Microsoftが159件の脆弱性を修正する累積更新プログラムを公開した。CISAは新たに7件の既知の悪用脆弱性をカタログに追加し、FortinetやMikrotikルーターの脆弱性が悪用されていることも報告された。フィッシング詐欺の報告件数は過去最多を記録し、特にSMSを悪用したスミッシングが増加。Yahoo!メールはDMARC未対応のメールを拒否する可能性を示唆するなど、メールセキュリティも強化されている。企業は最新のアップデート適用、フィッシング対策の徹底、生成AIの情報漏えいリスク管理を行い、安全なデジタル環境を維持する必要がある。

連載のこれまでの回はこちらを参照

1月13日~19日の 最新サイバーセキュリティ情報

フィッシング詐欺の報告件数が過去最多を記録し、Amazonを騙る攻撃が依然として最も多いと報告された。SMSを悪用したスミッシングやGoogle翻訳を利用した詐欺手法も確認されており、一般ユーザーも警戒を強める必要がある。Yahoo!メールは迷惑メール対策を強化し、送信ドメイン認証(SPF・DKIM・DMARC)をクリアしていないメールの受信を拒否する可能性を示唆するなど、メールセキュリティ対策が進んでいる。

さらに、Mikrotik製ルーターがサイバー攻撃キャンペーンに悪用され、マルウェア配布の踏み台になっていることが報告された。企業ネットワークの保護においてルーターのファームウェア更新は必須であり、適切な管理が求められる。また、生成AIの業務活用における情報漏えいリスクについても議論が進んでおり、ChatGPTの使用制限と効率向上のバランスをどう取るかが重要な課題となっている。

CISAは既知の悪用脆弱性カタログに新たに7件のエクスプロイトを追加し、Microsoftの累積更新プログラムに悪用確認済みの脆弱性が含まれることを指摘した。Microsoft WindowsやFortinet製品の脆弱性が狙われており、企業や組織の管理者は速やかに最新のセキュリティパッチを適用する必要がある。

それでは以降で詳しく見ていこう。

2025年最初のMicrosoftアップデート公開、159件の脆弱性と悪用確認済みの脆弱性3件を修正

Microsoftから2025年1月の累積更新プログラムの配信が始まった。2025年の最初の累積更新プログラムは多くのセキュリティ脆弱性修正を含んでいる。修正対象となったセキュリティ脆弱性は159件にのぼっており、発表時点でそのうちすでに3件の悪用が確認されている。これらのセキュリティ脆弱性を悪用された場合、サイバー攻撃者によってリモートから任意のコードを実行されたり、管理者権限を奪取されたりする危険性があるとされている(参考「Microsoftが1月の更新プログラム、攻撃確認済みの脆弱性を修正 | TECH+ (テックプラス)」)。

  • January 2025 Security Updates - Release Notes - Security Update Guide - Microsoft

    January 2025 Security Updates - Release Notes - Security Update Guide - Microsoft

本セキュリティ脆弱性に関しては情報処理推進機構(IPA:Information-technology Promotion Agency, Japan)およびJPCERTコーディネーションセンター(JPCERT/CC:Japan Computer Emergency Response Team Coordination Center)も情報を公開しており、こちらもチェックしておきたい。

  • Microsoft 製品の脆弱性対策について(2025年1月)|情報セキュリティ|IPA 独立行政法人 情報処理推進機構

    Microsoft 製品の脆弱性対策について(2025年1月) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

  • 2025年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起

    2025年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起

Microsoftは少なくとも毎月第2週目の火曜日に累積更新プログラムの配信を行い、セキュリティ脆弱性の修正を行っている。アップデートの適用をためらう管理者もいるが、脆弱性が公開されると攻撃リスクが高まるため、速やかな適用が推奨される。

累積更新プログラムの配信開始は、サイバー攻撃者にどのようなセキュリティ脆弱性が存在しているかを知らせることにもなる。このため、配信が始まった累積更新プログラムは迅速に適用するという運用が原則だ。不具合が発生した場合には更新プログラムの適用をロールバックするなどして対処することが望まれている。

2024年12月のフィッシング詐欺報告、過去最多の232,290件に急増

フィッシング対策協議会(Council of Anti-Phishing Japan)から2024年12月のフィッシング報告状況が発表された。フィッシング詐欺に使われるメールやショートメッセージサービス(SMS:Short Message Service)のメッセージは巧妙になり続けており、一見しただけでは真偽の判別が難しい(参考「12月のフィッシング詐欺の報告、20万件超えで過去最多 - トップはAmazon | TECH+ (テックプラス)」)。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2024/12 フィッシング報告状況

    フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2024/12 フィッシング報告状況

報告されている主な内容は次のとおり。

  • Amazonを騙るフィッシング詐欺の報告が減少し、報告数全体の約16.3%を占めた。しかしそれでも最も多い。次いでえきねっと、PayPay、佐川急便、国税庁、マスターカード、Apple、三井住友カード、JAバンク、JCBの報告が1万件以上確認され、これらで全体の約73.7%を占めた。1,000件以上の報告があったブランドは27ブランドあり、全体の約96.8%を占めた
  • SMSから誘導するスミッシングではクレジットカード系ブランドおよび東京電力を騙る文面の報告を多く受領した
  • 報告されたフィッシングサイトのURLは.cnが約54.5%で最多だった。これに.com(約36.8%)、.shop(約4.0%)、.goog(約1.2%)が続いた。報告されたURL件数(重複なし)は14,327件だった。短縮URLやリダイレクト機能のあるサービスの不正利用件数は減少傾向を示している。Google翻訳を悪用するケースも確認されている
  • 2024年12月はフィッシング詐欺の報告件数が過去最多の232,290件となり、前月から53,697件の急増となった。要因として使い捨てURLのばらまきが考えられる。調査用メールアドレスへのフィッシングメールが約5倍に増加した
  • なりすましフィッシングメールの割合は先月と比較して半分以下の約32.9%と大きく減少した。ただし、メール受信時にDMARC(Domain-based Message Authentication, Reporting, and Conformance)によるフィルタリングを実施していないISPや企業があり、DMARCポリシーをreject(拒否)として運用しているドメインのなりすましの継続がみられる
  • フィッシングサイトへの誘導の手口として抽選、支払い利用、紹介、新規契約、Webサイトへのログイン等によるポイントプレゼントなど、キャンペーンを装う文面が多く報告された

そして多くの方が経験していることだと思うが、フィッシング詐欺メールはこの限りではなく、さまざまな企業や組織を装って多様な攻撃を仕掛けている。受信するメールやメッセージに毎日のようにフィッシング詐欺が疑われるメールが混在しているユーザーも少なくない。

フィッシング対策協議会から報告されている、とくに悪用が確認されているブランドはもちろん、それ以外のフィッシング詐欺もさまざまなものが毎日大量に流通していることを再度認識し、心当たりのないメールに関してはフィッシング詐欺を疑い、推奨されている方法で真偽を確認するなど、常に慎重に行動を取ることが望まれる。

従業員にフィッシング対策協議会が毎月報告している「フィッシング報告状況」を確認するように伝え、こうした詐欺の被害者にならないように呼びかけることも対策の一環として期待できる。

Yahoo!メールが迷惑メール対策を強化 - SPF・DKIM・DMARC未対応のメールを拒否の可能性

フィッシング詐欺メールに対する効果的な対策において、ユーザーが技術的に対処できることは少ないと考えられている。効果的な方法はメールサービスを提供する通信事業者がDMARCポリシーに従ってメールの配信を行うこと、迷惑メールの対策を強化すること、Webメールやメールアプリにおいて送信ドメイン認証の検証結果とドメインをユーザーに警告表示する機能を追加することなどが考えられている(参考「Yahoo!メール、迷惑メールの送信規制 - 非対応メールは受信拒否の可能性 | TECH+ (テックプラス)」)。

この点に関して「Yahoo!メール」に進展があった。Yahoo!メールを提供しているLINEヤフーが「Yahoo!メール新着情報」において迷惑メールへの対策を強化すると発表した。発表された強化内容の要約は次のとおり。

  • Yahoo!メール新着情報

    Yahoo!メール新着情報

  • メール送信者に対して送信ドメイン認証への対応を推奨する
  • SPF(Sender Policy Framework)、DKIM(DomainKeys Identified Mail)、DMARC(Domain-based Message Authentication, Reporting, and Conformance)を導入していない、あるいは判定をクリアしていないメールは迷惑メールとして受信を拒否する可能性がある
  • SPF、DKIM、DMARC認証をクリアしたメールには「ブランドアイコン・ブランドカラー」を表示する。ブランドアイコンを表示するには「ブランドアイコンで安心安全なメール - Yahoo!メール」から申し込む必要がある

Techstrong Groupは1月17日(米国時間)、こうしたLINEヤフーの取り組みについて「企業に行動を促すもの」であると指摘するとともに、こうした取り組みが「企業の双方にメリットがあること」であり、「メールのエンゲージメント率を向上させるもの」だと評価した(参考「Yahoo Japan Enforces DMARC Adoption for Users in 2025 - Security Boulevard」)。

