5月5日～11日の最新サイバーセキュリティ情報 - Googleを装う音声詐欺、Gmailユーザー18億人が標的に

日本国内で発生したフィッシング攻撃「CoGUI」や、旧型ルーターを悪用するサイバー犯罪、AIを使った音声詐欺など、サイバー攻撃は巧妙さを増している。従来のCAPTCHAの無効化、WHOIS廃止による証明書発行の変化、AIによる虚偽脆弱性報告なども報告されており、技術進化に応じたセキュリティ意識と対策が不可欠となっている。

連載のこれまでの回はこちらを参照。

5月5日～11日の最新サイバーセキュリティ情報　

本稿では5月5日～11日に報告された重要なサイバーセキュリティ関連ニュースを解説する。特に注目すべきは、日本を狙った大規模フィッシング攻撃「CoGUI」や、旧型ルーターを悪用したサイバー犯罪の実態だ。これらの攻撃は、従来の防御策を巧妙に回避しながら進行しており、企業や個人の油断が深刻な被害を招きかねない。

加えて、CAPTCHAの形骸化やWHOIS廃止に伴う証明書発行手順の変更、AIが関与した虚偽の脆弱性報告など、新しい脅威も登場している。これらは技術の進化に対応できていないセキュリティ体制の隙を突いてくるものであり、単に知識として認識するだけでなく、行動を伴った対策を採ることが求められている。

それでは以降で詳しく見ていこう。

日本を狙う「CoGUI」フィッシング攻撃、1億通超のメールで被害拡大　

Proofpointは5月6日（米国時間）、日本を標的とした大規模なフィッシング攻撃に関する報告を発表した。この攻撃は「CoGUI」と名付けられたフィッシングキットを用いており、数千万通以上のフィッシングメールが日本国内の組織や個人に送信されている。主にAmazon、PayPay、楽天などの著名なブランドを装い、ユーザーの認証情報や支払い情報を窃取することを目的としている（参考「日本を狙うフィッシング急増に注意、日本の証券会社を偽る攻撃も確認 | TECH+ (テックプラス)」）。

CoGUIは、地理的制限（ジオフェンシング）、ヘッダーフィルタリング、ブラウザフィンガープリンティングなどの高度な検知回避技術を駆使しており、セキュリティ対策をすり抜ける巧妙な手法を採用している。これにより、特定の地域やユーザーを標的としながら、セキュリティシステムによる検出を回避することが可能となっている。

• 

  CoGUI Phish Kit Targets Japan with Millions of Messages ｜ Proofpoint US

このフィッシングキットは、2024年10月から活動が確認されており、Proofpointは2024年12月から追跡を開始している。キャンペーンは通常、3日から5日間の期間で実施され、月平均で約50件のキャンペーンが観測されている。確認されたフィッシングメールは1億7200万通を超え、過去最大級の規模となっている。

CoGUIのキャンペーンでは、Amazonや楽天などのブランドを装ったメールが送信され、ユーザーを偽のログインページに誘導し、認証情報やクレジットカード情報を入力させる手法が取られている。これらのページは、日本語で表示され、正規のサイトと見分けがつかないほど精巧につくられている。

Proofpointは、CoGUIの使用者は主に中国語を話す脅威アクターであり、日本語を話すユーザーや日本国内の組織を主な標的としていると分析している。また、同様の手法を用いる「Darcula」と呼ばれるフィッシングキットも存在するが、CoGUIとは異なる特徴を持っている。このような高度なフィッシング攻撃に対抗するため、ユーザーは不審なメールのリンクをクリックしない、二要素認証を導入するなどの対策を講じることが求められる。

これまでにさまざまなサイバーセキュリティベンダーが日本を脅威アクターにとって魅力的な標的であると分析しているが、直接日本が標的となったことを示す報道はサイバーセキュリティニュース全体から見るとそれほど多くない。このため日々サイバー攻撃を受けているという事実を忘れがちだが、実際には常に脅威にさらされている。とくにはっきりと日本が標的となっていることが明らかになった事例とその報道に関しては注意深く内容を確認するとともに、従業員や役員間での情報共有および適切な対策と、すでに実施している内容の再確認とアップデートなどの手順を踏むようにしよう。

