米CISAはTP-LinkルーターやApple製品、Linuxカーネルの既知悪用脆弱性を公表し、即時対策を呼び掛けた。160億件のログイン情報流出が判明し、強固なパスワード管理と多要素認証の重要性が浮き彫りとなった。メールの配信停止リンク悪用、証券・Appleを騙るフィッシングの急増しなど手口の高度化が続いている。組織はパッチ適用、DMARC設定、流量制限など技術的対策を行い、利用者にはフィッシング警戒と衛生習慣の徹底が必要だ。

連載のこれまでの回はこちらを参照

6月16日~22日の最新サイバーセキュリティ情報

6月16日~22日に報じられた主要サイバー脅威から、被害が現実化している既知悪用脆弱性、160億件規模の認証情報流出、巧妙化するフィッシングやスミッシングの手口を取り上げる。

まずCISAが追加したTP-LinkやApple関連の高リスク脆弱性を概観し、脆弱ルーター継続使用による被害シナリオを具体化する。続いて巨大全世界データ漏えいとメール「配信停止」リンク悪用の裏側を解説し、日本の証券系ブランドを狙う最新フィッシング統計を示す。

それでは以降で詳しく見ていこう。

TP-Linkルーターに重要な脆弱性、今すぐ確認を

先週の動向としては米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)がTP-Link製ルーターのセキュリティ脆弱性を「既知の悪用された脆弱性(KEV:Known Exploited Vulnerability)」に追加した点に注目しておきたい。

次のTP-Link製ルーターを使っている場合には、すぐに情報を確認するとともに、代替器への交換といった行動に出ることが望まれている(参考「CVE Record: CVE-2023-33538」)。

  • iotvul/TL-WR940N_TL-WR841N_userRpm_WlanNetworkRpm_Command_Injection.md at main · a101e-IoTvul/iotvul · GitHub

    iotvul/TL-WR940N_TL-WR841N_userRpm_WlanNetworkRpm_Command_Injection.md at main · a101e-IoTvul/iotvul · GitHub

  • TP-Link TL-WR940N V2/V4
  • TP-Link TL-WR841N V8/V10
  • TP-Link TL-WR740N V1/V2

上記TP-Link製ルーターには「CVE-2023-33538」として特定されているコマンドインジェクションのセキュリティ脆弱性が存在している。このセキュリティ脆弱性を悪用された場合、細工されたHTTP GETリクエスト経由でシステムコマンドが実行される可能性がある。このセキュリティ脆弱性の深刻度はCVSSスコアは8.8と評価されており、ユーザーには対応が必要な状況となっている。

本セキュリティ脆弱性についてはGitHubに情報がまとめられていたが、執筆時点で該当ページは削除されている。削除された経緯は不明だが、CISAは参照情報源としてインターネットアーカイブに保存された次のURLをあげており、こちらも確認することが望まれている。

ファームウェアのアップデートを行わずにルーターを使い続けることの危険についてはこれまで多くの事例がそれを証明している。ベンダーによってセキュリティサポートが提供されているルーター製品を常に最新のファームウェアにアップデートして使う状況を維持していくことが大切だ。

160億件のログイン情報が流出、サイバー衛生の再確認を

CyberNewsが計160億件におよぶログイン情報が流出したことを報じた(参考「GoogleやAppleなど160億件の認証情報が漏えい、パスワードの見直しを | TECH+(テックプラス)」)。情報は主にインフォスティーラー(情報窃取型マルウェア)によって収集されたとされ、ソーシャルメディアや開発者ポータル、VPN、企業用サービスなど、ほぼ全てのオンラインプラットフォームに影響がおよぶ可能性がある。研究者らは、これらの情報が高度なフィッシングやアカウント乗っ取り、ランサムウェア攻撃に利用される恐れがあると警鐘を鳴らしている。

  • 16 billion passwords exposed in colossal data breach​|Cybernews

    16 billion passwords exposed in colossal data breach​ | Cybernews

流出したデータは30以上のデータセットに分かれており、それぞれ数千万件から最大35億件ものレコードを含んでいた。名前からサービスの種類が推測できるものもあり、Telegramやロシア連邦に関連したデータなども確認された。中には認証トークンやセッションクッキーも含まれており、2段階認証を迂回するリスクもあるという。これらのデータは一時的にオープンなサーバに保存されていたが、所有者は特定されておらず、一部はサイバー犯罪者のものであると考えられている。

今回の漏えいにおいて、FacebookやGoogle、Appleなどのログイン情報が漏れたとする報道もあるが、研究者によれば、これらの企業からの直接的な大規模侵害は確認されていない。しかし、インフォスティーラーによって取得された情報にはこれらのサービスのログインURLが含まれており、結果的にアクセスされる可能性は否定できない。

