サイバーセキュリティ最前線(24) 3月17日～23日の最新サイバーセキュリティ情報 - TP-Linkルーターに緊急警告、パスワード奪取の危険性

3月17日〜23日にはフィッシング詐欺の巧妙化、TP-LinkルーターやApache Tomcatに見つかった深刻な脆弱性、Windowsのリンクファイルを悪用した新手の攻撃手法、VSCodeの拡張機能に仕込まれたマルウェア、そしてCISAが警告するFortinet製品などへの攻撃が報告された。特に、個人や企業にとって即時対応が必要な脆弱性や、ソーシャルエンジニアリングに関する警戒が求められる事例があり、日常のセキュリティ意識を強化することが喫緊の課題と言える。

連載のこれまでの回はこちらを参照。

3月17日〜23日の最新サイバーセキュリティ情報

本稿では2025年3月17日から23日にかけて確認されたサイバーセキュリティに関する重要な動向について取り上げる。フィッシング詐欺の動向、ネットワーク機器の脆弱性、ソフトウェアのセキュリティホール、拡張機能を通じたマルウェアの配布など、多岐にわたる脅威が観測されている。これらは個人や組織にとって直ちに対策を講じるべき問題であり、その特徴と影響について正確に把握しておくことが求められる。

とりわけ注目すべきは、巧妙化するフィッシング詐欺と、CVE番号が付与された複数の深刻度の高い脆弱性の存在だ。フィッシング対策協議会やCISAなどの信頼性の高い情報源を基に、具体的な攻撃の傾向や推奨される防御策についても言及し、読者が迅速かつ的確に行動できるように構成した。

それでは以降で詳しく見ていこう。

個人の警戒心が最後の砦、システムでは防げないフィッシングの現実

フィッシング詐欺はサイバー攻撃の初期ベクトルとして依然として脅威であり続けている。フィッシング詐欺から個人情報や機密情報が流出し、そこからシステム内部への侵入が行われ、さらに企業の機密データの窃取などにつながっていく。フィッシング詐欺はシステムによるソフトウェア的な防止が難しい側面があり、従業員一人ひとりが攻撃の特徴を認識し、注意深く対処できるようにする必要がある。

フィッシング対策協議会（Council of Anti-Phishing Japan）は毎月フィッシング詐欺報告の月次報告書を公開しており、どのようなフィッシング詐欺が日本国内で流行っているのかを知るうえで役に立つ。こうした情報を定期的に従業員と共有し、類似する詐欺メールや詐欺メッセージに騙されないように促していくことが大切だ。

フィッシング対策協議会から発表された2025年2月フィッシング報告状況の主な内容は次のとおり（参考「Google翻訳の悪用が急増、日本のフィッシング詐欺 | TECH+ (テックプラス)」）。

Amazonを騙るフィッシング詐欺の報告が首位を維持した。報告数全体の約28.3%を占めている。次いでPayPay、Apple、オリコ、NHKの報告が確認された。これらで全体の約55.5%を占めている。1,000件以上の報告があったブランドは22ブランドあり、全体の約91.0%を占めた
スミッシングにおいてクレジットカード系および銀行系ブランドを騙る文面の報告が多かった。宅配便の不在通知を装うスミッシングが継続している
報告されたフィッシングサイトのURLは.comが約45.0%で最多となった。これに.cn（約33.7%）、.goog（約9.0%）、.net（約5.4%）、.shop（約2.4%）、.in（約1.1%）、.sbs（約1.0%）が続いた。Google翻訳をオープンリダイレクトとして悪用するケースが急増し、1月の約2.8倍に達した
サイバー攻撃者は従来の迷惑メールフィルターや解析ツール等の検知を回避する手法を使用している。そのため、迷惑メール対策の弱い企業や組織、ISPなどを利用しているユーザーから大量の報告が寄せられている

フィッシング対策協議会　Council of Anti-Phishing Japan ｜報告書類｜月次報告書｜ 2025/02 フィッシング報告状況

フィッシング詐欺メールを防止するためには、メールサービスを提供している企業や団体がDMARCポリシーに従ってメールの配信を行うこと、送信ドメイン認証を行うこと、逆引きを設定していないIPアドレスからのメールを排除することなど、効果が期待できる運用をすることが最善策となる。

