NETGEARおよびZyxelのルーターに重大な脆弱性が発覚し、NETGEARはアップデート、Zyxelは交換が推奨されている。Cisco ISEに特権昇格の脆弱性が確認された。さらに、AI「DeepSeek」のセキュリティ問題、Chromeの偽インストーラーによるマルウェア感染、スマホ画像データを狙う「SparkCat」マルウェアが報告された。CISAは新たに11件の既知の脆弱性を公表し、Microsoft Officeや7-Zipを含む広範なソフトウェアが影響を受ける可能性がある。今週発覚した脆弱性の中にはすでに悪用が確認されたものもあり、直ちに対応することが求められている。

連載のこれまでの回はこちらを参照

2月3日~9日の最新サイバーセキュリティ情報

NETGEARおよびZyxelのルーターに関する重大な脆弱性が明らかとなり、NETGEAR製品ではファームウェアのアップデートが、Zyxel製品では使用中止および交換が強く推奨されている。また、Cisco Identity Services Engine(ISE)においても特権昇格のリスクがある緊急(Critical)レベルの脆弱性が確認されており、迅速なアップデートが求められている。

さらに、生成AI「DeepSeek」のセキュリティ問題、Google Chromeの偽インストーラーによるマルウェア感染、スマートフォンの画像データを狙う「SparkCat」マルウェアの発見など、AI技術や一般的なアプリケーションを狙う攻撃も目立つ。加えて、米CISAが新たに11件の既知の脆弱性をカタログに追加し、Microsoft Officeや7-Zipなどの広範な製品が影響を受ける可能性が指摘されている。影響を受けるシステムを利用している場合には、ただちに適切な対応を講じることが求められている。

それでは以降で詳しく見ていこう。

NETGEARルーターに緊急脆弱性、今すぐファームウェアの更新を

NETGEARのルーターまたはアクセスポイントを使用している場合には注意が必要だ。同社から2件のセキュリティ脆弱性が発表されており、該当する場合には迅速にアップデートを行うことが望まれている(参考「NETGEARのルータに緊急脆弱性、アップデートを | TECH+ (テックプラス)」)。

  • Security Advisory for Unauthenticated RCE on Some WiFi Routers、PSV-2023-0039 - NETGEAR Support

    Security Advisory for Unauthenticated RCE on Some WiFi Routers, PSV-2023-0039 - NETGEAR Support

脆弱性が存在する製品およびファームウェアバージョンは次のとおり。

  • XR1000 ファームウェアバージョン1.0.0.74よりも前のバージョン
  • XR1000v2 ファームウェアバージョン1.1.0.22よりも前のバージョン
  • XR500 ファームウェアバージョン2.3.2.134よりも前のバージョン
  • WAX206 ファームウェアバージョン1.0.5.3よりも前のバージョン
  • WAX220 ファームウェアバージョン1.0.3.5よりも前のバージョン
  • WAX214v2 ファームウェアバージョン1.0.2.5よりも前のバージョン

脆弱性が修正された製品およびファームウェアバージョンは次のとおり。

  • XR1000 ファームウェアバージョン1.0.0.74
  • XR1000v2 ファームウェアバージョン1.1.0.22
  • XR500 ファームウェアバージョン2.3.2.134
  • WAX206 ファームウェアバージョン1.0.5.3
  • WAX220 ファームウェアバージョン1.0.3.5
  • WAX214v2 ファームウェアバージョン1.0.2.5

NETGEARから発表が行われた時点で該当するセキュリティ脆弱性は脆弱性情報データベース(CVE:Common Vulnerabilities and Exposures)に登録されていない。しかしながら、共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)スコア値は9.8および9.6とされており、深刻度は緊急(Critical)と分析されている。

NETGEARはファームウェアのアップデート手段を公開している。該当する製品を使用している場合には迅速にアップデートを適用しよう。

Zyxelルーターに緊急脆弱性、使用中止と交換を強く推奨

Zyxelの顧客構内設備(CPE:Customer Premises Equipment)向けルーターを使用している場合には注意が必要だ。VulnCheckから複数のセキュリティ脆弱性が発表されており、該当する場合には迅速に対応を取ることが望まれている(参考「Zyxelのルータに緊急脆弱性、使用中止または交換を | TECH+ (テックプラス)」)。

  • Zyxel Telnet Vulnerabilities - Blog - VulnCheck

    Zyxel Telnet Vulnerabilities - Blog - VulnCheck

脆弱性が存在する製品は次のとおり。

  • VMG1312-B10A
  • VMG1312-B10B
  • VMG1312-B10E
  • VMG3312-B10A
  • VMG3313-B10A
  • VMG3926-B10B
  • VMG4325-B10A
  • VMG4380-B10A
  • VMG8324-B10A
  • VMG8924-B10A
  • SBG3300
  • SBG3500

