サイバーセキュリティ最前線(14) NETGEAR製ルーターに緊急の脆弱性

lead=CISAやVulnCheck、JPCERT/CCから複数の脆弱性情報が公表され、NETGEARやプラネックス製ルーターを含むデバイスに深刻な脅威が存在することが明らかになった。AppleとGoogleもiPhoneとAndroid向けに緊急セキュリティアップデートを公開している。またWindows 10のサポート終了が迫るなか、ESETはアップグレードを推奨し、ランサムウェア被害を受けたカシオ計算機の事例も対策の重要性を示している。

連載のこれまでの回はこちらを参照。

1月6日～12日の最新サイバーセキュリティ情報

CISAは既知の悪用脆弱性カタログに4つのエクスプロイトを追加し、IvantiやOracle製品における深刻な脆弱性について警告を発した。また、VulnCheckからはNETGEAR製ルーターに認証なしでの攻撃が可能となる脆弱性「CVE-2024-12847」が報告され、長年にわたり悪用されてきた事実が判明している。これらの情報は迅速な対応が求められる喫緊の課題だ。

JPCERT/CCからは、プラネックス製ルーターにクロスサイトスクリプティング（XSS）脆弱性が存在することが公表された。この脆弱性は特定の条件下で攻撃者に任意のスクリプト実行を許容する可能性があり、MZK-DP300Nが影響を受ける。該当するユーザーは最新のファームウェアへのアップデートが求められる。

さらに、AppleおよびGoogleからはiPhoneとAndroidに関するセキュリティアップデートが公開された。ビジネスパーソンの多くがこれらのデバイスを日常的に利用している現状を踏まえ、各企業においては、従業員教育や情報共有体制の整備を進め、サイバー攻撃を未然に防ぐための対応を継続的に行うことが推奨される。これらの最新情報を把握し適切に対応していこう。

2025年はセキュリティ大失敗の年になる - Windows 11へのアップグレードが急務

先週、2025年10月14日のWindows 10サポート終了を念頭において、Windows 10からWindows 11へのアップグレードに取り組もうといった内容を取り上げたが、同様の内容の指摘がESETからも行われた。ESETによると現状はWindows 7のサポートが終了した2020年よりも危険な状態であり、2025年はセキュリティ大失敗の年になるとして全てのユーザーへアップグレードや他のOSへの移行を推奨している（参考「Windows 11への移行を強く推奨、Windows 7サポート終了時より危険 - ESET | TECH+ (テックプラス)」）。

Security-Fiasko? 32 Millionen Computer in Deutschland laufen noch mit Windows 10 ｜ ESET

世界的にみてWindows 10のシェアはWindows 11を大きく上回っている。ESETはドイツの例を取り上げ、ドイツ国内のコンピューターの約65%に相当する約3,200万台が依然としてWindows 10を使用しており、Windows 11はその約半数にとどまっていると指摘している。この割合は世界シェアにおいてもほぼ同じ傾向を示している（StatCounter調査結果）。

ESETはサイバー犯罪者がこのシェア状況をよく理解しており、サポートの終了日を待っていると指摘している。サポートが終了した日以降、セキュリティアップグレードが提供されないWindows 10はサイバー犯罪者にとって格好の攻撃標的になる。2025年のセキュリティ大失敗が目前に迫っているとし、全てのWindows 10ユーザーに対してWindows 11へアップグレードするか、そうでなければ他のOSへアップグレードすることを推奨している。

これまで何度か取り上げているが、Windows 10からWindows 11へのアップグレードの妨げになっているのがハードウェア要件（システム要件）だ。ある程度新しいCPUとトラステッドプラットフォームモジュール（TPM：Trusted Platform Module） 2.0が要件として挙げられており、これを満たしていないパソコンはWindows 11へのアップグレードができないでいる。

