5月24日~30日にかけて報告された最新のサイバーセキュリティ関連ニュースを取り上げ、それぞれの脅威の概要、影響、対応策について解説する。特に注目されるのは、ASUSルーターに対するバックドア攻撃や、1億8400万件を超える認証情報の流出、CISAの高官大量退任による世界的なセキュリティ体制への影響などだ。

連載のこれまでの回はこちらを参照

5月24日~30日の最新サイバーセキュリティ情報

ASUSルーターを標的とした高度なバックドア攻撃で約9,000台が侵害されたことが判明。米国CISAの高官の大量退任が発表され、体制への不安が高まった。1億8400万件超のログイン情報流出、Google Meetを模倣したマルウェア攻撃、産業用制御システム(ICS )を狙う脅威など、多様な攻撃が確認されており、継続的な注意と対策が求められる。

これらの事例は、家庭や企業が日常的に使用している機器やサービスが攻撃の対象となる時代であることを示している。偽のGoogle Meetを使った社会的エンジニアリングや、ICSを狙う攻撃のように、従来とは異なる視点からの対策も必要とされる。本稿を通じて、最新の脅威と今後の対策の方向性を提示する。

それでは以降で詳しく見ていこう。

ASUSルーターを狙う高度なバックドア攻撃、約9,000台が侵害

GreyNoiseがASUS製ルーターを標的とした高度なバックドア攻撃キャンペーンを発見した。この攻撃はインターネットに接続されたASUSルーターに対して不正なアクセスを行い永続的なバックドアを設置するというもの。攻撃者は、既知の脆弱性CVE-2023-39780を悪用し、認証バイパスや正規の設定機能を利用して、再起動やファームウェアの更新後も持続するアクセスを確保している。この手法は、持続的標的型攻撃(APT:Advanced Persistent Threat)グループやORB(Operational Relay Box)ネットワークに見られる高度な戦術と一致しており、攻撃者が高度な技術力を持つことが示唆されている(参考「ASUSルータ、9,000台以上が侵害される - 確認を | TECH+ (テックプラス)」)。

  • GreyNoise Discovers Stealthy Backdoor Campaign Affecting Thousands of ASUS Routers

    GreyNoise Discovers Stealthy Backdoor Campaign Affecting Thousands of ASUS Routers

攻撃者はブルートフォース攻撃や認証バイパスを通じて初期アクセスを獲得し、CVE-2023-39780を利用して任意のコマンドを実行。その後、SSHアクセスを非標準ポート(TCP/53282)で有効化し、攻撃者の公開鍵を挿入することで、永続的なバックドアを構築している。

このバックドアはルーターのNVRAM(不揮発性メモリー)に保存されるため、ファームウェアの更新や再起動によっても削除されない。また、攻撃者はログ記録を無効化し、マルウェアを使用せずに正規の設定機能を悪用することで検出を回避している。このような手法は、長期的なアクセスを計画し、システムに関する深い知識を持つ攻撃者によるものであると考えられている。

5月27日時点で、Censysのスキャンデータにより、約9,000台のASUSルーターがこの攻撃により侵害されていることが確認されている。GreyNoiseのセンサーは、3か月間で関連するリクエストを30件しか検出しておらず、このキャンペーンが極めて静かに進行していることを示している。影響を受けるルーターは、主にインターネットに直接接続されている家庭や小規模オフィスのデバイスであり、攻撃者は再起動やファームウェアの更新後も制御を維持している。

ASUSは、CVE-2023-39780に対するパッチを最近のファームウェア更新で提供しているが、攻撃者によるSSH設定の変更はファームウェアの更新によっても削除されない。そのため、影響を受けた可能性のあるユーザーは、SSHアクセスがTCP/53282ポートで有効になっていないか確認し、不審な公開鍵がauthorized_keysファイルに含まれていないかをチェックする必要がある。侵害が疑われる場合は、ルーターを工場出荷時の設定にリセットし、手動で再設定することが推奨されている。

ルーターはインターネットに接続されるデバイスであり、その脆弱性は積極的に悪用される傾向がみられる。ルーターは常にサポートされた製品を使うとともに、常に最新のファームウェアへアップデートする必要がある。また、ベンダーの提供するセキュリティアドバイザリーを定期的に確認し、問題が報告された場合にはすぐに対応することが望まれている。ルーターの脆弱性を放置すれば自社がボットネットの一部としてサイバー攻撃に加担する可能性がある。一度設置したあとはまったくメンテナンスを行わないということがないように、ちゃんと保守運用を行っていこう。

