本稿では2025年3月24日~30日に発表された注目すべきサイバーセキュリティ関連情報を解説する。PPAPに代わるメール暗号化手段として注目されるS/MIMEの対応状況、Oracle Cloudにおける情報流出疑惑、DrayTekルーターの再起動問題、CISAが報告したGoogle Chromeの既知脆弱性、太陽光発電インフラに発見された46件の脆弱性などの話題を紹介する。これらの情報から、日々のIT環境がいかに多層的なリスクに晒されているかを理解し、具体的な対策の必要性を訴える。

連載のこれまでの回はこちらを参照

3月24日~30日の最新サイバーセキュリティ情報

3月24日~30日には国内外のサイバーセキュリティ分野で重要な情報がいくつも発表された。本稿では、これらの中でも特に日本において注目しておきたいトピックを取り上げ、それぞれの内容と影響範囲について解説する。

取り上げるテーマは、S/MIME対応状況を通じたメールの安全な運用、Oracle Cloudに関連する情報流出疑惑、世界的に発生したDrayTekルーターの不具合、CISAによるGoogle Chromeの既知の脆弱性の警告、さらに太陽光発電インフラに発見された大規模な脆弱性だ。これらの事例は、全ての業種・規模の組織がセキュリティリスクに直面していることを改めて示している。

それでは以降で詳しく見ていこう。

PPAPの時代は終わった - S/MIME対応状況から見る安全なメール運用

フィッシング対策協議会は3月25日、主要な電子メールソフト・サービス(以降、メーラー)におけるS/MIME(Secure / Multipurpose Internet Mail Extensions)の対応状況を公表した(参考「フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 協議会WG報告書 | 2024 年度版 S/MIME のメーラー別対応状況の調査結果を発表」)。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|協議会WG報告書|2024 年度版 S/MIME のメーラー別対応状況の調査結果を発表

    フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 協議会WG報告書 | 2024 年度版 S/MIME のメーラー別対応状況の調査結果を発表

日本ではこれまで慣例的に、メールに暗号化されたZIPファイルを添付し、別のメールでそのファイルのパスワードを送る方法を使ってきた。この方法は「Password付きZIPファイルを送ります」「Passwordを送ります」「暗号化(Angouka)」「Protocol」の頭文字を取って「PPAP」と呼ばれている。

PPAPは実質的なセキュリティ効果が乏しい。さらに、標的型攻撃やマルウェア拡散への対策としても不十分であるとの指摘がなされている。また、PPAPはほぼ日本特有の慣習であり、他の国や地域で広く採用されている事例は確認されていない。日本国内では長らくビジネス慣習として一般的であったが、欧米諸国をはじめとする多くの国々では、そもそもこの方法がセキュリティ的に不適切とされており採用されていないのだ。

日本において2020年11月に政府機関がPPAPを廃止する方針を発表しており、これをきっかけとして民間企業においても廃止の流れが進んでいる。このPPAPの代替のひとつとして注目されているのがS/MIMEだ。

今回フィッシング対策協議会は2024年12月から2025年2月にかけて5つの主要なメーラーでOS(Windows、iOS、Android)ごとに計13種類のS/MIME対応状況について調査を行い発表した。調査状況が発表されたメーラーは次のとおり。

  • Outlook アプリ・Classic バージョン2501ビルド16.0.18429.20131 (Windows 10 Pro)
  • Outlook アプリ·新しい バージョン1.2025.205.100 (Windows 10 Pro)
  • Outlook Webブラウザー (Edge 133.0.3065.69)
  • Outlook アプリ バージョン4.2504.1 (iOS 18.3.1)
  • Outlook アプリ バージョン4.2504.2 (Android 15)
  • Thunderbird アプリ 128.5.2バージョン (Windows 11)
  • Gmail Webブラウザー無料版 (Chrome バージョン133.0.6943.99)
  • Gmail Webブラウザー無料版 (Firefox バージョン135.0)
  • Gmail アプリ無料版 バージョン6.0.210530
  • Gmail アプリ無料版 バージョン2025.01.12.715574149
  • Yahoo!メールアプリ バージョン5.3.24
  • Yahoo!メールアプリ バージョン9.3.2
  • Yahoo!メール Webブラウザー バージョン (Edge 133.0.3065.59)
  • Yahoo!メール Webブラウザー バージョン (Thunderbird 128.7.0)
  • Yahoo!メール Webブラウザー バージョン (Chrome 133.0.6943.127)
  • iPhoneメールアプリ (iOS 18.3.1)