ESETはそのようにWindows 11へアップグレードできないユーザーに対しては、Linuxなどの他のオペレーティングシステムへ移行することを推奨している。MicrosoftはWindows 11へのアップグレードができないユーザー向けに拡張セキュリティ更新プログラム（ESU：Extended Security Update）の提供を発表しているが、毎年費用が倍々に増える設定となっており、あくまでも時間稼ぎの救済措置という側面が強い。可能なかぎりWindows 11へアップグレードするか、他のOSへ移行するか、2025年10月14日までにいずれかの行動を取ることが望まれている。

カシオ計算機、ランサムウェア被害の詳細を発表

2025年1月7日にカシオ計算機から2024年10月に発生したランサムウェア被害の調査結果が発表された。同社は専門家と協議したうえでランサムウェアグループからの要求には応じなかったこと、最終的に個人情報を含む社内文書の流出が確認されたことなどを報告している（参考「カシオ計算機のランサムウェア被害、顧客データ91件流出 | TECH+ (テックプラス)」）。

Results of Investigation into Information Leakage, etc., Caused by Ransomware Attack ｜ CASIO

流出したとされる情報は次のとおり。

国内従業員（5,509人）の氏名、従業員番号、メールアドレス、所属などの人事情報（一部は個人情報を含む）
国内外グループ会社従業員（881人）の氏名、メールアドレス、本社システムアカウント情報
過去に傘下だった海外グループ会社の一部元従業員（66人）の氏名、納税者番号、人事情報
取引先の担当者または代表者（1,922人）の氏名、メールアドレス、電話番号、会社名、会社住所など
過去に採用面接を受けた9人の氏名、メールアドレス、電話番号、住所、経歴
日本国内を仕向地とする商品購入者（91人）の住所、氏名、電話番号、購入日、商品名など。クレジットカード情報は含まない
一部取引先との請求書、契約書、売上などのデータ
会議資料、社内審査資料などのデータ（インサイダー情報は含まない）
社内システムに関するデータ

流出した個人情報は「日本国内を仕向地とする商品購入者（91人）」のみとされている。

ランサムウェアを使ったサイバー攻撃を受けた場合、セキュリティファームや当局はサイバー犯罪者の身代金要求には応えないようアドバイスしている。サイバー犯罪者へ身代金の支払いを行うことは、その資金を使って別のサイバー犯罪が行われる可能性を意味している。

これまでに報告された事例を踏まえると、日本企業はサイバー犯罪者にとって魅力的な攻撃対象であり、どの企業がいつこうしたサイバー攻撃の被害者になるか分からない状況にある。常にこうしたリスクが存在し、サイバー攻撃を受けることを前提とした社内対応を構築していくことが求めらる状況だ。

iPhoneとAndroidの緊急アップデート：サイバー攻撃を防ぐために

AppleおよびGoogleから同社製品に関するセキュリティ情報が公開された。iPhoneやAndroidといったデバイスを持っている場合、迅速にアップデートを行うことが望まれる（参考「Apple、iPhoneとiPadの重要なバグを修正 | TECH+ (テックプラス)」「Androidに6件の緊急の脆弱性、アップデートを | TECH+ (テックプラス)」）。

Apple security releases - Apple Support

Android Security Bulletin January 2025 ｜ Android Open Source Project

ビジネスパーソンのほとんどがiPhoneないしはAndroidのスマートフォンを使っている状況にある。こうしたデバイスは企業の制御下にないことが多いが、こうしたデバイスの脆弱性がサイバー攻撃につながることもある。従業員教育の一環として自分のスマートフォントのOSをバージョンアップし続けることや、サイバー攻撃の被害者にならないようにするために情報の共有およびその情報のアップデートに取り組む続けることが望まれる。

NETGEARルーターに深刻な脆弱性、迅速な対策を

VulnCheckに2025年1月9日（現地時間）、NETGEAR DGNにセキュリティ脆弱性「CVE-2024-12847」が存在すると発表した。このセキュリティ脆弱性を悪用された場合、リモートからサイバー攻撃者によって認証なしにデバイスへのアクセスを許可したり制御権が奪取される危険性がある（参考「NETGEAR DGN setup.cgi OS Command Execution | VulnCheck Advisories」）。

