Microsoftが159件の脆弱性を修正する累積更新プログラムを公開した。CISAは新たに7件の既知の悪用脆弱性をカタログに追加し、FortinetやMikrotikルーターの脆弱性が悪用されていることも報告された。フィッシング詐欺の報告件数は過去最多を記録し、特にSMSを悪用したスミッシングが増加。Yahoo!メールはDMARC未対応のメールを拒否する可能性を示唆するなど、メールセキュリティも強化されている。企業は最新のアップデート適用、フィッシング対策の徹底、生成AIの情報漏えいリスク管理を行い、安全なデジタル環境を維持する必要がある。
1月13日~19日の 最新サイバーセキュリティ情報
フィッシング詐欺の報告件数が過去最多を記録し、Amazonを騙る攻撃が依然として最も多いと報告された。SMSを悪用したスミッシングやGoogle翻訳を利用した詐欺手法も確認されており、一般ユーザーも警戒を強める必要がある。Yahoo!メールは迷惑メール対策を強化し、送信ドメイン認証(SPF・DKIM・DMARC)をクリアしていないメールの受信を拒否する可能性を示唆するなど、メールセキュリティ対策が進んでいる。
さらに、Mikrotik製ルーターがサイバー攻撃キャンペーンに悪用され、マルウェア配布の踏み台になっていることが報告された。企業ネットワークの保護においてルーターのファームウェア更新は必須であり、適切な管理が求められる。また、生成AIの業務活用における情報漏えいリスクについても議論が進んでおり、ChatGPTの使用制限と効率向上のバランスをどう取るかが重要な課題となっている。
CISAは既知の悪用脆弱性カタログに新たに7件のエクスプロイトを追加し、Microsoftの累積更新プログラムに悪用確認済みの脆弱性が含まれることを指摘した。Microsoft WindowsやFortinet製品の脆弱性が狙われており、企業や組織の管理者は速やかに最新のセキュリティパッチを適用する必要がある。
それでは以降で詳しく見ていこう。
2025年最初のMicrosoftアップデート公開、159件の脆弱性と悪用確認済みの脆弱性3件を修正
Microsoftから2025年1月の累積更新プログラムの配信が始まった。2025年の最初の累積更新プログラムは多くのセキュリティ脆弱性修正を含んでいる。修正対象となったセキュリティ脆弱性は159件にのぼっており、発表時点でそのうちすでに3件の悪用が確認されている。これらのセキュリティ脆弱性を悪用された場合、サイバー攻撃者によってリモートから任意のコードを実行されたり、管理者権限を奪取されたりする危険性があるとされている(参考「Microsoftが1月の更新プログラム、攻撃確認済みの脆弱性を修正 | TECH+ (テックプラス)」)。
本セキュリティ脆弱性に関しては情報処理推進機構(IPA:Information-technology Promotion Agency, Japan)およびJPCERTコーディネーションセンター(JPCERT/CC:Japan Computer Emergency Response Team Coordination Center)も情報を公開しており、こちらもチェックしておきたい。
- Microsoft 製品の脆弱性対策について(2025年1月) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
- 2025年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起
Microsoftは少なくとも毎月第2週目の火曜日に累積更新プログラムの配信を行い、セキュリティ脆弱性の修正を行っている。アップデートの適用をためらう管理者もいるが、脆弱性が公開されると攻撃リスクが高まるため、速やかな適用が推奨される。
累積更新プログラムの配信開始は、サイバー攻撃者にどのようなセキュリティ脆弱性が存在しているかを知らせることにもなる。このため、配信が始まった累積更新プログラムは迅速に適用するという運用が原則だ。不具合が発生した場合には更新プログラムの適用をロールバックするなどして対処することが望まれている。