せずリロードさせられたり、サービス運用妨害(DoS:Denial of Service)状態を引き起こされる可能性があるとしている(参考「Cisco Nexus 3000 and 9000 Series Switches Health Monitoring Diagnostics Denial of Service Vulnerability」)。

  • Cisco Nexus 3000 and 9000 Series Switches Health Monitoring Diagnostics Denial of Service Vulnerability

    Cisco Nexus 3000 and 9000 Series Switches Health Monitoring Diagnostics Denial of Service Vulnerability

セキュリティ脆弱性が存在するとされる製品は次のとおり。

  • Nexus 3100シリーズスイッチ
  • Nexus 3200シリーズスイッチ
  • Nexus 3400シリーズスイッチ
  • Nexus 3600シリーズスイッチ
  • スタンドアロンNX-OSモードのNexus 9200シリーズスイッチ
  • スタンドアロンNX-OSモードのNexus 9300シリーズスイッチ
  • スタンドアロンNX-OSモードのNexus 9400シリーズスイッチ

なお、Cisco Systemsは本セキュリティ脆弱性の影響を受けない製品についても情報を公開している。本セキュリティ脆弱性の影響を受けない製品は次のとおり。

  • Firepower 1000シリーズ
  • Firepower 2100シリーズ
  • Firepower 4100シリーズ
  • Firepower 9300セキュリティアプライアンス
  • MDS 9000シリーズマルチレイヤスイッチ
  • Nexus 1000 Virtual Edge for VMware vSphere
  • Nexus 3000シリーズスイッチ(脆弱性のある製品のセクションに記載されているモデルを除く)
  • Nexus 5500プラットフォームスイッチ
  • Nexus 5600プラットフォームスイッチ
  • Nexus 6000シリーズスイッチ
  • Nexus 7000シリーズスイッチ
  • スタンドアロンNX-OSモードのNexus 9000シリーズスイッチ(脆弱性のある製品セクションに記載されているモデルを除く)
  • ACIモードのNexus 9000シリーズファブリックスイッチ
  • Secure Firewall 3100シリーズ
  • Secure Firewall 4200シリーズ
  • UCS 6300シリーズファブリックインターコネクト
  • UCS 6400シリーズファブリックインターコネクト
  • UCS 6500シリーズファブリックインターコネクト

サイバー攻撃者は巧妙に細工したイーサネットフレームを該当デバイスに送信することでこの脆弱性を悪用できるとされている。攻撃が成功した場合にはデバイスがリロードする可能性もあるという。Cisco Systemsはすでにこのセキュリティ脆弱性を修正するソフトウェア・アップデートをリリースしており、該当する製品を使用している場合には迅速にアップデートを適用することが望まれる。

Kaspersky使用禁止の国が増加 - 日本企業はどう対応すべきか?

Kaspersky製品をめぐって世界では使用を禁止する動きが起こっている。2月21日(現地時間)、この動きにオーストラリアが加わった(参考「Kaspersky製品を使用禁止、米独加に続きオーストラリアも行動 | TECH+(テックプラス)」)。

オーストラリア内務省(DHA:Australian Government Department of Home Affairs)は2月21日(現地時間)、Kaspersky製品および同社のWebサービスの使用を禁止すると発表した。これはオーストラリアの「Protective Security Policy Framework」に基づく強制的な指示であり、オーストラリア政府機関は従う義務があるとされている。

  • PSPF Direction Update – Kaspersky Lab、Inc. Products and Web Services|Protective Security Policy Framework

    PSPF Direction Update – Kaspersky Lab, Inc. Products and Web Services | Protective Security Policy Framework

オーストラリア内務省長官のStephanie Foster氏は同指令に関して次のように語っている。

脅威とリスク分析を熟慮した結果、オーストラリア政府機関におけるKaspersky製品およびWebサービスの使用は、外国の干渉、スパイ活動、妨害行為の脅威から生じる容認できないセキュリティリスクを政府、ネットワーク、データにもたらすと判断しました。また、Kaspersky製品とWebサービスの使用に関連する容認できないセキュリティリスクに関して、重要なインフラおよびその他のオーストラリア政府に強力なポリシーシグナルを送る重要性も検討しました。