しかし現状、メールサービスを提供しているベンダーが急速にこうした限定的な運営のみにするとは考えにくく、利用者による真偽の判断は必須という状況にある。

フィッシング詐欺メールに使われる文章は生成AIを使うなどしてきわめて自然な文章になっており、文面からは真偽の判断がかなり難しくなってきている。フィッシング詐欺メールの内容は巧妙さが際立っていることを認識し、少しでも違和感を持ったら怪しんで手を留めるなど、日々慎重に行動することが望まれている。

TP-Linkルーターが危ない、管理者パスワードを奪取される攻撃手法が判明

会社や個人でTP-Linkルーター「TL-WR845Nモデル」を使っているのであれば情報の確認を行っておこう。該当するルーターにセキュリティ脆弱性が発見されており、悪用された場合には権限のないユーザーがrootシェルのクレデンシャルにアクセスすることができるようになり、システムの制御権が乗っ取られる危険性があるとされている（参考「Hackers Target TP-Link Vulnerability to Gain Full System Control」）。

Hackers Target TP-Link Vulnerability to Gain Full System Control

セキュリティ脆弱性の影響を受けるとされる製品およびファームウェアバージョンは次のとおり。

TL-WR845N - TL-WR845N(UN)_V4_190219
TL-WR845N - TL-WR845N(UN)_V4_200909
TL-WR845N - TL-WR845N(UN)_V4_201214

攻撃の手順は、ルーターそのものから使われているファームウェアを入手し、そのファームウェアを分析して内部から特定のファイルを抽出し、そこからハッシュ化されたパスワードを取得してさらにそれを解読するというものとされている。最終的に管理者のパスワードが明らかになる。

この方法で攻撃を行うにはルーターに物理的にアクセスしてファームウェアを入手する必要がある。しかしながら、米国国立標準技術研究所（NIST：National Institute of Standards and Technology）が管理している脆弱性情報データベース（NVD：National Vulnerability Database）では本セキュリティ脆弱性（CVE-2024-57040）を共通脆弱性評価システム（CVSS：Common Vulnerability Scoring System）v3.1の評価値9.8で深刻度を「緊急（Critical）」としていることから注意が必要な状況にある（参考「NVD - CVE-2024-57040」）。

NVD - CVE-2024-57040

CVSSのスコア値は必ずしも現実的な深刻度を意味していないと指摘されることもあり、この数値をすべて鵜呑みにすると対応すべきセキュリティ脆弱性の数が増えすぎて現実的な対応が難しくなるという側面もある。しかし、緊急と分類されたセキュリティ脆弱性にはそれなりに適切な対応を取ることが望まれる。TL-WR845Nを使っている場合には記事の内容を確認するとともに、TP-Linkの公式ページの内容をチェックするようにしたい。

Download for TL-WR845N | TP-Link India

なお、執筆時点においてもTP-Linkからはファームウェアのアップデートは提供されていない。TP-Linkは今回の問題を脆弱性として対応していない可能性もある。今後どのような対応が行われるか定期的に上記Webページを確認するとともに、アップデートが提供されることがあれば適切に対応するようにしたい。

なお、管理者のパスワードを変更していない場合にはさらにリスクが高まることになる。脆弱性が存在するとされるバージョンのファームウェアを使っているとしても、少なくとも管理者ユーザーのパスワードは変更するなどの操作はしておくことが望まれるだろう。

日本も標的 -「見えない引数」で攻撃を仕掛ける、Windowsリンクファイルの悪用手口

ビジネスシーンにおいてWindowsは圧倒的な存在感を持っている。特定の業界においてMacは強い支持を得ているが、ビジネス一般で主流のプラットフォームはWindowsであり、多くのビジネスパーソンが日々Windowsを使っているだろう。