旧型ルーターがサイバー犯罪の温床に、サポート終了ルーターの確認を　

米連邦捜査局（FBI）のインターネット犯罪苦情センター（IC3）は5月7日（米国時間）、旧型ルーターを標的とするサイバー犯罪活動に関する注意喚起文書「Cyber Criminal Services Target End-of-Life Routers to Launch Attacks and Hide Their Activities」を公開した。この報告書では、サイバー犯罪者がサポート終了（EoL）となったルーターの既知の脆弱性を悪用し、マルウェアをインストールしてボットネットを構築し、攻撃の発信元を隠蔽する手法が詳細に説明されている。

犯罪者は、5SocksやAnyProxyなどのプロキシサービスを通じて、侵害したルーターを他のサイバー犯罪者に貸し出している。これらのルーターは、リモートアクセスが有効であれば、パスワード設定の有無にかかわらず侵入される恐れがある。一度侵害されると、ルーターは定期的にC2（コマンド＆コントロール）サーバと通信し、攻撃者の指示を受け取るようになる。

FBIは、特に以下のルーターが標的となっていることを挙げている。

• Linksys E100、E1000、E1200、E1500、E1550、E2500、E300、E3200、E4200
• WRT310N、WRT320N、WRT610N
• Cisco M10

これらのルーターはすでにサポートが終了しており、セキュリティアップデートが提供されていない。FBIは次の対策を推奨している。

• 旧型ルーターの交換：サポートが終了しているルーターは新しいモデルに交換する
• リモートアクセスの無効化：ルーターのリモート管理機能を無効にすることで外部からの不正アクセスを防ぐ
• ルーターの再起動：感染が疑われる場合にはルーターを再起動することでマルウェアの活動を一時的に停止させる
• ファームウェアの更新：最新のファームウェアに更新する
• ネットワークの監視：異常なトラフィックや挙動がないか定期的に確認する

このようなサイバー犯罪活動は企業のネットワークセキュリティに深刻な脅威をもたらす。特に旧型ルーターを使用している場合、知らぬ間に犯罪活動に加担してしまう可能性がある。問題が発生する前にサポートが終了した古いルーターは交換しよう。

Gmailユーザー18億人が標的に - フィッシング詐欺が音声通話とAIで進化　

多くのビジネスパーソンやユーザーが影響を受ける可能性のある報道が5月6日（米国時間）に行われた。Security Boulevardに掲載された「Urgent Warning for Gmail Users: 1.8 Billion Accounts at Risk - Security Boulevard」だ（参考「18億のGmailアカウントが危険、Googleのフィッシングメールに注意喚起 | TECH+ (テックプラス)」）。

Security Boulevardは先の記事において、Gmailユーザー18億人に影響を及ぼす可能性のある高度なフィッシング詐欺について警告を発した。この詐欺はAIを活用してGoogleサポートを装ったリアルな音声通話を行い、ユーザーのアカウントが侵害されたと偽って信頼を得る手法だ。通話後、被害者には正規に見える悪意のあるリンクを含んだメールが送信され、これにより個人情報の盗難や金融詐欺が発生する恐れがあるとしている。

• 

  Urgent Warning for Gmail Users: 1.8 Billion Accounts at Risk - Security Boulevard

この詐欺の巧妙さは、偽のメールがGoogleの公式アドレスから送信されているように見え、DKIM認証も通過する点にある。さらに、メール内のリンクはGoogle Sites上にホストされた偽のサポートページへ誘導し、ユーザーにログイン情報の入力を促す。この手法により、攻撃者はユーザーの認証情報を取得し、アカウントを乗っ取ることが可能となる。

Googleは、このような攻撃に対抗するため、ユーザーに対して二要素認証（2FA）やパスキーの導入を推奨している。また、Chromeブラウザの「Password Alert」機能を有効にすることで、Googleのパスワードが他のサイトで使用された際に警告を受け取ることができる。Googleは、アカウント情報をメールや電話で要求することは決してないと強調している。