存在が指摘されているセキュリティ脆弱性の深刻度は共通脆弱性評価システム(CVSS)のスコア値で緊急(Critical)と分析されている。さらに今回発表された製品は全てサポート終了(EOL:End-of-Life)に達している点にも注意がいる。アップデートが提供されないことから、他の製品へ交換するなどの対応を取ることが望まれている。

Zyxelは該当製品全てがサポート終了に達しているとし、製品の交換を強く推奨している。インターネットサービスプロバイダー(ISP:Internet Service Provider)から製品のリースを受けている場合にはISPに問い合わせることが推奨されている。

Cisco ISEに深刻度Criticalの脆弱性、放置すると重大なリスクに

Cisco SystemsからCisco Identity Services Engine(ISE)に複数のセキュリティ脆弱性が存在するとの発表が行われた。これらセキュリティ脆弱性を悪用された場合、認証された攻撃者によってリモートから該当デバイスで任意のコマンドを実行し特権昇格を実施される可能性があるとされている(参考「Cisco Identity Services Engine Insecure Java Deserialization and Authorization Bypass Vulnerabilities」)。

  • Cisco Identity Services Engine Insecure Java Deserialization and Authorization Bypass Vulnerabilities

    Cisco Identity Services Engine Insecure Java Deserialization and Authorization Bypass Vulnerabilities

Cisco Identity Services Engine (ISE)を使っている場合には、利用しているバージョンに同セキュリティ脆弱性が存在しているか確認するとともに、該当する場合にはアップデートを適用することが望まれている。セキュリティ脆弱性は共通脆弱性評価システム(CVSS)のスコア値ベースで緊急(Critical)と分析されていることから、迅速に対応することが望まれている。

中国発AI「DeepSeek」は安全か? セキュリティ専門家が警鐘を鳴らす

サイバーセキュリティにおいて攻撃側にも防御側にも生成AI技術は必須の存在になっている。そしてここ数週間は中国発の「DeepSeek」が話題をさらっている。現在OpenAIが提供しているかなり上位のモデルであるo1に匹敵する性能を持ちながら、Web版やアプリ版は無料で使うことができ、APIも価格が破格の安さで提供されている。しかもコア技術はオープンソースソフトウェアとして公開され、学習コストも桁違いに安いと評価されている。世界中で注目されるようになったDeepSeekは当然、脅威アクターにとっても魅力的なツールと映っている。

DeepSeekを巡る話題は尽きないが、サイバーセキュリティの分野に関して言えば悪い話題が多い。現状では脅威アクターが喜ぶ情報が多いように見える。例えばSecurityBoulevardに掲載された「DeepSeek AI Model Riddled With Security Vulnerabilities - Security Boulevard」が、DeepSeekを巡るサイバーセキュリティ上の執筆時点での懸念をまとめている。

  • DeepSeek AI Model Riddled With Security Vulnerabilities - Security Boulevard

    DeepSeek AI Model Riddled With Security Vulnerabilities - Security Boulevard

取り上げられている主な懸念点は次のとおり。

  • プロンプトインジェクション脆弱性 - 悪意のあるプロンプトを巧妙に作成することで、モデルの意図しない動作を引き起こしたり、機密情報を漏えいさせたりすることが可能。サイバー攻撃者はこの脆弱性を利用して、モデルを操り、本来のセキュリティ対策を迂回する可能性がある
  • データ汚染攻撃に対する脆弱性 - モデルの学習データに悪意のあるデータが混入した場合、モデルの挙動が歪められたり、特定の攻撃に対して脆弱になったりする可能性がある。記事では、DeepSeek AIモデルが、このようなデータ汚染攻撃に対して脆弱であることが指摘されている
  • モデルのAPIにおけるアクセス制御の不備 - モデルへのアクセスを制御するAPIに不備があり、不正なアクセスや情報漏えいのリスクが存在する。特に、認証メカニズムの脆弱性や、認可ポリシーの不備などが問題点として挙げられている
  • 敵対的攻撃に対する脆弱性 - モデルは、敵対的な入力(わずかに改ざんされた入力データ)に対して脆弱であり、誤った出力を生成したり、予測精度が大幅に低下したりする可能性がある。これにより、重要な判断をAIに依存するシステムにおいて、深刻な誤判断を引き起こすリスクが指摘されている