CISA高官相次ぎ退任、世界のセキュリティ体制に懸念

5月27日(米国時間)には衝撃的な報道が行われた。米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)のほぼ全ての高官がすでに退任したか、2025年5月中に退任するというものだ。これは同組織の指導力と専門知識に深刻な空白が生じる可能性を示唆している(参考「トランプ政権の影響でCISA高官の多くが辞任、米国の安全性低下の懸念 | TECH+ (テックプラス)」)。

  • CISA loses nearly all top officials as purge continues|Cybersecurity Dive

    CISA loses nearly all top officials as purge continues | Cybersecurity Dive

2025年5月末までに、6つある運用部門のうち5部門と10の地域事務所のうち6つでトップが退任または退任予定であることが報じられている。これらの離脱は、重要インフラ運営者、民間セキュリティ企業、外国の同盟国、州政府、地方の緊急管理者とのパートナーシップの効率と戦略的明確性を損なう可能性がある。

地域事務所の指導者も退任または退任予定とされている。これらの地域監督者とそのチームは、CISAの米国における存在感を拡大し、パートナーのサービス認識を向上させ、信頼できる専門知識と支援の源としての評判を高めるうえで重要な役割を果たしてきた。これらの幹部の多くは、CISAの前身であるUS-CERTの時代から在籍しており、彼らの離脱は、同庁の経験と知識の損失を意味する。

CISAは米国の組織であり、CISAに相当する機関は各国に存在する。日本にも類似の役割を担う複数の組織が存在している。しかしながら、世界中の組織の中でCISAの存在感は大きい。CISAの高官退任がどういった影響を及ぼすのか、外部からは実態が把握しづらい。今後この影響がどの程度現れるのか慎重に見ていく必要があり、CISAの活動が停滞または後退する兆候が見られた場合には、企業は他の情報源を情報収集の対象に加えるなどサイバーセキュリティ対策活動をアップデートする必要が出る可能性がある。

1億8400万件のログイン情報が流出、漏えいして当然の時代の「現実路線」を考えよう

サイバーセキュリティ研究者Jeremiah Fowler氏が、1億8400万件以上のログイン情報を含む未保護のデータベースをオンライン上で発見したことを発表した。このデータにはGoogle、Microsoft、Facebook、Instagram、Snapchat、Robloxなどの主要プラットフォームのメールアドレスやパスワード、認証URLが含まれており、銀行、医療機関、政府関連の情報も含まれていたとされている(参考「1億8,400万件超える認証情報が漏えい - Google、Microsoft、Instagramなど | TECH+(テックプラス)」)。

  • 184 million logins for Instagram、Roblox、Facebook、Snapchat、and more exposed online|Malwarebytes

    184 million logins for Instagram, Roblox, Facebook, Snapchat, and more exposed online | Malwarebytes

このデータは、インフォスティーラーと呼ばれるマルウェアによって収集された可能性が高いという。インフォスティーラーは、感染したデバイスからWebブラウザやメールクライアント、メッセージングアプリ、暗号通貨ウォレットなどに保存された資格情報を密かに抽出する。これらのマルウェアは、フィッシングメール、悪意のあるWebサイト、不正改造されたソフトウェアにバンドルされて拡散されることが多い。

インフォスティーラーは、単なるパスワードの収集を超えて、オートフィルデータ、クッキー、スクリーンショット、キーストロークなども収集し、攻撃者にとって強力なツールとなっている。これらの情報は、クレデンシャルスタッフィング攻撃、アカウント乗っ取り、身元盗用、企業スパイ活動、標的型フィッシングキャンペーンなどに利用される。

この大規模なデータ漏えいは、インフォスティーラーによる脅威の増大を浮き彫りにしている。ユーザーは、定期的なパスワードの変更、2要素認証の有効化、メールボックス内の機密文書の整理、最新のマルウェア対策ソフトの使用、フィッシングメールや不審なダウンロードへの警戒など、デジタルセキュリティの強化が求められる。

認証情報の大規模漏えいのニュースはこれまでもしばしばあった。この事実は、現在のシステムでは認証情報の漏えいを防止するのは困難であり、企業において管理している認証情報にも漏えいのリスクがあることを再認識させるきっかけになる。人の認証情報管理に完璧というものは期待できない。常に特定の割合は漏えいすることを前提としてシステムの構築や運営を考える方が現実的だ。こうした認証情報漏えいの発表があったときには、自身や企業に所属する人材のアカウントが漏えいしていないか確認するとともに、再度自社の管理体制の見直しや、漏えいを前提としたシステム改善などの検討をすることが望ましい。

