本稿では2025年4月28日から5月4日にかけて報告された主要なサイバーセキュリティ関連情報を解説する。セイコーエプソン製プリンタードライバーの脆弱性、Microsoftによるパスキーの推進といった情報を取り上げる。

連載のこれまでの回はこちらを参照

4月28日~5月4日の最新サイバーセキュリティ情報

4月28日から5月4日にかけて報告された主要なサイバーセキュリティ関連情報としては、セイコーエプソン製プリンタードライバーの脆弱性、Microsoftによるパスキーの推進、BitLockerによるデータ消失のリスク、フィッシング3.0の進化、国家主導のサイバー戦争の実態、証券会社を狙った詐欺、CISAによる既知の脆弱性追加といった情報がある。

それでは以降で詳しく見ていこう。

セイコーエプソン製プリンタードライバーに重大な脆弱性、336機種に影響

JPCERTコーディネーションセンター(JPCERT/CC)は4月28日、セイコーエプソン製のWindows版プリンタドライバーにおいて、不適切なファイルアクセス権設定による重大な脆弱性(CVE-2025-42598)が存在すると発表した(参考「セイコーエプソンの336製品に重大な脆弱性、確認とアップデートを | TECH+(テックプラス)」)。

  • JVNVU#90649144: セイコーエプソン製Windows版プリンタードライバーにおける不適切なファイルアクセス権設定の脆弱性

    JVNVU#90649144: セイコーエプソン製Windows版プリンタードライバーにおける不適切なファイルアクセス権設定の脆弱性

この脆弱性を悪用されると、サイバー攻撃者が特定の場所に悪意のあるDLLファイルを保存し、SYSTEM権限で任意のコードを実行される可能性がある。

影響を受ける製品は、インクジェットプリンター、大判プリンター、レーザープリンター、業務用写真・プリントシステム、デジタル捺染機など、合計333機種と、Epson Connect Driver Standard、EPSON Print Admin、EPSON Universal Print Driverの3つのソフトウェアとされている。具体的な製品一覧は、セイコーエプソンの公式Webサイトにて確認できる。

影響を受ける製品一覧(主なカテゴリー)は次のとおり。

  • インクジェットプリンター: 249機種
  • 大判プリンター: 56機種
  • レーザープリンター: 20機種
  • 業務用写真・プリントシステム: 5機種
  • デジタル捺染機: 3機種
  • 関連ソフトウェア: Epson Connect Driver Standard、EPSON Print Admin、EPSON Universal Print Driver

セイコーエプソンは、対象の脆弱性を修正するための「Epsonプリンタードライバーセキュリティサポートツール」を提供している。ユーザーは、Epson Software Updaterを利用して修正ソフトウェアをダウンロードし、適用することが推奨されている。Epson Software Updaterを利用できない場合は、公式Webサイトから直接修正ソフトウェアをダウンロードすることができる。

この脆弱性は、攻撃者によるSYSTEM権限での任意コード実行を許す可能性があり、セキュリティ上の重大なリスクを伴う。影響を受ける製品を使用しているユーザーは、早急に対策を講じ、修正ソフトウェアを適用することが強く推奨される。また、使用環境の言語設定にも注意を払い、適切な対応を行うことが重要だ。

今回のセキュリティ脆弱性は多くの製品が影響を受ける。セイコーエプソンの製品を使用している場合、該当する製品を使っているかどうか調べるとともに、影響を受ける場合には説明されているアップデートや修正方法を実施することが望まれる。

一度使い始めたデバイスはファームウェアのアップデートを行うことなく使い続けるケースが多々見られるが、これはサイバーセキュリティの観点からは好ましくない。定期的にファームウェアのアップデートが提供されていないか確認し、常に最新のソフトウェアに保つことが望まれている。

パスワードの終焉へ、Microsoftがパスキーをデフォルト認証に変更

Microsoftは5月1日(米国時間)、パスワードに依存しない認証方式「パスキー(passkey)」の普及を加速させるための最新の取り組みを紹介した。これに伴い、従来の「World Password Day」を「World Passkey Day」と改称し、FIDOアライアンスと連携してパスキーの導入促進を図ることを表明した(参考「Pushing passkeys forward: Microsoft’s latest updates for simpler, safer sign-ins | Microsoft Security Blog」)。

  • Pushing passkeys forward: Microsoft’s latest updates for simpler、safer sign-ins|Microsoft Security Blog