上記のような脆弱性を悪用することで、次のようなリスク影響が考えられるという。

  • 機密情報の漏えい - モデルが学習した個人情報や企業秘密などの機密情報が、攻撃者によって不正に取得される可能性がある
  • AIシステムの不正利用 - モデルが攻撃者に制御され、本来の目的とは異なる悪意のある目的(偽情報の拡散、不正な取引の実行など)に利用される可能性がある
  • サービス停止と信頼性の失墜 - 大規模な攻撃によってAIシステムがダウンしたり、誤動作を繰り返したりすることで、サービスが停止し、社会的な信頼を失墜させる可能性がある
  • 経済的損失と法的責任 - セキュリティ侵害によって経済的な損失が発生するだけでなく、個人情報保護法などの法律に違反した場合、法的責任を問われる可能性がある

DeepSeekについてはモデルやAPIのみならず、iPhone向けのアプリに関してもサイバーセキュリティ上のリスクが指摘されている。NowSecureにレポートによってDeepSeekが提供するiOS向けAIアプリが機密情報を暗号化せずにデータを送信していることが明らかになっており、中間者攻撃(MITM:Man-in-the-middle attack)が可能な攻撃者によってデータの窃取や改ざんが可能とされている(参考「DeepSeekのiPhoneアプリはセキュリティに問題あり、データ漏出の恐れ | TECH+ (テックプラス)」)。

  • NowSecure Uncovers Multiple Security and Privacy Flaws in DeepSeek iOS Mobile App - NowSecure

    NowSecure Uncovers Multiple Security and Privacy Flaws in DeepSeek iOS Mobile App - NowSecure

この問題を指摘したNowSecureはリスクが高いとして該当アプリのアンインストールを推奨している。削除しないで使用を継続した場合には、次のリスクが存在すると説明されている。

  • 知的財産と機密データを不特定の第三者に流出
  • セキュリティ上の欠陥によりデータ完全性が損なわれる
  • ByteDanceなど特定の第三者にデータ流出
  • 中国にデータを保存および分析される

DeepSeekはその性能と価格から魅力的なサービスだが、世界中の政府やセキュリティ専門家からは疑念の目が向けられており、国として使用を禁止する方針を取るところも出てきている。今後この流れは加速する可能性もあり、今後どういった方向へ進むかかなり不安定な状況にある。

DeepSeekのセキュリティ脆弱性は、AI技術の急速な発展に伴う新たな課題を浮き彫りにしている。AIモデルのセキュリティ確保は社会全体でAI技術を安全に活用していくために不可欠だ。今後この分野を巡る状況は注意深く情報収集を行い、適切に行動していく必要がある。

Chromeをダウンロードする前に確認を、偽サイト経由でマルウェア感染の危険

パソコンでもっとも使われているWebブラウザはGoogle Chromeだ。他のWebブラウザと比較して圧倒的なシェアを誇っている。しかしながら、こうしたユーザー数の多いソフトウェアはサイバー攻撃の標的にもなりやすい。もし使っているChromeがURLを確認した正規のWebサイトからインストールしたものでない場合、そのChromeはマルウェアを含んだ偽物という可能性も出てきているのだ。(参考「偽のChromeからマルウェアを感染させるサイバー攻撃発見、注意を | TECH+ (テックプラス)」)。

  • Rat Race: ValleyRAT Malware Targets Organizations with New Delivery Techniques

    Rat Race: ValleyRAT Malware Targets Organizations with New Delivery Techniques

Morphisecはこのほど、偽のWebサイトから偽のChromeインストーラーを配布し、DLLサイドローディング技術や特徴的なプロセスハロウイングを悪用して遠隔操作型トロイの木馬(RAT:Remote Administration Trojan)である「ValleyRAT」が配布されているとの調査結果を公表した。

サイバー攻撃者がユーザーを騙してマルウェアをインストールさせたり、セキュリティソフトウェアの検出を回避して不正プログラムを実行していく手口は常に変化しており、思いもよらないところに入り込んでくるようになっている。普段使っているアプリケーションであったとしても、不用意にインストールなどは行わずに、インストールを行う際にはWebブラウザのURLを確認して正規のサイトからダウンロードを行うことが望まれる。検索結果から偽サイトに誘導する手口も多々報告されるようになっており、検索サイトからのアクセスであっても信用せずに、正規のURLであることを確認してから操作することが望まれている。

「写メで保存」はもう安全ではない、アカウント情報を画像で保存は危険

アカウントデータを写メって保存していくビジネスパーソンも多いのではないかと思うが、もうこのライフハックは安全ではないかもしれない。iPhoneやAndroidスマートフォンに保存された画像ファイルから文字を読み取って窃取する「SparkCat」マルウェアがKaspersky Labより公表された(参考「暗号資産を盗むiPhoneアプリとAndroidアプリ発見、注意を | TECH+ (テックプラス)」)。