  • Yahoo Japan Enforces DMARC Adoption for Users in 2025 - Security Boulevard

    Yahoo Japan Enforces DMARC Adoption for Users in 2025 - Security Boulevard

こうした潮流は、SPF、DKIM、DMARCを導入していない企業が今後メールの受信を多くの企業から拒否される可能性があることを意味している。現在自社が利用している、または、運用しているメールシステムがこういった仕組みを活用しているかを確認するとともに、活用していない場合には早期に対応するように計画を立案し、実施していくことが望まれている。

Mikrotik製ルーターがサイバー攻撃に悪用、マルウェア配布の踏み台に

Mikrotik製ルーターを使っている場合には注意が必要だ。Mikrotik製ルーターがサイバー攻撃キャンペーンの一環として侵害を受け、マルウェアの配布に悪用されていることが確認された。該当するルーターを使用している場合、最新のファームウェアを利用しているか確認すると同時に、古いバージョンのまま運用している場合にはアップデートや対策などに取り組むことが望まれる(参考「設定に誤りがある2万のドメイン、マルウェア配布のために悪用される | TECH+ (テックプラス)」)。

このサイバー攻撃キャンペーンはInfobloxが「How A Large-Scale Russian Botnet Operation Stays Under the Radar」において詳細を伝えた。

  • How A Large-Scale Russian Botnet Operation Stays Under the Radar

    How A Large-Scale Russian Botnet Operation Stays Under the Radar

サイバー攻撃者にとってルーターは企業ネットワークや組織ネットワークに侵入するための最初の障壁だ。多くのサイバー攻撃者は常にルーターの穴を探しており、外部から侵入できる経路を探っている。ルーターは一旦運用が開始されるとアップデートされることなく放置されることが多いデバイスでもある。このように管理されていないルーターは外部からの侵入を許可するリスクの高い行為であることを認識するとともに、サポートが提供されているデバイスを適切にアップデートしながら使う必要があることを認識し、行動に移していこう。

ChatGPTを禁止すれば安全か? 完全禁止は解決策にならない - 「適切に恐れる」生成AIの使い方とは

業務内容にもよるが、生成AIといったAI技術は業務に取り込まざるを得ないという状況にある。それは生成AIなどのAI技術がもたらす改善効果や時短効果が劇的だからだ。こうした技術を使うのと使わないのとでは、対象の業務が終わるまでの時間が桁違いになる。しかもその桁は1桁とは限らず、2桁や場合によっては3桁を超えることもある。生成AIなどのAI技術は「使うべきか、使わないべきか」ではなく、「いかにして使うか」に取り組む段階に来ている。

しかしながら、ChatGPTに代表される汎用の生成AIチャットサービスなどは、便利で応用の幅がきわめて大きいのみならず、情報漏えいというリスクが常に存在している。生成AIチャットとのやりとりの中で機密情報が流出する可能性がある。有料サービスなどではユーザーが入力したデータは学習に使われることはないと明言されていることもあるが、実際にどうなのかは内部の、しかも一部の人間しか把握していないことだ。

企業には機密情報の秘匿という法令遵守が求められるが、生成AIがもたらす効率を手放すのは企業活動を行ううえで惜しいどころか、生命線を失うことにもなりかねない。この難しい問題にどう向き合っていけばよいか、Mimecastが「Does ChatGPT Leak Sensitive Data? | ChatGPT Data Leak | Mimecast」において興味深いアドバイスを発表した。生成AIと機密情報の問題にどう取り組んで行けばよいか方向性の策定に悩んでいるのであれば、示唆に富んだ内容で参考になると思う(参考「ChatGPTからの情報漏洩を防止するために「適切に恐れる」とは | TECH+ (テックプラス)」)。

  • Does ChatGPT Leak Sensitive Data?|ChatGPT Data Leak|Mimecast

    Does ChatGPT Leak Sensitive Data? | ChatGPT Data Leak | Mimecast

ChatGPTの使用を禁止するのはもっとも簡単で強力な対策だが、その方法では従業員の誰かは隠れてChatGPTを使う可能性があり、リスクを放置する可能性がある。Mimecastは「適切に恐れる」ことの大切さを指摘し、「人、プロセス、テクノロジー全体にわたる意図的でバランスのとれたアプローチ」を取ることを勧めている。

銀の弾丸は存在しないが、具体的な対策は提案されている。現状、Mimecastの提案している内容は現実のリスクと利益のバランスを取った案のようにみえる。まだ生成AIなどのAI技術に対するポリシーが定まっていない場合には、ぜひ目を通していただきたい内容だ。