    Pushing passkeys forward: Microsoft’s latest updates for simpler, safer sign-ins | Microsoft Security Blog

Microsoftは10年前に生体認証やPINを用いた「Windows Hello」を導入し、パスワードレス認証の基盤を築いてきた。現在では、WindowsデバイスへのMicrosoftアカウントでのサインインの99%以上がWindows Helloを利用している。しかし、デバイスへのサインインだけでなく、あらゆるアカウントへの安全なアクセスを実現するため、業界全体でFIDOアライアンスと協力し、フィッシング耐性のある標準化された認証方法であるパスキーの開発を進めてきた。

パスキーは、ユーザーのデバイスに保存された秘密鍵と、サービス側に保存された公開鍵の組み合わせによって認証を行う。これにより、ユーザーは顔認証、指紋認証、またはPINを用いて迅速かつ安全にサインインできる。Microsoftによれば、パスキーを利用したユーザーのサインイン成功率は98%に達し、従来のパスワード利用者の32%を大きく上回っている。

Microsoftは、ユーザーエクスペリエンスの向上を目的として、サインインおよびサインアップのインターフェイスを刷新した。新しいデザインは、パスワードレス認証を優先し、より直感的でシンプルな操作を実現している。また、新規のMicrosoftアカウントはデフォルトでパスワードレスとなり、既存のユーザーもアカウント設定からパスワードを削除することが可能となった。

さらにMicrosoftは、ユーザーが安全な認証方法を自動的に選択できるよう、サインインプロセスを最適化している。例えば、パスワードとワンタイムコードの両方を設定している場合、システムはワンタイムコードによるサインインを優先し、その後パスキーの登録を促す。このアプローチにより、パスワードの使用が20%以上削減され、将来的にはパスワードの完全な廃止を目指している。

Microsoftは、世界中の15億以上のアカウントがパスキーに対応している現状を踏まえ、さらなる普及を促進するための取り組みを強化している。ユーザーに対しては、少なくとも1つのアカウントをパスキーで保護することを推奨し、より迅速で安全なデジタルライフの実現を目指している。

パスワードからパスキーへの移行はこれまで何度も指摘されてきたが、Microsoftの今回の取組はこれを大きく進める可能性がある。今後パスワードやパスキーを取り巻く状況がどのように変化していくかに注目し、適切に対応していくことが望まれている。

強制BitLockerでデータ消失のリスク、セキュリティ強化の裏で進む「無自覚暗号化」の落とし穴

Windows 11の最新バージョン24H2において、MicrosoftがBitLocker暗号化をデフォルトで有効化したことにより、一部のユーザーがデータを失う事例が報告されている。特に、Windows 11 HomeエディションでもBitLockerが自動的に有効化されるようになったことが、ユーザーの混乱を招いている。この変更は、Microsoftアカウントにサインインする際にBitLockerが自動的に有効化され、回復キーがMicrosoftアカウントにバックアップされる仕組みに起因している(参考「Windows 11 users reportedly losing data due to Microsoft's forced BitLocker encryption - Neowin」)。

  • Windows 11 users reportedly losing data due to Microsoft's forced BitLocker encryption - Neowin

    Windows 11 users reportedly losing data due to Microsoft's forced BitLocker encryption - Neowin

RedditユーザーがBitLockerによるデータ損失のリスクについて警鐘を鳴らしており、特にMicrosoftアカウントへのアクセスを失った場合、回復キーが取得できず、データの復旧が不可能になる可能性を指摘している。この投稿は多くの共感を呼び、約550件のアップボートを獲得している。

BitLockerの自動有効化により、ユーザーが自身のデバイスが暗号化されていることに気付かないまま使用を続けるケースが増加している。特に技術的な知識が乏しい一般ユーザーにとって、回復キーの管理やバックアップの重要性を理解することは難しく、データ損失のリスクが高まっている。

この問題に対処するため、MicrosoftはBitLockerの回復キーのバックアップおよび復旧に関する公式ガイドを提供している。また、Windows 11のセットアップ時にレジストリーを編集することで、BitLockerの自動有効化を防ぐ方法も紹介されている。すでにWindows 11 24H2を使用しているユーザーは、設定アプリからBitLockerの有効・無効を切り替えることが可能だ。