このような高度なフィッシング詐欺の増加に伴い、ユーザー自身がセキュリティ意識を高め、適切な対策を講じることが求められている。差出人のアドレスが正規のものであるか、リンク先のURLが公式サイトと一致しているかを確認することで、フィッシング詐欺を見抜く手助けとなる。また、不審なメールや通話を受け取った場合は、リンクをクリックせず、公式サイトから直接ログインして確認することが推奨されている。定期的なパスワードの変更や、セキュリティ設定の見直し、信頼できるセキュリティソフトの導入などを通じて、アカウントの安全を確保することが重要となる。

サイバーセキュリティ攻撃に対して防御側には適切な対応を常に取り続けることを習慣化することなどが必要だ。脅威アクターは常にユーザーを騙す方法を探しており、これまで安心できたものであっても、いつの間にか悪用されている可能性を忘れることなく対処していくことが望まれる。

CAPTCHAはもはや無力 - 高度化するAIに突破される　

Webページをプログラムの悪用から防ぐ方法としてCAPTCHAが使われているが、もはやこの機能は役に立たないとの指摘が出ている（参考「CAPTCHAの時代は終わりを告げた、復活することはない | TECH+（テックプラス）」）。

5月8日（米国時間）にSecurity Boulevardに掲載された記事「CAPTCHA in the Age of AI: Why It’s No Longer Enough - Security Boulevard」が、従来のCAPTCHAがAIの進化により無効化されつつある現状と、今後求められるセキュリティ対策の方向性について報じた。

• 

  CAPTCHA in the Age of AI: Why It's No Longer Enough - Security Boulevard

記事では、CAPTCHAは本来、機械と人間を区別するための手段として設計されたが、現代のAIはこの前提を覆していると説明している。高度なAIモデルは、従来のCAPTCHAを容易に突破できる能力を持ち、これによりCAPTCHAの有効性が著しく低下している。

生成AI以降のサイバーセキュリティ対策は「ボットか人間か」という二元論から脱却し、「意図」に基づく検出へと進化すべきであることも説明している。例えば、AIエージェントが正当な目的で行動する場合と、悪意ある目的で行動する場合を区別する必要がある。このような意図ベースの検出は、AIと行動分析を活用して実現される。

加えて記事では、CAPTCHAの複雑化が必ずしもセキュリティの向上につながらないことも指摘している。むしろ、ユーザーの利便性を損ない、離脱を招く可能性があるという。そのため、セキュリティ対策はユーザー体験とのバランスを考慮し、過度な負担をかけないように設計されるべきとしている。

AI時代におけるセキュリティ対策は、AIを活用したリアルタイムかつ意図ベースの検出にシフトする必要がある。これにより、正当なユーザーにはスムーズな体験を提供しつつ、悪意あるアクセスを効果的に排除することが可能となる。従来のCAPTCHAに依存する時代は終わりを迎えつつあり、新たなアプローチが求められている。

生成AIの登場によってこれまで常識とされてきたことが変化した。従来のサイバーセキュリティの常識を再度見直し、最新の情報へアップデートし続けることが必要だ。

WHOIS情報によるドメイン確認が廃止へ、フィッシング対策協議会が解説文書を公開　

フィッシング対策協議会の証明書普及促進ワーキンググループは5月8日、「SSL/TLS サーバー証明書における WHOIS 情報を利用したドメイン名使用権確認方法の廃止について」の解説ドキュメントを公開した。同組織はこの文書において、WHOIS情報を用いたドメイン使用権確認方法の廃止に至った背景や、代替となる確認方法について詳述している。

• 

  フィッシング対策協議会　Council of Anti-Phishing Japan ｜ 報告書類 ｜ 協議会WG報告書 ｜ SSL/TLS サーバー証明書における WHOIS 情報を利用したドメイン名使用権確認方法の廃止について