NETGEAR DGN setup.cgi OS Command Execution ｜ VulnCheck Advisories

「 Bugtraq: Unauthenticated command execution on Netgear DGN devices」の情報も加えると、CVE-2024-12847のセキュリティ脆弱性は次の製品およびバージョンが影響を受ける。

NETGEAR DGN 1.1.00.48よりも前のバージョン
NETGEAR DGN v1の全てのバージョン

このセキュリティ脆弱性は少なくとも2017年から実際に悪用されているとの説明が行われている。

NETGEARはDGN1000向けにファームウェアバージョン1.1.00.48をリリースし、この脆弱性に対処している。該当するルーターを使用しているユーザーは直ちに最新のファームウェアへのアップデートすることが強く推奨されている。一方、DGN2200 v1はすでにサポートが終了しており、アップデートは提供されていない。DGN2200 v1のユーザーは新しいモデルへの買い替えの検討が推奨されている。

JPCERT/CCが報告するXSS脆弱性、プラネックス製品

JPCERTコーディネーションセンター（JPCERT/CC：Japan Computer Emergency Response Team Coordination Center）から2025年1月8日にプラネックスコミュニケーションズのルーターにセキュリティ脆弱性が存在すると報じた。クロスサイトスクリプティング（XSS：Cross-Site Scripting）のセキュリティ脆弱性が存在するとしており、ログイン可能な攻撃者によってWebブラウザ上で任意のスクリプトを実行される可能性があるとされている（参考「プラネックス製ルータに脆弱性、アップデートを - JPCERT/CC | TECH+ (テックプラス)」）。

JVN#57428125: プラネックス製MZK-DP300Nにおけるクロスサイトスクリプティングの脆弱性

セキュリティ脆弱性が存在する製品およびファームウェアバージョンは次のとおり。

MZK-DP300N 1.05およびこれより前のファームウェアバージョン

セキュリティ脆弱性が修正された製品およびファームウェアバージョンは次のとおり。

MZK-DP300N 1.06

本セキュリティ脆弱性の深刻度はCVSSスコア値で4.8であり警告（Warning）との評価にとどまっている。しかしながら、該当する製品を使っている場合には開発者の提供する情報に基づいてアップデートを適用することが望まれる。

IvantiとOracle製品に緊急脆弱性

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁（CISA：Cybersecurity and Infrastructure Security Agency）は、1月6日～12日にカタログに4つのエクスプロイトを追加した。

追加されたエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

Ivanti Connect Secure 22.7R2から22.7R2.4までのバージョン
Ivanti Policy Secure 22.7R1から22.7R1.2までのバージョン
Ivanti Neurons for ZTA gateways 22.7R2から22.7R2.3までのバージョン
Mitel MiCollab 9.8 SP1 FP2 (9.8.1.201)までのバージョンのNuPoint Unified Messaging (NPM)コンポーネント
Mitel MiCollab 9.8 SP2までのバージョン
Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0

IvantiとOracleのセキュリティ脆弱性は深刻度が緊急（Critical）に分類されたものであり注意が必要だ。

ただし、カタログに追加されるセキュリティ脆弱性はその深刻度の分析結果に依らず実際に積極的な悪用が確認されたものであり、基本的に迅速に対応することが望まれる。該当する製品を使用している場合にはそれぞれの製品の詳細情報を確認し、迅速に更新などの対策を実施しよう。

*　*　*

CISAが公表した新たなエクスプロイト情報や、VulnCheckおよびJPCERT/CCからの報告は、個人や企業にとって深刻なリスクを示している。これらの情報は単なる警告に留まらず、迅速な対応が求められる行動指針として受け止めるべきだ。

NETGEARやプラネックス製品に見られる脆弱性は、家庭や職場で利用される機器を悪用する危険性を含んでいる。ユーザーはこれらの情報を適切に活用し、可能な限り最新のファームウェアやセキュリティ更新を適用する必要がある。