もっとも広く使われているプラットフォームであるからこそ、Windowsが提供しているいくつかの機能はサイバー脅威アクターにサイバー攻撃の手段として悪用されている。そうした悪用されやすい機能の1つにWindowsのリンクファイル（.LNK）がある。このファイルは長らく悪用の対象として利用されてきたが、今回Trend Microの分析によって新たに悪意あるWindowsリンクファイル（.LNK）約1,000件が公開された（参考「Windowsリンクファイル(.LNK)を悪用したサイバー攻撃特定、日本も被害 | TECH+ (テックプラス)」）。

ZDI-CAN-25373 Windows Shortcut Exploit Abused as Zero-Day in Widespread APT Campaigns ｜ Trend Micro（US）

公開された一連の情報における悪用の手口はコマンドライン引数に大量の空白文字を挿入するというものだ。スペース（\x20）、水平タブ（\x09）、改行（\x0A）、垂直タブ（\x0B）、フォームフィード（\x0C）、キャリッジリターン（\x0D）といった空白文字を大量に挿入することで引数をプロパティダイアログの画面の外にはみ出させ、認識できなくさせる手口となっている。

この攻撃手法は多くの脅威アクターおよび持続的標的型攻撃（APT：Advanced Persistent Threat）グループによって悪用されており、主な標的は各国政府、金融（暗号通貨関連を含む）、シンクタンク（非政府組織を含む）、通信、軍事および防衛、エネルギー業界の組織または個人とされている。主な被害地域は北米、南米、ヨーロッパ、東アジア、オーストラリアとされ、日本も被害の発生した地域に含まれている。

今回の発表で注目すべきなのは、今回発見されたWindowsリンクファイル（.LNK）の悪用の手法が2017年から多くの脅威アクターによって使われてきたという点にある。Trend MicroはすでにこのリスクをMicrosoftに報告しているが、Microsoftはこうした挙動の深刻度を「低い」と評価しており、修正プログラムによる対応は期待できない。このためTrend Microはこうしたサイバー攻撃を回避するためにAI搭載のセキュリティソリューションの導入を推奨している。

Windowsリンクファイル（.LNK）は便利な機能だが、同時に、脅威アクターに悪用されている機能であることも認識する必要がある。身に覚えのないリンクファイルは不用意に利用しないなど、リスクが存在していることを前提とした行動を取っていくことが望ましい。

Apache Tomcatが悪用される、情報の確認と対策を

Apache Tomcatにリモートコード実行（RCE：Remote Code Execution）や情報窃取に悪用できるセキュリティ脆弱性が存在することが公開された。このセキュリティ脆弱性は「CVE-2025-24813」として追跡されている（参考「NVD - CVE-2025-24813」）。

NVD - CVE-2025-24813

Apache TomcatはJavaで開発されたオープンソースのWebアプリケーションサーバであり、Java ServletおよびJavaServer Pages（JSP）に準拠した実行環境を提供するソフトウェアだ。小規模から大規模なシステムまで広く採用されている。TomcatはHTTPリクエストの処理やServletコンテナとしての機能を備え、JavaベースのWebアプリケーションを安定して動作させるための基盤として多くの開発者や企業が利用している。

3月17日（現地時間）、Wallarmによってこのセキュリティ脆弱性が悪用されていると伝えられた（参考「Apache Tomcatの新しい脆弱性、すぐに悪用される | TECH+（テックプラス）」）。

One PUT Request to Own Tomcat: CVE-2025-24813 RCE is in the Wild - API Security

セキュリティ脆弱性が存在する製品およびバージョンは次のとおり。

Apache Tomcat 11.0.0-M1から11.0.2までのバージョン
Apache Tomcat 10.1.0-M1から10.1.34までのバージョン
Apache Tomcat 9.0.0.M1から9.0.98までのバージョン

セキュリティ脆弱性が修正された製品およびバージョンは次のとおり。

Apache Tomcat 11.0.3およびこれ以降のバージョン
Apache Tomcat 10.1.35およびこれ以降のバージョン
Apache Tomcat 9.0.99およびこれ以降のバージョン

すでに概念実証（PoC：Proof of Concept）が公開されていることから注意が必要だ。今後も悪用が続く可能性があるため、該当するソフトウェアを使用している場合には迅速にアップデートを適用することが望まれる。