SSL/TLSサーバー証明書は、Webサイトとユーザー間の通信を暗号化し第三者による情報の盗聴や改ざんを防ぐための重要なセキュリティ手段だ。証明書の発行に際しては、申請者が対象ドメインの正当な所有者であることを確認する「ドメイン使用権確認（DCV）」が必要とされている。これまで一般的に用いられてきたWHOIS情報を利用した確認方法に脆弱性が発見されたことから、その廃止が決定された。

具体的には、WHOIS情報をホストしていたドメイン名が変更され、旧ドメイン名が第三者に取得される可能性が生じた。これにより、悪意ある第三者が偽のWHOISサーバを構築し、認証局（CA）が誤って偽の情報を参照するリスクが高まった。この脆弱性を受け、業界規格団体であるCA/Browser Forum（CABF）は、WHOIS情報を利用した確認方法の段階的な廃止を決定し、2025年7月15日以降は完全に利用禁止とする方針を打ち出した。

WHOIS情報に代わるドメイン使用権確認方法として、CABFは複数の代替手段を規定している。これには、ドメインに紐づく特定のメールアドレスへの確認メールの送信、DNSサーバへの特定文字列の設定、Webサーバ上の特定ディレクトリへのファイル配置などが含まれる。申請者は、自身の技術的な対応能力や運用体制に応じて、これらの方法の中から適切なものを選択する必要がある。

この変更により、証明書の申請者やWebサイト運営者は、従来のWHOIS情報を利用した確認方法が利用できなくなるため、早急に代替手段への移行を検討することが求められている。各認証局によって対応方法や申請手続きが異なる場合があるため、詳細については各認証局に問い合わせることが推奨される。フィッシング対策協議会は、これらの情報を提供することで、Webサイトの信頼性向上とフィッシング詐欺の防止に寄与することを目指している。

SSL/TLS証明書は有効期間を短くする方向で業界が進み始めている。今後SSL/TLS証明書の管理を巡って、管理者の手間が増えるか、自動化への取り組みを進める必要がある。こうした状況と合わせて、今回フィッシング対策協議会から公開されたSSL/TLSサーバー証明書における WHOIS情報を利用したドメイン名使用権確認方法の廃止についての情報も確認しておこう。

• フィッシング対策協議会　Council of Anti-Phishing Japan

LangflowやFreeTypeに関連する深刻な脆弱性と、GeoVision多数機種に影響の脆弱性　

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁（CISA：Cybersecurity and Infrastructure Security Agency）は、5月5日～11日にカタログに4つのエクスプロイトを追加した。

• CISA Adds One Known Exploited Vulnerability to Catalog | CISA
• CISA Adds One Known Exploited Vulnerability to Catalog | CISA
• CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA

CISAが追加したエクスプロイトは次のとおり。

• CVE Record: CVE-2025-3248
• CVE Record: CVE-2025-27363
• CVE Record: CVE-2024-6047
• CVE Record: CVE-2024-11120

影響を受ける製品およびバージョンは次のとおり。

• Langflow 0から1.2.0までのバージョン
• FreeType 0.0.0から2.13.0までのバージョン
• GeoVision GV_DSP_LPR_V2
• GeoVision GV-DSP_LPR_V3
• GeoVision GV_IPCAMD_GV_BX1500
• GeoVision GV_IPCAMD_GV_CB220
• GeoVision GV_IPCAMD_GV_EBL1100
• GeoVision GV_IPCAMD_GV_EFD1100
• GeoVision GV_IPCAMD_GV_FD2410
• GeoVision GV_IPCAMD_GV_FD3400
• GeoVision GV_IPCAMD_GV_FE3401
• GeoVision GV_IPCAMD_GV_FE420
• GeoVision VS14_VS14
• GeoVision GV_VS03
• GeoVision GV_VS2410
• GeoVision GV_VS28XX
• GeoVision GV_VS216XX
• GeoVision GV VS04A
• GeoVision GV VS04H
• GeoVision GVLX 4 V2
• GeoVision GVLX 4 V3
• GeoVision GV_IPCAMD_GV_BX130
• GeoVision GV_GM8186_VS14
• GeoVision GV-VS11
• GeoVision GV-VS12