  • SparkCat crypto stealer in Google Play and App Store|Securelist

    SparkCat crypto stealer in Google Play and App Store | Securelist

Google Playから合計で18の悪意あるアプリが検出されており、Appleストアからも同様のマルウェア機能を備えたアプリが複数発見されている。Kaspersky Labの説明によればAppleストアからOCRを使った不正アプリが認識されたのは今回がはじめてだとされている。

マルウェアのコードからは中国語のコメントが発見されていること、コマンド&コントロール(C2:Command and Control)サーバーのエラー表示が中国語だったことから、このマルウェア機能に関連する脅威アクターは少なくとも中国語を日常的に使用する人物と推測されている。使われているライブラリから推測するところでは日本語も解析可能と見られており、今後類似したリスクが発生する可能性がある。

機能的にこうしたデータ窃取が可能であることが示されたこともあり、画像としてアカウントデータを保存しておくことはリスクが高い行為になった可能性が高い。Kaspersky Labはユーザーに対してデバイスに保存された写真から機密情報を含むものを削除するか、または安全な場所に移動することを推奨している。

Microsoft Office・7-Zipなど広範囲に影響 - CISAの脆弱性警告をチェック

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、2月3日~9日にカタログに11個のエクスプロイトを追加した。

追加されたエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • Trimble Cityworks 15.8.9より前のバージョン
  • Trimble Cityworks (with office companion) 23.10よりも前のバージョン
  • 7-Zip 7-Zip (x64) バージョン24.08
  • Audinate Dante Application Library for Windows 1.2.0およびこれよりも前のバージョン
  • Microsoft Office 2019 (32-bit Systems、x64-based Systems) 19.0.0から https://aka.ms/OfficeSecurityReleases よりも前のバージョン
  • Microsoft 365 Apps for Enterprise (32-bit Systems、x64-based Systems) 16.0.1から https://aka.ms/OfficeSecurityReleases よりも前のバージョン
  • Microsoft Office LTSC 2021 (x64-based Systems、32-bit Systems) 16.0.1から https://aka.ms/OfficeSecurityReleases よりも前のバージョン
  • Microsoft Office 2016 (32-bit Systems、x64-based Systems) 16.0.0から16.0.5435.1001よりも前のバージョン
  • WebAdmin of Cyberoam OS 2020-12-04およびこれより前のバージョン
  • Sophos XG Firewall 17.x系 v17.5 MR12までのバージョン
  • Linux 2.6.26
  • Apache OFBiz 18.12.16よりも前のバージョン
  • Microsoft .NET Framework 4.8 (Windows 10 Version 1607 for 32-bit Systems、Windows 10 Version 1607 for x64-based Systems、Windows Server 2016、Windows Server 2016 (Server Core installation)、Windows Server 2008 R2 for x64-based Systems Service Pack 1、Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)、Windows Server 2012、Windows Server 2012 (Server Core installation)、Windows Server 2012 R2、Windows Server 2012 R2 (Server Core installation)) 4.8.0から4.8.04690.02よりも前のバージョン
  • Microsoft .NET Framework 3.5 AND 4.8 (Windows 10 Version 1809 for 32-bit Systems、Windows 10 Version 1809 for x64-based Systems、Windows Server 2019、Windows Server 2019 (Server Core installation)、Windows Server 2022、Windows Server 2022 (Server Core installation)、Windows 11 version 21H2 for x64-based Systems、Windows 11 version 21H2 for ARM64-based Systems、Windows 10 Version 21H2 for 32-bit Systems、Windows 10 Version 21H2 for ARM64-based Systems、Windows 10 Version 21H2 for x64-based Systems、Windows 10 Version 22H2 for x64-based Systems、Windows 10 Version 22H2 for ARM64-based Systems、Windows 10 Version 22H2 for 32-bit Systems) 4.8.0から4.8.04690.02よりも前のバージョン
  • Microsoft .NET Framework 3.5 AND 4.7.2 (Windows 10 Version 1809 for x64-based Systems、Windows Server 2019、Windows Server 2019 (Server Core installation)、Windows 10 Version 1607 for 32-bit Systems、Windows 10 Version 1607 for x64-based Systems、Windows Server 2016、Windows Server 2016 (Server Core installation)) 4.7.0から4.7.04081.03よりも前のバージョン
  • Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2 (Windows Server 2008 R2 for x64-based Systems Service Pack 1、Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)、Windows Server 2012、Windows Server 2012 (Server Core installation)、Windows Server 2012 R2、Windows Server 2012 R2 (Server Core installation)) 4.7.0から4.7.04081.03よりも前のバージョン
  • Microsoft .NET Framework 3.5 AND 4.8.1 (Windows Server 2022、Windows Server 2022 (Server Core installation)、Windows 11 version 21H2 for x64-based Systems、Windows 11 version 21H2 for ARM64-based Systems、Windows 10 Version 21H2 for 32-bit Systems、Windows 10 Version 21H2 for ARM64-based Systems、Windows 10 Version 21H2 for x64-based Systems、Windows 11 Version 22H2 for ARM64-based Systems、Windows 11 Version 22H2 for x64-based Systems、Windows 10 Version 22H2 for x64-based Systems、Windows 10 Version 22H2 for ARM64-based Systems、Windows 10 Version 22H2 for 32-bit Systems、Windows 11 Version 23H2 for ARM64-based Systems、Windows 11 Version 23H2 for x64-based Systems、Windows Server 2022、23H2 Edition (Server Core installation)) 4.8.1から4.8.09214.01より前のバージョン
  • Microsoft .NET Framework 4.6.2 (Windows Server 2008 for 32-bit Systems Service Pack 2、Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)、Windows Server 2008 for x64-based Systems Service Pack 2、Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)) 4.7.0から4.7.04081.03よりも前のバージョン
  • Microsoft .NET Framework 3.5 AND 4.6/4.6.2 (Windows 10 for 32-bit Systems、Windows 10 for x64-based Systems) 10.0.0から10.0.10240.20402よりも前のバージョン
  • Microsoft .NET Framework 2.0 Service Pack 2 (Windows Server 2008 for 32-bit Systems Service Pack 2、Windows Server 2008 for x64-based Systems Service Pack 2) 2.0.0から3.0.50727.8976よりも前のバージョン
  • Microsoft .NET Framework 3.0 Service Pack 2 (Windows Server 2008 for 32-bit Systems Service Pack 2、Windows Server 2008 for x64-based Systems Service Pack 2) 3.0.0から3.0.50727.8976より前のバージョン
  • Microsoft .NET Framework 3.5 (Windows Server 2012、Windows Server 2012 (Server Core installation)、Windows Server 2012 R2、Windows Server 2012 R2 (Server Core installation)) 3.5.0から3.0.50727.8976よりも前のバージョン
  • Microsoft .NET Framework 3.5.1 (Windows Server 2008 R2 for x64-based Systems Service Pack 1、Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)) 3.5.0から3.0.30729.8959よりも前のバージョン
  • PRTG Network Monitor 18.2.39よりも前のバージョン
  • PRTG Network Monitor 18.2.40.1683よりも前のバージョン