Microsoft、Fortinet、Qlik Senseなど影響 - CISAは1月13日~19日に7件の新たな脆弱性をカタログに追加

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、1月13日~19日にカタログに7つのエクスプロイトを追加した。

追加されたエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • Aviatrix Controller 7.1.4191よりも前のバージョン
  • Aviatrix Controller 7.2.0から7.2.4996よりも前のバージョン
  • Microsoft Windows 10 Version 21H2 (x64ベースシステム) 10.0.19043.0から10.0.19044.5371より前のバージョン
  • Microsoft Windows 11 version 22H2 (ARM64ベースシステム、x64ベースシステム) 10.0.22621.0から10.0.22621.4751より前のバージョン
  • Microsoft Windows 10 Version 22H2 (x64ベースシステム) 10.0.19045.0から10.0.19045.5371より前のバージョン
  • Microsoft Windows Server 2025 (Server Core installation) (x64ベースシステム) 10.0.26100.0から10.0.26100.2894より前のバージョン
  • Microsoft Windows 11 version 22H3 (ARM64ベースシステム) 10.0.22631.0から10.0.22631.4751より前のバージョン
  • Microsoft Windows 11 Version 23H2 (x64ベースシステム) 10.0.22631.0から10.0.22631.4751より前のバージョン
  • Microsoft Windows Server 2022, 23H2 Edition (Server Core installation) (x64ベースシステム) 10.0.25398.0から10.0.25398.1369より前のバージョン
  • Microsoft Windows 11 Version 24H2 (ARM64ベースシステム、x64ベースシステム) 10.0.26100.0から10.0.26100.2894より前のバージョン
  • Microsoft Windows Server 2025 (x64ベースシステム) 10.0.26100.0から10.0.26100.2894より前のバージョン
  • Fortinet FortiOS 7.0.0から7.0.16までのバージョン
  • Fortinet FortiProxy 7.2.0から7.2.12までのバージョン
  • Fortinet FortiProxy 7.0.0から7.0.19までのバージョン
  • Qlik Sense Enterprise for Windows August 2023 Patch 2よりも前のバージョン
  • BeyondTrust Remote Support(RS) & Privileged Remote Access(PRA) 24.3.1までのすべてのバージョン

Microsoftから2025年1月の累積更新プログラムの配信が始まったわけだが、更新プログラムによって修正されるセキュリティ脆弱性はすでに悪用が確認されたものが含まれている。Microsoft製品は世界中のパソコンでもっとも広く使われているOSであり、もっともサイバー攻撃者の標的になりやすいプラットフォームのひとつだ。Microsoft製品を使っている場合には迅速にアップデートを適用しよう。

また、Fortinetのアップデートにも注目が必要だ。サイバー攻撃者はFortinetの脆弱性を利用したサイバー攻撃を行っている。企業や組織のセキュリティソフトウェアとしてFortinet製品を導入している場合には該当する製品を使っていないか確認し、該当する製品を使っている場合には迅速にアップデート計画を立案して実施に移そう。

* * *

サイバーセキュリティの脅威は日々進化し、企業や個人に対するリスクも拡大している。特にMicrosoft製品の脆弱性に対する攻撃は継続的に発生しており、最新の累積更新プログラムの適用は必須だ。また、Fortinet製品やMikrotikルーターを標的とした攻撃も確認されており、セキュリティ機器やネットワーク機器のファームウェア更新を怠らないことが、サイバー攻撃からの防御につながることが繰り返し明らかになっている状況だ。システム管理者は、使用しているソフトウェアやデバイスが最新のセキュリティ対策を適用しているか定期的に確認し、迅速なアップデートを実施しよう。

フィッシング詐欺の増加も深刻な問題となっており、特にSMSを悪用したスミッシング攻撃の巧妙化が目立つ。企業は従業員に対し、公式のセキュリティアドバイザリーやフィッシング対策協議会の報告を確認するよう促し、疑わしいメールやSMSに注意するよう教育を強化する必要がある。Yahoo!メールのように送信ドメイン認証(SPF・DKIM・DMARC)を厳格化する動きが進んでおり、企業もこれらのセキュリティ対策を導入し、安全なメール環境を整備することが求められている。

さらに、生成AIの活用に伴う情報漏えいリスクも重要な課題となっている。ChatGPTなどのAIツールは業務効率を大幅に向上させるが、企業の機密情報が外部に流出するリスクも孕んでいる。完全禁止という極端な対応ではなく、適切な管理のもとで活用する「適切に恐れる」アプローチを採用し、組織のポリシーを策定することが必要だ。サイバー脅威に対する防御は継続的な取り組みであり、企業や個人が最新情報を常にチェックし、適切な対策を講じることが安全なデジタル環境の維持につながる。

参考