Microsoftの「セキュア・バイ・デフォルト」アプローチは、セキュリティ強化を目的としているが、ユーザーのデータ可用性や利便性を犠牲にしているとの批判もある。今後、Microsoftが一般ユーザーのニーズを考慮した柔軟な対応策を講じることが求められている。

少なくとも、企業や個人で使っているWindowsパソコンでBitLockerを利用しているか否かは把握しておくべきと言える。BitLockerはしばしば問題の原因になることがある。漫然とこの機能を使うのではなく、利点とリスクの双方を理解したうえで有効化するのか、無効化するのかを判断して使うことが望ましいと言える。

フィッシング3.0とは何か、AIとディープフェイクが武器化する時代 - 進化するフィッシング3.0の脅威

Security Boulevardに4月29日(米国時間)に掲載された記事「Phishing 3.0: Trust, Deepfakes, and Why Your Inbox Might Betray You - Security Boulevard」が、フィッシング詐欺に関して「フィッシング3.0」と呼ばれる視点について取り上げた。フィッシング3.0は現在のフィッシング詐欺の潮流を把握するうえで理解しておきたい考え方だ。

  • Phishing 3.0: Trust、Deepfakes、and Why Your Inbox Might Betray You - Security Boulevard

    Phishing 3.0: Trust, Deepfakes, and Why Your Inbox Might Betray You - Security Boulevard

フィッシング詐欺は現在もサイバー攻撃の主要な入り口であり続けており、その手口は「フィッシング3.0」と呼ばれる新たな段階に突入しているという。これは従来の不審なメールやリンクに頼った手法とは異なり、AIやディープフェイク技術を駆使して被害者の信頼を直接操作する高度な詐欺手法とされている。

「フィッシング3.0」の本質は、技術的進化ではなく、信頼という人間の心理的要素を標的にしている点にある。攻撃者は正規の人物を装ってリアルな音声や映像を生成し、被害者に緊急対応や金銭移動などを促すことで、合理的判断を奪って詐欺行為を成功させようとする。

実際、イタリアではAIによって生成されたCEOの音声を使った詐欺未遂事件が発生し、企業は100万ドルの損失寸前まで追い込まれた。これは偶発的な事例ではなく、こうした手口が今後さまざまな地域や業界に拡大していく兆候とみなすべきだ。

このような状況において、マネージドサービスプロバイダー(MSP)は、顧客の信頼を守る責務を強く負っている。もはやスパムフィルターやマルウェア対策だけでは不十分であり、ユーザーの行動パターンの監視や送信者の真正性確認といった多層的な検証体制が必要になる。

「フィッシング3.0」の時代において、企業や組織、個人は「何を信頼すべきか」という基準を問い直す必要がある。AIによるなりすましが日常化する中で、信頼は容易に偽装されるため、セキュリティ対策だけでなく、ユーザー教育や判断力の強化も並行して推進すべきとしている。

1983年ではない - 国家主導のサイバー戦争が始まっている?

Security Boulevardに4月29日(米国時間)に掲載された記事「WarGames - it's not 1983 anymore - Security Boulevard」が、現在のサイバー攻撃の現実をサイバー攻撃者を仕掛ける立場などから解説した。コンピューターが普及し始めた時期に思い描かれていたサイバー攻撃と現在のサイバー攻撃は質が異なっているという指摘を行っている。

  • WarGames – it’s not 1983 anymore - Security Boulevard

    WarGames – it’s not 1983 anymore - Security Boulevard

記事は現代のサイバー戦争の現実とその深刻な影響について警鐘を鳴らす内容になっている。1983年の映画『ウォー・ゲーム』が描いたような単一のハッキングによる核戦争の危機ではなく、今日では国家主導のサイバー攻撃がインフラ全体を標的にし、社会全体に深刻な影響を及ぼす可能性があると指摘している。この内容がそのままタイトルの「WarGames - it's not 1983 anymore」に表れている。

記事は、中国の国家支援を受けたAPT(高度持続的脅威)グループ、特に「Volt Typhoon」や「Salt Typhoon」などが、米国の重要インフラに対して高度なサイバー攻撃を仕掛けていることを強調している。これらの攻撃は、単なる情報窃取にとどまらず、電力網、水道システム、通信ネットワークなどの制御を乗っ取ることを目的としており、国家の安全保障に直結する脅威となっている。