フィッシング対策協議会はこのところS/MIMEに対応していないメーラーに対してS/MIMEに偽装したメールを送付する手口があるとして注意を呼びかけている。S/MIMEに対応していないメーラーでは偽装メールと正規のS/MIMEメールの区別をつけることができないとして、メーラーにS/MIMEに対応することを求めている。

ユーザーがとれる積極的な対策はS/MIMEに対応した信頼できるメーラーを使用することだ。これまで使ってきたメーラーを切り替えるのが難しいという場合には、該当するソフトウェア開発ベンダーやサービスを提供しているベンダーへS/MIMEへの対応を呼びかけることなどが望まれる。PPAPはそもそも安全な方法ではないため、これまでも、今後も、使用することは望ましくない。代替手段としてS/MIMEに対応したメーラーでS/MIMEの活用を検討すべきだろう。

Oracle Cloudに顧客情報流出の疑惑、脅威アクターの主張が波紋を呼ぶ

Oracle Cloudを使用している企業にとって気になる報道が行われた。Bleeping Computerが3月26日(米国時間)に報じた「Oracle customers confirm data stolen in alleged cloud breach is valid」だ。同社はOracleから顧客情報が流出したと報じた。なお、Oracleは侵害された事実はないと報道を否定している。

  • Oracle customers confirm data stolen in alleged cloud breach is valid

    Oracle customers confirm data stolen in alleged cloud breach is valid

このサイバーセキュリティインシデントは「rose87168」と名乗る脅威アクターのデータ侵害フォーラムへの投稿にて明らかになったもので、当該脅威アクターの主張によると、ドメイン「oraclecloud.com」を侵害してシングルサインオン(SSO:Single Sign On)およびLDAP(Lightweight Directory Access Protocol)から約600万人の顧客データを窃取したとしている。

Oracleは本件に関してデータ侵害は発生していないという姿勢を示しているが、Bleeping Computerは被害を受けたとされる企業に確認をとり、LDAP表示名・メールアドレス・名前・その他の識別情報の全てが正しいとの回答を得たとしてデータ侵害が発生していた可能性を指摘している。

セキュリティ企業「Cloudsek」の調査によると、2月17日時点において当該サーバーは「Oracle Fusion Middleware 11g」を実行していたという。このソフトウェアには「CVE-2021-35587」として追跡される修正済みの脆弱性が存在する。

真偽が明らかになっていないが、疑わしい状況であるように見える。Oracle Cloudを使用している場合には、こうした報道が行われたことを認識するとともに、再度自社システムのセキュリティを見直し、万が一の事態に備えておくことが望まれる。

再起動を繰り返すDrayTekルーター、日本の中小企業にも影響の可能性

日本における影響がどの程度出ているかは定かではないが、3月22日~23日ごろからルーターが再起動を繰り返していたり、停止していたりということであれば、一度「DrayTek routers worldwide go into reboot loops over weekend」の内容を確認しておこう。状況を加味すると日本においてもこの問題が発生している中小企業が存在すると考えられる。該当する機器を使用している場合、早急な対策により被害の回避または最小化が期待される(参考「ルータが再起動を繰り返して停止、原因は不明 - サイバー攻撃の可能性も | TECH+(テックプラス)」)。

問題が報告されているのはDrayTek製ルーターで、再起動を繰り返して機能を停止すると伝えている。執筆時点において影響を受けるとされるデバイスの完全な一覧は報告されていないが、影響を受けやすいデバイスとして次のデータは公開されている。

  • 2130
  • 2133
  • 2170
  • 2710
  • 2760
  • 2762
  • 2820
  • 2830
  • 2860
  • 2862
  • 2925
  • 2926
  • 2952
  • 3220

問題の原因も完全な修正方法や対策方法もまだ公開されていない。執筆時点ではWAN回線を物理的に切断してから最新のファームウェアに更新する対策が紹介されている。ファームウェアをアップデートする具体的な方法は下記のページに掲載されている。

