3月31日～4月6日の最新サイバーセキュリティ情報 - iOS VPNが中国にトラフィック送信?

本稿で2025年3月31日から4月6日にかけて報告された主要なサイバーセキュリティインシデントを紹介する。NETGEAR製ルーターのゼロデイ脆弱性、Oracleによる情報漏えいの一部認定、証券会社を騙るフィッシング詐欺の多発、iOS向けVPNアプリの中国経由通信、Apple製品の大規模セキュリティアップデート、そしてCISAによる3件のKEV追加に関する詳細を網羅する。これらの情報を基に対策に役立ててもらえれば幸いだ。

連載のこれまでの回はこちらを参照。

3月31日～4月6日の最新サイバーセキュリティ情報

3月31日から4月6日にかけて発表されたサイバーセキュリティ関連の重要なニュースとしては、NETGEAR製ルーターに対するゼロデイ脆弱性の発見や、Oracleによる情報漏えいの認定、iOS向けVPNアプリに関する懸念、Appleのアップデートに伴う脆弱性修正、フィッシング詐欺の急増などがある。

これらの情報は、企業や個人がセキュリティ対策を講じるうえで極めて重要だ。特に、すでに悪用が確認されている脆弱性や、修正が提供されないEOL製品を使用している場合には、迅速な対処が求められる。本稿は、実効性の高い対応を促すための知見提供を目的とする。

それでは以降で詳しく見ていこう。

NETGEARルーターに深刻なゼロデイ、修正予定なし - 継続使用は危険

日本においてNETGEARの製品は中小企業やSOHOまたは個人向けのネットワークデバイスとして人気がある。しかしこのところ、セキュリティ研究者らによってセキュリティ脆弱性の発見などが続いているデバイスでもあり、サポートが提供されている製品を常に最新のファームウェアにアップデートして使うことが望まれている。

Cybersecurity Newsは4月2日（現地時間）、NETGEARのルーター「WNR854T」から8件のゼロデイ脆弱性が発見されたと報じた（参考「NETGEARのルータに緊急の脆弱性、すぐ利用中止を | TECH+（テックプラス）」）。脆弱性が存在する製品およびファームウェアバージョンは次のとおり。

• WNR854T 1.5.2

• 

  8 Zero-Day Vulnerabilities Uncovered in Netgear WNR854T Router

ファームウェアバージョン1.5.2より前のバージョンについては分析を実施していないようであり、影響の有無は明らかになっていない。公開されている情報から推測する限りでは、全てのバージョンに同様の脆弱性が存在する可能性がある。

今回の報道で注意すべきなのは、セキュリティ脆弱性の存在が報じられた製品がすでにサポート終了（EOL：End-of-Life）に到達しているということだ。公開されたセキュリティ脆弱性は全て緊急（Critical）と分類されているため、迅速に対応することが望まれている。しかしながら、今後修正されたファームウェアが公開されることはない。

NETGEARはEOLに到達した製品については新しい製品へ買い替えることを推奨している。該当する製品を使用している場合、速やかに使用を中止するとともに、セキュリティサポートが提供されている製品へ交換することが望まれている。

EOLに到達した製品はセキュリティアドバイザリーが発表されなくなるが、それはセキュリティ脆弱性が存在しないのではなく、サポートの対象から外れたために情報が提供されなくなっただけだ。基本的にEOLに到達したネットワーク製品を使い続けることはサイバーセキュリティの面からは推奨されない。該当する製品を使用している場合には早期に交換を実施しよう。

Oracleが情報流出を一部認める、「言葉遊び」と非難される説明

先日、Oracleにデータ漏えいの疑惑があるとの報道があった。Oracle Cloudのサービスを利用している企業には気になる報道だ。Oracleはこの報道を否定し、データ漏えいの事実はないと発表していた。しかしながら報道を行ったBleeping Computerは被害企業への取材を通じてデータ漏えいが事実である可能性を指摘していたため、事実が不透明な状況だった。

Bleeping Computerは4月3日（米国時間）、このサイバーセキュリティインシデントについてOracleが被害を認めたと報じた。Oracleは一部顧客に対して情報流出を認めたとしている（Oracleが顧客情報流出を認める、データは古いが認証情報を含む | TECH+（テックプラス））。

今回のサイバーセキュリティインシデントについて、一部のセキュリティ研究者はOracleの発表を「言葉遊び」だとして非難している。Oracleは次のような発表を行っている。

Oracle Cloudへの侵害は発生していません。公開された認証情報はOracle Cloudのものではありません。侵害されたりデータを失ったりしたOracle Cloudの顧客はおりません。