Kasperskyはロシアのサイバーセキュリティ企業だ。セキュリティソリューションはその仕組み上、システムに深く入り込んでモニタリング活動を行っている。これはつまり、セキュリティソリューションが悪意ある変更を施した場合、永続的にシステムが侵害されることを意味している。

西側諸国とロシアの関係は安寧とは言い難い状況が続いている。ロシアによるウクライナ侵攻以来さらに緊張の度合いを高めており、西側諸国を中心にKaspersky製品排除の流れが起きている。すでに米国が禁止の動きを進め、カナダも似た結果を出しているほか、ドイツも懸念を表明している。他の国も同様の決定を出しているところがある。今回の発表でオーストラリアも明示的この動きに続いた。

現状、日本政府は本件に関して明示的な発表を行っていない。日本においてはいくつかの企業がKasperskyの製品を採用しない動きを見せているレベルだ。

日本政府が使用禁止を呼びかけていないことから、日本の組織や企業はこうした動きに同調する必要はない。しかしながら、日本と経済的結び付きが強い西側諸国が政府レベルでこうした動きを見せていることは認識しておく必要がある。各国政府の主張やKasperskyの主張は当然ながら相反しており、真偽のほどは分からない。しかしながら、状況を考えるとリスクを払拭することは難しい。該当製品やサービスを使用している場合には、現時点でリスクが存在することを認識し、プランBを用意しておくなどいざという場合に備えておくことが望まれる。

Apple AirTagに脆弱性 - 任意のBluetoothデバイスを追跡可能に

盗難時のトラッキングを行うためにトラッキングデバイスを仕込んでおくというのはひとつの対策として有効だ。いくつかのサービスが存在しているが、そうしたサービス/デバイスのひとつにAppleのAirTagがある。Appleが展開しているだけあって適用範囲が広く、iPhoneやMacから探索が可能で、利便性も高い。しかしながら、このシステムは完璧というわけではないようだ。

Techstrong Groupは2月28日(米国時間)、Apple AirTagに任意のBluetoothデバイスを追跡できてしまう脆弱性が存在すると発表した。この脆弱性はジョージ・メイソン大学の研究者らにより発見されており、「nRootTag」と名付けられている(参考「Appleの「探す」に脆弱性、デバイスを不正に跡可能 | TECH+(テックプラス)」)。

  • Apple Lets Stalkers Find YOU — ‘nRootTag’ Team Breaks AirTag Crypto - Security Boulevard

    Apple Lets Stalkers Find YOU — ‘nRootTag’ Team Breaks AirTag Crypto - Security Boulevard

研究者の取り組みはBluetoothアドレスと互換性のある暗号鍵を効率的に発見する検索技術を開発して暗号鍵とアドレスの適合を可能にするというもので、GPUレンタルサービスを使ってコンピューティングリソースを調達することで数百のGPUを使い数分程度で約90%の検索成功率を実現したと説明している。

この脆弱性が悪用された場合、サイバー攻撃者によるBluetoothデバイスのストーキングやスパイが可能になるとされている。ただし、実際にこの脆弱性を利用するには対象となるBluetoothデバイスそのものを侵害する必要があることから、悪用が簡単ではないと分析されている。現実的に広く悪用される脆弱性ではないが、仕組み上こうした悪用が可能であることが示されたことになる。

本セキュリティ脆弱性はすでにAppleに報告されており、Appleも問題を認識済みとされている。ただし、現時点で修正方法は明らかにされていないほか、研究者らは完全な修正には数年という歳月が必要になるだろうと指摘している。