身近なサービスが攻撃の入り口に、偽Google Meetが示す教訓

Sucuriが5月23日(米国時間)、Google Meetを模倣した偽のWebページを用いてユーザーにPowerShellコマンドの実行を促す新たなマルウェア手法について伝えた。この攻撃は、WordPressサイトに不審なURLが挿入されているとの顧客からの報告を受けて発覚したもので、訪問者が異常な操作を求められる事例が確認された。調査の結果、Google Meetのインターフェイスを精巧に模倣したHTMLファイルが発見され、ユーザーの操作を誘導する社会的エンジニアリング手法が用いられていた(参考「Google Meetを偽装する新手の攻撃、接続エラーにだまされるな | TECH+(テックプラス)」)。

  • Fake Google Meet Page Tricks Users into Running PowerShell Malware

    Fake Google Meet Page Tricks Users into Running PowerShell Malware

この偽のGoogle Meetページは、ユーザーに「マイクのアクセスが拒否されました」という偽のエラーメッセージを表示し、問題解決のためとして特定のPowerShellコマンドをコピー&ペーストするよう促す。ユーザーが指示に従いコマンドを実行すると、リモートアクセス型トロイの木馬(RAT)がダウンロードされ、システムが侵害される。この手法は、以前報告された偽のCloudflareオーバーレイを用いた攻撃と類似しており、ユーザーの信頼を悪用する点で共通している。

マルウェアのペイロードは、PowerShellスクリプトとして「XR.txt」というファイルに格納されており、実行時に自己復号化されてメモリー上で悪意あるコードが実行される。スクリプトは「Verification complete!」というメッセージボックスを表示してユーザーを安心させる一方で、バックグラウンドでシステムの制御を乗っ取る。このように、ユーザーの操作を巧妙に誘導することで、攻撃者はシステムへの侵入を果たす。

この攻撃の特徴は、外部リソースを一切使用せず、単一のHTMLファイル内に全てのスタイルやスクリプトが埋め込まれている点にある。これにより、セキュリティツールによる検出を回避しやすくなっている。ユーザーが一見無害に見える操作を行うだけで、システムが完全に侵害される可能性があるため、信頼できないソースからの指示には慎重に対応する必要がある。

Google Meetはオンライン会議でよく使われるサービスのひとつだ。こうした身近なサービスを模倣することでユーザーを信頼させ騙そうとする。対策方法はこれまでと変わらない。少しでも違和感を覚えたら一旦操作する手を止めて、正規のサイトから情報をたどるなどしてリスクを回避する操作を基本として身につけていこう。

インターネット接続で増すリスク - ICSを狙う攻撃者と企業のジレンマ

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)からはこのところ産業用制御システム(ICS:Industrial Control System)に関するアドバイザリーの発行が相次いでいる。5月24日~30日の期間でも次の2つの発表が行われ、6つのエクスプロイトに注意が呼びかけられている。

ICSを標的としたサイバー攻撃は直接的に影響を受けるユーザーが限定されることから本連載では個別のエクスプロイトを取り上げることはしていないが、ICSを標的とするサイバー攻撃は産業全体としては大きな問題であることは再度認識しておく必要がある。

ICSは脅威アクターにとってきわめて魅力的な領域だ。ICSは一旦導入されると古いシステムのまま可能な限り継続して使われる傾向がある。ICSの停止がそのまま業務の停止につながり利益損失に直結するため、システムを停止してアップデートを実施することが難しく、しかもアップデートによって挙動が変わった場合にはそもそも業務ができなくなるリスクなどがあり、そう簡単にはアップデートできないという事情がある。

このため、ICSは古いバージョンのシステムがきわめて長期にわたって使われる傾向があり、複数のセキュリティ脆弱性を抱えたシステムは脅威アクターにとって格好の侵入経路になっている。

インターネットとは完全に切り離された時代のICSはそれでもよかったが、ICSはどこかでインターネットに接続されており、これが外部からの侵入を許すことにつながってしまっている。企業にとってICSのサイバーセキュリティ対策は頭が痛い問題だが、継続可能なかたちでのアップデート運用は必須という状況であり、常に最新の情報を入手しながら迅速に対応し続ける体制を構築し運用することが望まれている。

* * *

本稿で紹介した各事例から明らかなように、サイバー攻撃は常に進化しており、企業や個人のシステムに深く入り込む戦術が日々生み出されている。特に、静かに侵入し永続化を図る攻撃や、正規機能を悪用する手法は、従来の防御策では対応が難しいケースもある。脅威の静かさと巧妙さが、被害を発見しにくくし、結果として長期的な侵害につながってしまう。

これらのリスクに対応するには、単に最新のアップデートを適用するだけでなく、自社の環境やシステム構成に即した対策を講じる必要がある。CISAのような信頼性ある情報源の動向にも注目しつつ、自らの体制を見直し、インシデントを前提としたセキュリティ対策を構築・運用することが求められる。

参考