2月3日~9日には多くの製品のセキュリティ脆弱性が悪用されているとしてカタログに追加された。該当する製品を使っていないか確認し、該当するバージョンを使っている場合には迅速にアップデートや対策を実施しよう。

またこの期間はカタログへの追加のみならず、産業用制御システム(ICS:Industrial Control System)関連のセキュリティアドバイザリーの報告も相次いだ。産業用制御システムを使っている場合には「Cybersecurity Alerts & Advisories | CISA」から該当する製品に関するセキュリティアドバイザリーが公開されていないか確認を行い、該当している場合には迅速に対応計画を立案して取り組もう。産業用制御システムは脅威アクターにとって魅力的な攻撃対象になっており、迅速に対応を行うことが望まれている。

* * *

この1週間で明らかになったサイバーセキュリティの脆弱性は、ネットワーク機器、AI技術、一般的なソフトウェアまで多岐にわたる。NETGEARやZyxelのルーターに関する重大な脆弱性が報告され、特にZyxel製品はサポート終了のため、アップデートではなく交換が強く推奨されている。また、Cisco ISEの脆弱性は特権昇格のリスクを伴い、迅速な修正が必要だ。さらに、AI技術「DeepSeek」の脆弱性、Chromeの偽インストーラーによるマルウェア感染、スマートフォンの画像データを標的とする「SparkCat」マルウェアの登場など、新たな攻撃手法が確認されている。

加えて、米CISAが新たに11件のエクスプロイトをカタログに追加し、Microsoft Officeや7-Zipなど広範な製品が影響を受ける可能性が指摘された。特に産業用制御システム(ICS)への攻撃リスクも増大しており、関係者は公式のセキュリティアドバイザリーを確認し、適切な対応を講じることが不可欠だ。今回報告された脆弱性の中には既に攻撃が確認されているものも含まれており、影響を受けるシステムを使用している場合には、ただちにアップデートや対策を実施することが求められている。

参考