VSCodeの人気テーマ拡張にマルウェア - 900万回以上DL、即削除を推奨

開発にMicrosoft Visual Studio Code (以降、VSCode)を使っている場合には「A Wolf in Dark Mode: The Malicious VS Code Theme That Fooled Millions | by Amit Assaraf | ExtensionTotal | Feb, 2025 | Medium」の内容を確認しておこう。人気のある拡張機能からマルウェアが発見されたと発表されており、該当する拡張機能を使っている場合には注意が必要だ(参考「VS Codeの人気拡張機能にマルウェア、すぐに削除を - 900万回以上DL | TECH+(テックプラス)」)。

  • A Wolf in Dark Mode: The Malicious VS Code Theme That Fooled Millions|by Amit Assaraf|ExtensionTotal|Feb、2025|Medium

    A Wolf in Dark Mode: The Malicious VS Code Theme That Fooled Millions | by Amit Assaraf | ExtensionTotal | Feb, 2025 | Medium

指摘されている拡張機能は次のとおり。

  • Material Theme — Free
  • Material Theme Icons — Free

  • equinusocio.moxer-theme

  • equinusocio.vsc-material-theme

  • equinusocio.vsc-material-theme-icons

  • equinusocio.vsc-community-material-theme

  • equinusocio.moxer-icons

いずれも開発者はMattia Astorino氏(別名:equinusocio)だという。これら拡張機能の合計ダウンロード数は900万回以上とされている。名前がよく似た拡張機能もあるため注意しよう。スペルをよく確認するほか、開発者の名前を確認しよう。なお、当該拡張機能はすでに削除されている。

VSCodeに限らず、拡張機能やアドオン、プラグインといった後から機能を追加するタイプのソフトウェアにマルウェアを混入させる、またはそこからマルウェアの感染を行う手口が流行している。こうしたソフトウェアは、気が付かないうちにメンテナーがサポートを終了していたり、他の開発者に所有権が乗っ取られていたり、似た名前を使ってユーザーを騙すなどして、サイバー攻撃に悪用されるケースが増えている。

拡張機能やアドオン、プラグインを使っている場合、そうしたソフトウェアにもサイバーセキュリティのリスクが存在しており、アプリケーションと同様にサポートされているものを常に最新版へアップデートし続ける必要があるほか、サイバーセキュリティ情報を収集して適切に対応していくことが必須であることを覚えておこう。

DeepSeek利用者に警告 - 偽サイトでVidarマルウェアが拡散中

登場以来「DeepSeek」を巡る話題が絶えない状況が続いている。このような状況は脅威アクターにとって格好のネタを提供するようなものだ。

Zscalerは2月25日(米国時間)、DeepSeekがマルウェアの拡散に悪用されたと発表した。同社はDeepSeekの人気を利用する偽サイトを複数発見したとしており、これらがマルウェア拡散のキャンペーンに関与しているとして詳しく解説している(参考「DeepSeek人気を悪用して偽サイトからマルウェア感染、警戒を | TECH+(テックプラス)」)。

  • DeepSeek Lure Used To Spread Malware|ThreatLabz

    DeepSeek Lure Used To Spread Malware | ThreatLabz

このキャンペーンでは最初にCAPTCHAページに誘導される。Webページには悪意のあるJavaScriptが設置されており、悪意のあるPowerShellスクリプトをクリップボードにコピーし、ユーザーに実行するように要求する。ユーザーが指示に従い操作を行うと最終的に情報窃取マルウェア「Vidar」が実行される。CAPTCHAの検証操作の一環としてコードの実行を指示することから、だまされるユーザーも出てくる可能性もあるだろう。

DeepSeekは性能的に優れたサービスだと分析されているが、検閲や情報窃取の可能性、ずさんなアプリなど、問題の指摘も多い。DeepSeekには利便性以外のリスクも存在していることを認識しておきたい。

ChatGPTとDeepSeekのどちらが優れているか

DeekSeekの悪用が明らかになったことに関連し、DeepSeekと他の生成AIを比較した記事について触れておきたい。

どの生成AIが「賢い」かは、ユーザーが何を求めているかに依るため一概にどれが優れているとは言い難いところがある。現時点では実際に自分で試してみて自分に合った生成AIを選ぶ方が確実ではないかと思う。