この発表そのものは厳密には真偽で言えば真になるとBleeping Computerは指摘している。侵害されたのは「Oracle Cloud Classic」と呼ばれるプラットフォームであり、「Oracle Cloud」ではないからだ。しかしながら、「Oracle Cloud Classic」は古いOracle Cloudサービスのリブランド製品であり、現在のOracle CloudではないがOracleが管理しているサービスの一部であることに変わりはない。事実を隠蔽しようとする言葉遊びであると非難されても仕方のない説明だ。

現在では多くの企業がクラウドサービスをインフラストラクチャーとして活用している。クラウドインフラストラクチャーを提供する企業には透明性のある情報公開が求められる。顧客が求めているのは安全で確実に動作する透明性のあるプラットフォームであり、外部から中が見えないブラックボックスではない。

こうした情報隠蔽ともとれる発表はサイバー攻撃の被害を受けた多くの企業が行うところだ。発表される内容は一見紳士的であったり前向きな内容になっているが、実際には論点をずらしていたり、肝心の部分に触れていなかったり、内容を読み間違えやすいように構成されているものは少なくない。

クラウドインフラストラクチャーはもはや必須であり、クラウドサービスの活用は欠かせないところまで来ている。しかし、こうしたサービスを使うことには常にこうしたリスクが伴うことは認識しておかなければならない。サービスを提供する企業の美辞麗句を鵜呑みにするのではなく、原理上発生しうるリスクを整理し、そういったリスクを低減するようにシステムの設計やサービスの活用を行っていく積極的な防衛姿勢も企業活動には必要だ。

AmazonやPayPayだけではない - マネックス・楽天・SBI・野村ら証券会社を騙るフィッシング詐欺、わずか2日で4件発表

フィッシング対策協議会は3月31日から4月1日にかけて次の4件の緊急情報を発表した。

• フィッシング対策協議会　Council of Anti-Phishing Japan | ニュース | 緊急情報 | マネックス証券をかたるフィッシング (2025/03/31)
• フィッシング対策協議会　Council of Anti-Phishing Japan | ニュース | 緊急情報 | 楽天証券をかたるフィッシング (2025/04/01)
• フィッシング対策協議会　Council of Anti-Phishing Japan | ニュース | 緊急情報 | SBI証券をかたるフィッシング (2025/04/01)
• フィッシング対策協議会　Council of Anti-Phishing Japan | ニュース | 緊急情報 | 野村證券をかたるフィッシング (2025/04/01)

• 

  フィッシング対策協議会　Council of Anti-Phishing Japan ｜ ニュース ｜ 緊急情報 ｜ SBI証券をかたるフィッシング （2025/04/01）

それぞれマネックス証券、楽天証券、SBI証券、野村證券を騙るフィッシング詐欺に注意を呼びかける内容になっている。

生成AIが広く一般で使われるようになって以降、フィッシング詐欺メールやメッセージに掲載される文章はきわめて自然なものが増えており、一読しただけでは違和感すらないケースも増えている。フィッシング詐欺メールは日常的に広く流通していることを認識するとともに、従業員にこうした情報を共有し、フィッシング詐欺の被害者とならないように呼びかけを続けることが望まれる。

フィッシング対策協議会からは全てのフィッシング詐欺報告が発表されるわけではなく、実際にはさらに多くの種類のフィッシング詐欺メールが流通している。このところもっとも多いのはAmazonを騙るものであり、それにPayPayやApple、オリコ、NHKを騙るフィッシング詐欺が続いている（参考「フィッシング対策協議会　Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2025/02 フィッシング報告状況」）。しかし、フィッシング詐欺はこの限りではなく、多種多様なものが広く流通していることを理解しておく必要がある。

脅威アクターはさまざまな手法でシステムに不正侵入を試みるが、依然としてフィッシング詐欺メールやフィッシング詐欺メッセージは代表的な最初の攻撃ベクトルになっていることを理解しておこう。フィッシング詐欺のリスクが常に存在していることを把握し、メールやメッセージについては常に慎重に対応することが望まれている。

• フィッシング対策協議会　Council of Anti-Phishing Japan

VPNが守るどころか漏らす、iOS向けVPNアプリの信頼性に疑義

コロナ禍以降、企業におけるリモートワークはより一般的なものとなった。こうしたスタイルの働き方で使われる技術のひとつに仮想プライベートネットワーク（VPN：Virtual Private Network）がある。企業システムやクラウドシステムに接続するための安全な方法のひとつと考えられているほか、信頼できるネットワーク以外のネットワークからインターネットに接続する場合などに安全に通信を行うために必要な仕組みだと認識されている。