サイバー攻撃のリスクは日々進化しており、完全な防御策を取ることは困難だ。しかし、情報共有や適切なセキュリティ教育を通じて、被害を最小限に抑えるための体制を整えることはできる。こうした取り組みが、個人および組織を守る最善の手段となるので、着実に実施していこう。

NETGEAR製ルーターに緊急の脆弱性

目次

1月6日～12日の最新サイバーセキュリティ情報

2025年はセキュリティ大失敗の年になる - Windows 11へのアップグレードが急務

カシオ計算機、ランサムウェア被害の詳細を発表

iPhoneとAndroidの緊急アップデート：サイバー攻撃を防ぐために

NETGEARルーターに深刻な脆弱性、迅速な対策を

JPCERT/CCが報告するXSS脆弱性、プラネックス製品

IvantiとOracle製品に緊急脆弱性

参考

この連載の前後回

AIが勧める、あなたのための会員限定記事

2025年に登場するWindows 11の注目の新機能トップ10

40年来の論争に決着。超高エネルギー宇宙線の主成分、千葉大などが解明

マネーフォワードが第2四半期決算を発表 - 上期の売上高が前年度比17%増

マジックテープや結束バンドも扱える、ロボットハンド用の自動生成AI　東北大ら開発

リコー、リーズニング性能を持つマルチモーダルLLMの開発を開始

近畿⼤ら、液晶画面を高機能化する新成果　円偏光の発生・回転方向の高速切替に成功

リコー、リーズニング性能を持つマルチモーダルLLMの開発を開始

2025年に登場するWindows 11の注目の新機能トップ10

楽天グループ、長期記憶メカニズムと対話型学習を融合する生成AI基盤モデルの研究開発へ

MicrosoftのAI診断システム、人間の医師の4倍の診断成功率を実現

OpenAI破談とトップ引き抜きで揺れる「Windsurf」に救いの手、Cognitionが買収

Terraform×Snowflakeにより、2人で始めたCARTAのデータ基盤革命とは

このカテゴリーについて

NETGEAR製ルーターに緊急の脆弱性

目次

1月6日～12日の最新サイバーセキュリティ情報

2025年はセキュリティ大失敗の年になる - Windows 11へのアップグレードが急務

カシオ計算機、ランサムウェア被害の詳細を発表

iPhoneとAndroidの緊急アップデート：サイバー攻撃を防ぐために

NETGEARルーターに深刻な脆弱性、迅速な対策を

JPCERT/CCが報告するXSS脆弱性、プラネックス製品

IvantiとOracle製品に緊急脆弱性

参考

この連載の前後回

AIが勧める、あなたのための会員限定記事

2025年に登場するWindows 11の注目の新機能トップ10

40年来の論争に決着。超高エネルギー宇宙線の主成分、千葉大などが解明

マネーフォワードが第2四半期決算を発表 - 上期の売上高が前年度比17%増

マジックテープや結束バンドも扱える、ロボットハンド用の自動生成AI 東北大ら開発

リコー、リーズニング性能を持つマルチモーダルLLMの開発を開始

近畿⼤ら、液晶画面を高機能化する新成果 円偏光の発生・回転方向の高速切替に成功

リコー、リーズニング性能を持つマルチモーダルLLMの開発を開始

2025年に登場するWindows 11の注目の新機能トップ10

楽天グループ、長期記憶メカニズムと対話型学習を融合する生成AI基盤モデルの研究開発へ

MicrosoftのAI診断システム、人間の医師の4倍の診断成功率を実現

OpenAI破談とトップ引き抜きで揺れる「Windsurf」に救いの手、Cognitionが買収

Terraform×Snowflakeにより、2人で始めたCARTAのデータ基盤革命とは

このカテゴリーについて

マジックテープや結束バンドも扱える、ロボットハンド用の自動生成AI　東北大ら開発

近畿⼤ら、液晶画面を高機能化する新成果　円偏光の発生・回転方向の高速切替に成功