  • DrayTek routers rebooting- How to solve this issue – DrayTek FAQ

    DrayTek routers rebooting- How to solve this issue – DrayTek FAQ

DrayTekは中小企業向けVPN・マルチWANルーターを展開している世界的なルーターベンダーだ。日本においてはニッチだが根強い支持があると見られている。どの程度のシェアがあるかは不明瞭だが、それなりの中小企業が今回の問題の影響を受けている可能性がある。2025年3月後半に入ってからルーターが不安定になっている場合には、使用しているルーターを確認するとともに、DrayTekのルーターを使用している場合には迅速にアップデートを適用することが望まれる。

Google Chromeの旧バージョンが危険に晒されている、CISAが改めて注意喚起

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、3月24日~30日にカタログに4つのエクスプロイトを追加した。

追加されたエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • reviewdog/action-setup@v1 2025年3月11日(協定世界時)18:42~20:31
  • Sitecore 9.1までのバージョン
  • Sitecore CMS 7.0から7.2までのバージョン
  • Sitecore XP 7.5から8.2までのバージョン
  • Google Chrome (Windows版) 134.0.6998.177から134.0.6998.177より前のバージョン

3月24日~30日にカタログに追加されたエクスプロイトの中では、Google Chromeが影響範囲のもっとも広いものだと見られる。Google Chromeは世界中で広く使われているWebブラウザであり、悪用された場合には想定以上の影響が出る可能性がある。Windows版Google Chromeは自動的にアップデートされることが多いが、古いバージョンのまま使い続けている場合にはリスクが高まるため、常に最新版を利用するようにしよう。特にCISAのカタログに情報が追加された場合などは、明示的に使用しているChromeのバージョンを確認し、最新版へアップデートを実施しよう。

太陽光発電インフラに潜む46件の脆弱性、Forescoutが警鐘を鳴らす

今すぐに発生する脅威というわけではないが、今回はForescout Research Labsが発表した「Forescout Vedere Labs Uncovers Severe Systemic Security Risks in Global Solar Power Infrastructure - Forescout」を取り上げておきたい。太陽光発電システムに使用されるインバーター機器から46件のセキュリティ脆弱性が発見されたというもので、これらのセキュリティ脆弱性を悪用された場合には送電網の不安定化、機器のボットネット化、顧客情報の流出などにつながる可能性があると指摘されている。

  • Forescout Vedere Labs Uncovers Severe Systemic Security Risks in Global Solar Power Infrastructure - Forescout

    Forescout Vedere Labs Uncovers Severe Systemic Security Risks in Global Solar Power Infrastructure - Forescout

Forescout Research Labsの調査によって発見されたセキュリティ脆弱性はSungrow、Growatt、SMAの製品に存在している。指摘されている脆弱性の中にはインバーターの設定変更や顧客情報に不正アクセスできるものが含まれている。

例えば、このセキュリティ脆弱性を悪用するケースとして、複数のインバーター機器を協調動作させることで同時に発電量を操作し電力網に予期できない供給変動を強いる攻撃などが指摘されている。急激な供給量の低下や増加は停電などを引き起こす可能性がある。

日本における太陽光発電の割合は2022年度の需給実績で約9.2%だ(参考「令和4年度(2022年度)における エネルギー需給実績(確報)」)。経済産業省は2030年度までに15%前後に引き上げる目標を立てており、Forescout Research Labsの今回の発表は潜在的なリスクを示唆している可能性がある。

インターネットは現代社会を支える重要なインフラストラクチャーであると同時に、常に遠隔からのサイバー攻撃というリスクを抱えている。発電施設や送電網へのサイバー攻撃は社会そのものに重大な影響を与える可能性がある。今後はこうしたサイバー攻撃のリスクが日本においても高まる可能性があることは認識しておくことが望まれる。

* * *

PPAPの限界とS/MIMEの現状、クラウドサービスにおけるセキュリティの信頼性、ネットワーク機器やブラウザに潜む更新の遅れによる危険性、そしてインフラ領域への攻撃可能性まで、多角的な脅威が同時進行で進行していることが確認された。どの問題も一過性ではなく、恒常的な備えが求められるものだ。

読者にはこれらの情報を踏まえ、自社または個人の利用環境におけるセキュリティ対策の見直しを強く推奨したい。脆弱な通信手段の使用停止、脆弱性への迅速なパッチ適用、利用中サービスや製品の対応状況の把握など、日々の情報にアンテナを張ることがサイバー攻撃から自らを守る第一歩だ。

参考