しかしそれは、VPNサービスを提供している企業が信頼できるという場合に機能するものだ。VPNサービスを提供する企業が故意にデータ窃取を行っていた場合は、ユーザー側にできることは少ない。iPhoneのVPNアプリを使っているのであれば、一度確認しておきたい報道がMalwarebytesから行われた。

Malwarebytesは4月3日（米国時間）、iOS向け無料モバイルVPNアプリの一部がトラフィックを中国経由でルーティングしていると報じた。Tech Transparency Projectの調査を引用するかたちで報道しており、iOS向け無料モバイルVPNアプリの上位100に含まれる20のアプリが中国政府にデータを渡す義務を負う中国企業の所有であると指摘している（参考「iPhoneの人気VPNアプリが中国にトラフィック送信 | TECH+（テックプラス）」）。

• 

  Popular VPNs are routing traffic via Chinese companies, including one with link to military ｜ Malwarebytes

調査結果はiOS向け無料モバイルVPNアプリの上位100のうち20のアプリが中国本土または香港に拠点を置く企業または個人によるものだと特定された。複数のダミー会社を使用して追跡を回避しようとする試みが行われているなど、これら企業や個人は中国とのつながりを隠しているという。

「Turbo VPN」は中国の軍事企業「Security Technology（別名：Qihoo 360）」と関係があるとされる。この軍事企業は米国の輸出管理規則（EAR：Export Administration Regulations）の管理対象企業リストに掲載があり、米国の国家安全保障にリスクをもたらす可能性のある組織とみられている。この軍事企業に関係したVPNアプリとしては、Turbo VPN以外に「VPN Proxy Master」「Thunder VPN」「Snap VPN」が特定されている。中国との関係が特定された20のアプリは、米国のApp Storeから合計7,000万回以上ダウンロードされたと説明されている。

MalwarebytesはVPNプロバイダーの所在地が信頼できる地域であるか確認すること、ChaCha20などの強力な暗号化プロトコルを使っていること、緊急時にVPNおよびネットワークを切断するキルスイッチ機能があること、プライバシーポリシーを精査して閲覧履歴・IPアドレス・トラフィックの追跡や保存・共有をしないと定めていることなどを確認して信頼できるAPNアプリを使うようにアドバイスしている。

Androidアプリと比較しiPhoneやiPadのアプリにはマルウェアの混入が少ないと考えられているが、脅威アクターはさまざまな方法で公式ストアへ悪意あるアプリの混入を試みている。公式ストアからインストールしたアプリであったとしても問題のあるアプリであるリスクは常に存在している。こうしたリスクが存在していることを常に認識し、信頼できるアプリを選択することが大切だ。

セキュリティ対策を見逃すな、Appleの3月末～4月初旬アップデートを再確認

Appleは3月31日から4月1日にかけて複数のApple製品のアップデートを発表した。このアップデートは新機能追加を行うものがあり、多くのメディアはそちらのアップデートを報じていたが、今回のアップデートには重要なセキュリティアップデートも含まれている。

公開された情報は次のとおり。

• About the security content of iOS 18.4 and iPadOS 18.4 - Apple Support
• About the security content of iPadOS 17.7.6 - Apple Support
• About the security content of iOS 16.7.11 and iPadOS 16.7.11 - Apple Support
• About the security content of iOS 15.8.4 and iPadOS 15.8.4 - Apple Support
• About the security content of macOS Sequoia 15.4 - Apple Support
• About the security content of macOS Sonoma 14.7.5 - Apple Support
• About the security content of macOS Ventura 13.7.5 - Apple Support
• About the security content of tvOS 18.4 - Apple Support
• About the security content of visionOS 2.4 - Apple Support
• About the security content of watchOS 11.4 - Apple Support
• About the security content of Safari 18.4 - Apple Support
• About the security content of Xcode 16.3 - Apple Support

• 

  Apple security releases - Apple Support

アップデートの対象となる製品やバージョンは次のとおり。

• iPhone XSおよびこれ以降のモデル
• iPhone X
• iPhone 8 Plus
• iPhone 8
• iPhone 7のすべてのモデル
• iPhone 6sのすべてのモデル
• iPhone SE第1世代およびこれ以降のモデル
• iPad 第5世代およびこれ以降のモデル
• iPad Air 2
• iPad Air第3世代およびこれ以降のモデル
• iPad mini第4世代およびこれ以降のモデル
• iPad Pro 13-inch
• iPad Pro 12.9-inch第1世代およびこれ以降のモデル
• iPad Pro 11-inch第1世代およびこれ以降のモデル
• iPad Pro 10.5-inch
• iPad Pro 9.7-inch
• iPod touch第7世代
• macOS Sequoia
• macOS Sonoma
• macOS Ventura
• Apple TV HDおよびApple TV 4Kのすべてのモデル
• Apple Vision Pro
• Apple Watch Series 6およびこれ以降のモデル