これらの脆弱性はいずれも実際に悪用された事例が報告されており、攻撃者による不正侵入や情報漏えいのリスクが極めて高い。対象製品を運用中の組織やユーザーは、CISAのアドバイザリーおよびベンダーのセキュリティ情報を参照のうえ、速やかにアップデートや緩和策を実施する必要がある。脆弱性対応を後回しにすることは、自組織のセキュリティを著しく損なう危険性を伴うため、関係者においては喫緊の対応が強く推奨される。

• Known Exploited Vulnerabilities Catalog | CISA
• Cybersecurity Alerts & Advisories | CISA

ChatGPTなどによる虚偽の脆弱性報告、curl開発者が警鐘　

生成AIはサイバーセキュリティに多大な影響をもたらしている。それは良くも悪くもであり、攻撃側にとっても防御側にとっても欠かすことのできない技術となっている。こうした状況に対して、ソフトウェア脆弱性の修正という開発の側面において、生成AIが誤った使われ方をしていることが開発者側から指摘された。今後さまざまなプロジェクトに影響が出る可能性がある気になる報告だ。

2025年5月、オープンソースのデータ転送ツール「curl」の開発者たちは、AI生成による虚偽の脆弱性報告が増加していることに対し、強い懸念を表明した。これらの報告は、ChatGPTやGoogle Bardなどの大規模言語モデル（LLM）を利用して生成されたものであり、実際には存在しない脆弱性を指摘する内容となっている。このような虚偽の報告は、開発者の貴重な時間を浪費させ、プロジェクトの進行を妨げる要因となっているという（参考「Open source project curl is sick of users submitting “AI slop” vulnerabilities - Ars Technica」）。

• 

  Open source project curl is sick of users submitting “AI slop” vulnerabilities - Ars Technica

とくに問題視されているのは、AIによって生成された報告が、実際の脆弱性報告と見分けがつかないほど精巧な点にある。これにより、開発者は報告の真偽を確認するために多大な労力を費やさなければならず、結果として本来の開発作業が遅延する事態が発生している。

curlの創設者であるDaniel Stenberg氏はAI生成報告について「AI slop（AIの粗雑な出力）である」と述べ、強い不快感を示した。彼は、AIが生成した情報を無批判に受け入れることの危険性を指摘し、開発者コミュニティー全体での注意喚起を促している。

この問題はcurlプロジェクトに限らず、他のオープンソースプロジェクトにも波及している。AIによる虚偽の脆弱性報告は、プロジェクトの信頼性を損なうだけでなく、セキュリティ上の誤解を招く可能性もあるため、開発者やユーザーは報告内容の精査を徹底する必要がある。

今後、AI技術の進化とともに、このような問題がさらに深刻化する恐れがある。開発者コミュニティーは、AI生成コンテンツの取り扱いに関するガイドラインの整備や、報告の検証プロセスの強化など、対策を講じることが求められている。サイバーセキュリティにおいてソフトウェアは中心的な役割を担っている。こうしたソフトウェアの修正プロセスにAIを使った誤った情報が混入し、開発者のリソースを消費することは好ましくない。今後この問題がどのように推移していくか注力しておく必要がある。

*　*　*

今回取り上げた複数の脅威は、いずれも現在進行形で進化し続けている点が共通している。従来有効とされたCAPTCHAやWHOISのような技術も、もはや有効とは言えなくなっている。フィッシング攻撃のようにユーザーを直接欺く手口は、技術的防御に加え心理的警戒も必要となる。

企業やユーザーはこうした情報を共有し、使用中のルーターやセキュリティ設定を直ちに確認・更新することを推奨したい。特にEoL機器の使用停止、2FAの導入、偽情報に対する開発体制の強化など、できることから即座に着手することが、組織のリスク軽減に直結する。

参考

• IPA 独立行政法人 情報処理推進機構
• JPCERT コーディネーションセンター
• フィッシング対策協議会　Council of Anti-Phishing Japan
• Japan Vulnerability Notes
• Home Page | CISA
• News | CISA
• Cybersecurity Alerts & Advisories | CISA