また、これらの攻撃は「サイバー・キルチェーン」と呼ばれる7段階の攻撃プロセスに基づいて計画的に実行されている。具体的には、偵察、武器化、配信、脆弱性の悪用、インストール、コマンド&コントロール、目的の達成という段階を経て、ターゲットのシステムに深く侵入し、持続的な支配を確立する。これにより、攻撃者は長期間にわたってターゲットのシステムを監視・操作することが可能となる。

さらに、記事は中国が米国内の通信インフラや電子機器の製造に深く関与している点にも警鐘を鳴らしている。例えば、HuaweiやTP-Linkなどの中国製機器がアメリカの通信ネットワークに広く採用されており、これらの機器に組み込まれたバックドアがサイバー攻撃の足掛かりとなる可能性がある。これらの機器は、見えないかたちで国家の安全保障を脅かしている。

記事はまた、人工知能(AI)の悪用についても触れている。AIを活用した攻撃は、ターゲットの脆弱性を迅速かつ正確に特定し、攻撃の成功率を高める。さらに、AIモデル自体が汚染され、攻撃者に有利な情報を提供するように操作されるリスクも指摘されている。これにより、防御側のシステムが逆に攻撃者に利用される可能性がある。

最後に、記事は国家レベルでの対応の必要性を強調している。第二次世界大戦時のような国民と企業の総動員体制を構築し、サイバー防衛を国家の最優先事項として位置づけるべきであると提言している。具体的には、AIを活用した脅威の可視化、サプライチェーンの監視、通信インフラの再評価など、包括的な対策が求められている。

証券会社を狙うフィッシング詐欺が再燃、今度はGMOクリック証券に偽装

フィッシング対策協議会は、4月28日~5月2日の間に次の1件の緊急情報を発表した(参考「GMOクリック証券を偽るフィッシング確認、注意を | TECH+(テックプラス)」)。

3月に入ってから証券会社を騙るフィッシング詐欺に関する緊急情報の発表が相次いでいる。3月31日にマネックス証券を騙るフィッシング詐欺について報告が行われたのち、SBI証券、楽天証券、野村證券、松井証券、三菱UFJモルガン・スタンレー証券ときて、今回、GMOクリック証券を騙るフィッシング詐欺が取り上げられた。

国内に流通しているフィッシング詐欺はこの限りではなく、アマゾンを騙るフィッシングが多いことはこれまで何度も報告されている。詐欺師はユーザーの信頼を逆手に取り、信用しやすい情報を使って騙そうとする。フィッシング対策協議会から発表される緊急情報は可能な限り従業員や役員間で情報を共有するとともに、こうしたフィッシング詐欺メールやメッセージが日常的に出回っている事実を改めて認識し、警戒を継続していくことが望まれている。

企業インフラに潜むリスク、CISAが既知エクスプロイト3件を新規追加

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、4月28日から5月2日にカタログに3つのエクスプロイトを追加した。

CISAが追加したエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • SAP NetWeaver (Visual Composer development server) VCFRAMEWORK 7.50
  • Apache HTTP Server 2.4.0から2.4.59までのバージョン
  • SonicWall SMA100 10.2.1.9-57svおよびこれより前のバージョン (プラットフォーム: SMA 200、SMA 210、SMA 400、SMA 410、SMA 500v)

今回CISAが追加した3件の既知エクスプロイトは、いずれも広く利用されている製品に影響を及ぼすものであり、企業や組織に深刻なリスクをもたらす可能性がある。Apache HTTP Serverのような汎用的なインフラや、業務基盤に直結するSAP NetWeaver、VPN関連製品であるSonicWall SMA100などが対象となっており、注意が必要だ。

影響を受ける可能性のあるシステムを運用している場合は、ただちにCISAの「Known Exploited Vulnerabilities Catalog」を参照し、該当バージョンの確認とパッチの適用、または回避策の実施を検討すべきだ。脆弱性の悪用は迅速かつ執拗に行われるため、定期的な監視と迅速な対応体制の整備が不可欠と言える。

* * *

これらの情報から、サイバー攻撃は個人の油断だけでなく、企業や国家のインフラにまで影響を及ぼす脅威として進化していることが明らかとなった。パスワードレス認証の普及促進や脆弱性への迅速な対応、BitLockerの設定確認、そしてディープフェイク対策に至るまで、読者一人ひとりが今すぐ講じるべき防御策は多い。日々変化するリスクに対して、定期的な情報確認とセキュリティ対応の見直しを怠らないことが大切だ。

参考