しかしながら、ベンチマークや評価、分析結果などを知っておくことにも意味がある。ここではDeepSeekとChatGPTを比較した記事としてTechstrong Groupの「DeepSeek vs ChatGPT: Why ChatGPT Still Leads the AI - Security Boulevard」を紹介したい。DeepSeekは手放しで喜んで使ってよいサービスか疑問が残るが、利便性という面において現時点でどのような位置付けにあるかの分析は知っておいて損はないだろう。

  • DeepSeek vs ChatGPT: Why ChatGPT Still Leads the AI - Security Boulevard

    DeepSeek vs ChatGPT: Why ChatGPT Still Leads the AI - Security Boulevard

記事ではDeepSeekとChatGPTを5つの視点から分析し、どのような位置付けにあるかを説明している。取り上げられている主な内容は次のとおり。

  • 成熟度と市場への影響力 - ChatGPTには2年の経済経験があり、改善を繰り返している。DeepSeekは登場したばかりで、パフォーマンスの微調整に必要なデータの蓄積やユーザー層が不足している
  • トレーニングデータと知識ベース - ChatGPTは広範かつ多様なデータセットでトレーニングされたモデルがある。DeepSeekのデータセットはChatGPTの多様な知識ベースには及ばない
  • コミュニティーとエコシステムのサポート - ChatGPTには大規模な開発者コミュニティー、多数の統合されたAPI、広範なドキュメントが存在する。DeepSeekはこの点において規模が小さい
  • 会話の継続性とコンテキスト処理 - ChatGPTは長い会話における高いコンテキスト(文脈)維持能力がある。DeepSeekは特定のタスク処理において優れた結果を示すが、長い会話でのコンテキスト維持に難がある
  • 倫理的配慮とコンテンツモデレーション - ChatGPTには悪用防止の取り組みがある。DeepSeekはこの点が弱く、現時点で倫理面で問題がある

記事は当面はChatGPTが優勢と位置付けている。しかし、その優位がいつまで続くかは不透明だ。DeepSeekには中国政府の意向が強く影響している可能性があり、このサービスが世界のスタンダードになることには懸念がある。DeepSeekやその他の生成AIサービスについて、今後も積極的に注目し、情報収集と適切な対応を取り続けることが望まれる。

CISAが新たに4つの脆弱性を警告 - Adobe ColdFusionやZimbraなど影響

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、2月24日~3月2日にカタログに4つのエクスプロイトを追加した。

追加されたエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • Adobe ColdFusion 2016 Update 3およびこれより前のバージョン
  • Adobe ColdFusion 11 update 11およびこれより前のバージョン
  • Adobe ColdFusion 10 Update 22およびこれより前のバージョン
  • Oracle Agile PLM Framework 9.3.6
  • Microsoft Partner Center (Partner.Microsoft.com)
  • Zimbra ZCS v.8.8.15

該当する製品を使っている場合にはそのバージョンを確認し、上記バージョンに一致している場合にはアップデートなどの対処を行おう。カタログに追加されるセキュリティ脆弱性はアクティブに悪用が確認されているものであり、分析されている深刻度の大小にかかわらず迅速に対応する必要がある。少なくともカタログは毎週確認を行い、対応を行きたい。

* * *

Cisco Nexusスイッチの深刻な脆弱性や、DeepSeekの人気を悪用した偽サイトによるマルウェア拡散が明らかになった。また、CISAが既知のエクスプロイト4件を追加し、Adobe ColdFusionやZimbraなどが影響を受けることが判明した。さらに、Kaspersky製品の使用禁止措置がオーストラリアにも拡大し、世界的なセキュリティ対策の流れが加速している。これらの情報は、企業や個人がサイバー攻撃のリスクを軽減するために重要であり、迅速な対応が求められる。

今回取り上げた脅威は、いずれも現実に悪用されているか、悪用が可能なものだ。最新の脆弱性情報を定期的に確認し、ソフトウェアのアップデートやセキュリティ設定の強化を行うことが被害を防ぐシンプルで最善の策であることを再度認識し、確実に実施していこう。

参考