開発者こそ狙われる、人気エディター・VSCode利用者に求められるセキュリティ意識

ソフトウェア開発者にとってVSCode（Visual Studio Code）はデファクトスタンダードの多機能・高性能エディターだ。多くの拡張機能がエコシステムのもとで用意され、さまざまな用途に対して高度な機能を提供している。もはやVSCodeのない開発は考えられないという開発者は多い。

このように人気の高いプラットフォームはサイバー攻撃者にとって格好の標的だ。脅威アクターはVSCodeの拡張機能にマルウェアを混入させる方法を模索しており、これまで何度もリスクが指摘されている。Bleeping Computerは3月20日（現地時間）、VSCode拡張機能にランサムウェアが混入していたとするReversingLabsの指摘を取り上げ、注意を呼びかけた（参考「VSCode extensions found downloading early-stage ransomware」）。

VSCode extensions found downloading early-stage ransomware

同時に、Bleeping Computerは逆にMicrosoftが過敏に反応して人気の高いVSCodeテーマを疑わしいとして削除した件について取り上げ、MicrosoftのVSCode拡張機能に対するチェック機能に疑問を呈している。

VSCodeを使うユーザーは開発者が多く、こうしたユーザーは比較的パソコンやソフトウェアに精通している。しかし、こうした状況に詳しいためか警戒心が薄いところがあり、一般的なユーザーよりもこうしたサイバー攻撃にひっかかりやすいという指摘も存在している。

VSCodeに限らず人気の高いWebブラウザの拡張機能なども脅威アクターの攻撃手段として悪用されている。拡張機能は便利だが、人気の高いプラットフォームの拡張機能は脅威アクターによって悪用されやすいということを認識するとともに、少しでも怪しいと感じたら一旦手を止めて調査するなど、慎重な対応を取っていくことが大切だ。

FortiOS/FortiProxyなどに更新必須の脆弱性、即時アップデートが推奨される

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁（CISA：Cybersecurity and Infrastructure Security Agency）は、3月17日～23日にカタログに4つのエクスプロイトを追加した。

追加されたエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

Fortinet FortiOS 7.0.0から7.0.16までのバージョン
Fortinet FortiProxy 7.2.0から7.2.12までのバージョン
Fortinet FortiProxy 7.0.0から7.0.19までのバージョン
tj-actions changed-files 1から46より前のバージョン
Edimax IC-7100 IP Camera すべてのバージョン
NAKIVO Backup & Replication Director 0から11.0.0.88174より前のバージョン
SAP NetWeaver Application Server Java 7.5

上記に記載された脆弱性はすでに悪用が確認されており、CISAの既知の悪用脆弱性カタログ（KEVカタログ）に登録されている。Fortinet製品（FortiOSおよびFortiProxy）、tj-actions changed-files、Edimax IC-7100 IPカメラ、NAKIVO Backup & Replication Director、SAP NetWeaver Application Server Javaを使用している組織や個人は、ただちにベンダーが提供する最新のアップデートを適用しよう。既知の悪用が進行中である以上、対応の遅れは深刻なセキュリティインシデントにつながるおそれがある。各製品の最新パッチ情報を確認し、可能な限り迅速に更新作業を実施することが推奨される。

*　*　*

本稿で取り上げた事例はいずれもサイバー攻撃が進化し続けている現実を浮き彫りにしている。特定ブランドを装ったフィッシング詐欺や、未対処の脆弱性を突いた攻撃、さらにソフトウェア拡張機能を利用したマルウェアの拡散など、攻撃手段は多様化し、日々変化している。こうした状況において、組織や個々人が最新の情報を把握し、警戒心を持って行動することが重要だ。

加えて、企業においては従業員への継続的な情報共有と教育、脆弱性情報に基づく迅速なパッチ適用、疑わしい挙動に対する報告体制の整備が不可欠と言える。脅威に先んじて対応するためには、技術的対策だけでなく人的な備えも求められる。サイバー攻撃のリスクを低減させるには日々の積み重ねと柔軟な対応力が鍵となる。今後も最新情報を定期的に確認して適切な対応を取り続けていこう。