セキュリティアップデートを適用したあとのソフトウェアバージョンはそれぞれ次のとおり。

• iOS 18.4
• iOS 16.7.11
• iOS 15.8.4
• iPadOS 18.4
• iPadOS 17.7.6
• iPadOS 16.7.11
• iPadOS 15.8.4
• macOS Sequoia 15.4
• macOS Sonoma 14.7.5
• macOS Ventura 13.7.5
• tvOS 18.4
• visionOS 2.4
• watchOS 11.4
• Safari 18.4
• Xcode 16.3

今回のアップデートにはApple Intelligence関連の機能が含まれているため、多くの報道はこちらの焦点を当てているが、実際には152件のセキュリティ脆弱性修正が含まれている点と、古いバージョンに対してもセキュリティアップデートが提供されている点に注目する必要がある。

iPhoneやiPad、Macを古いバージョンのまま使っている場合には、今回のアップデートを適用してセキュリティ脆弱性対策を実施しておくことが望まれる。バージョンアップの停止を意図していないケースでも、空き容量の不足からアップデートできずに気が付かないまま古いバージョンを使い続けているというケースもある。現在使用しているバージョンを確認するとともに、可能な限り最新版へアップデートし続ける使い方をするように従業員にも情報共有を行うなどして、安全な状態で使うように呼びかけることが望まれる。

Cisco・Tomcat・Ivanti利用企業に警告、CISAが3件のKEV登録を発表

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁（CISA：Cybersecurity and Infrastructure Security Agency）は、3月31日～4月6日にカタログに3つのエクスプロイトを追加した。

• CISA Adds One Known Exploited Vulnerability to Catalog | CISA
• CISA Adds One Known Exploited Vulnerability to Catalog | CISA
• CISA Adds One Vulnerability to the KEV Catalog | CISA

追加されたエクスプロイトは次のとおり。

• CVE: Common Vulnerabilities and Exposures
• CVE: Common Vulnerabilities and Exposures
• CVE: Common Vulnerabilities and Exposures

影響を受ける製品およびバージョンは次のとおり。

• Cisco Smart License Utility 2.2.0
• Cisco Smart License Utility 2.1.0
• Cisco Smart License Utility 2.0.0
• Apache Tomcat 11.0.0-M1から11.0.2までのバージョン
• Apache Tomcat 10.1.0-M1から10.1.34までのバージョン
• Apache Tomcat 9.0.0.M1から9.0.98までのバージョン
• Ivanti Connect Secure 22.7R2.6よりも前のバージョン
• Ivanti Policy Secure 22.7R1.4よりも前のバージョン
• Ivanti ZTA Gateways 22.8R2.2よりも前のバージョン

企業においては、上記で取り上げられているCisco Smart License Utility、Apache Tomcat、Ivanti製品の各バージョンを使用している場合、直ちに当該脆弱性の影響を受けるかを確認し、ベンダーが提供する最新のセキュリティアップデートを適用することが強く推奨されている。これらの脆弱性はすでに悪用が確認されており、対策が遅れることで深刻なセキュリティインシデントに発展するおそれがある。システム管理者は速やかにインベントリを精査し、該当製品が稼働していないか点検を行うとともに、組織内での情報共有と対応計画の策定を徹底しよう。

• Known Exploited Vulnerabilities Catalog | CISA
• Cybersecurity Alerts & Advisories | CISA

*　*　*

紹介した内容は、日々変化するサイバー脅威に対して継続的な注意と柔軟な対応が必要であることを示している。修正されない脆弱性を抱えた製品を使い続けることの危険性や、クラウドサービス事業者の不透明な説明に対する警戒心、VPNなどのセキュリティツールの選定基準など、個人・企業双方にとっての重要な教訓が含まれている。

企業においては、脆弱性情報やアップデート情報を定期的に確認し、該当製品の使用停止やパッチ適用、社員教育を徹底することが望まれる。サイバー攻撃の入り口となりやすいメールやアプリの選定・運用を見直すとともに、信頼性の高い情報源からの継続的な学習を怠らないようにすることが、安全を守る最良の方策だ。

参考

• IPA 独立行政法人 情報処理推進機構
• JPCERT コーディネーションセンター
• フィッシング対策協議会　Council of Anti-Phishing Japan
• Japan Vulnerability Notes
• Home Page | CISA
• News | CISA
• Cybersecurity Alerts & Advisories | CISA