このような状況に対して、ユーザーはサイバー衛生を徹底することが求められている。パスワードの定期的な変更、ユニークで強力なパスワードの使用、2段階認証の有効化、そして不審な活動の監視が基本である。今回の事件は、単なる過去の漏えいの再利用ではなく、最新かつ悪用可能な情報が大量に存在している現実を示しており、今後もこうした漏えいの防止と責任追及が重要となる。

こうした大規模データ漏えいの報道はこれまでもしばしば発生している。企業やユーザーは現代社会においてアカウント情報の漏えいが日常的に起こる通常のリスクであることを再認識するとともに、サービスごとに異なるパスワードを使うこと、パスワードは使い回さないこと、強いパスワードを使うこと、多要素認証(MFA:Multi-Factor Authentication)を有効にすることといった基本的なルールの徹底が必要であることを再認識し、実践するように取り組んでいこう。

その「配信停止」ボタン、本当に安全? 隠れたサイバーリスクに注意

eSecurity Planetに、不要なメールの「配信停止(Unsubscribe)」ボタンを安易にクリックすることは危険だとする記事が掲載された。DNSFilterの報告によれば約644件に1件の割合で「Unsubscribe」リンクは悪意のあるWebサイトに誘導するという。わずかな確率だが、日々送られる数十億通のスパムメールを考慮すると無視できないリスクになると指摘している(参考「「メール購読解除ボタン」に注意、個人情報を盗む詐欺の恐れ | TECH+(テックプラス)」)。

悪質な「Unsubscribe」リンクをクリックすることで、メールアドレスが有効であることを詐欺師に知らせてしまい、さらなるスパムやフィッシング攻撃を招く可能性がある。また、リンク先が偽のログインページである場合、パスワードや個人情報を盗まれる恐れもある。さらには、クリックしただけでマルウェアが自動的にダウンロードされる危険性も否定できない。

安全な対処法としては、Gmailなどのメールサービスに備わる公式の「配信停止」機能を利用することが挙げられる。これらは信頼できる送信者情報に基づいており、メール本文の不正コードに依存しないため、より安全である。また、怪しいメールには返信せず、「迷惑メールとして報告」や送信者のブロックなどの機能の活用も選択肢になる。

「Unsubscribe」をクリックする行為は一見、受信箱を整理する前向きな行動に思えるが、実際には詐欺の入り口になる可能性もある。送信者に信頼がおけない場合には、そのリンクにも信頼を寄せるべきではない。面倒な手間となるが、不要なメールを配信停止にする場合、一定の確率で詐欺リンクが含まれていることを考慮して慎重に操作する必要がある。

SBI証券・Appleを騙る手口が急増 - 5月のフィッシング実態

フィッシング対策協議会は6月20日、2025年5月のフィッシング報告状況を発表した。2025年5月のフィッシング報告件数は229,536件で、前月比17,044件減。報告全体の約23.3%がSBI証券、13.3%がAppleを装ったもので急増し、Amazonを騙るものは6.8%へ減少した。ANA、野村證券、VISAを合わせた報告は全体の59.3%を占め、1,000件以上報告を受けたブランドは31に達し、全体の95.4%を占有した状況にある。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2025/05 フィッシング報告状況

    フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2025/05 フィッシング報告状況

分野別では証券系が32.2%、EC系が23.0%、クレジット・信販系が19.5%となり、証券とECの伸びが目立つ。悪用ブランドは91で、証券系の新規参入が続いた。SMS誘導型(スミッシング)はクレジットカード、証券、銀行、宅配不在通知を装うものが多く、RCSチャット経由の報告も散見された。

フィッシングサイトのユニークURLは55,940件で前月比7,567件増である。TLDは.comが25.5%、.googが24.8%、.asiaが23.1%を占め、合計で約90.1%に達した。Google翻訳URLをリダイレクト源に使う手口が18.5%を占め、Unicode文字を混在させて同一性判定を逃れるなどフィルター回避の巧妙化が進んだ。

メール面では差出人詐称のなりすましメールが32.4%に減少した一方、独自ドメインを用いた非なりすまし型が67.6%を占める。DMARCがreject/quarantine設定のドメイン由来メールは14.1%に急減し、PTR(逆引き)未設定IPからの送信は74.2%に上った。

被害の中心は証券会社を装うフィッシングで、口座乗っ取りによる損失事例が増えている。Apple IDや航空会社マイレージ、公共料金滞納、カード利用確認などを装う誘導も拡大し、本物の注意喚起や請求メールを模したため判別が難化している。迷惑メールフィルターをすり抜けるため、ゴミ文字挿入や大量URL混在などの手法が週次で変化している。

事業者には逆引き未設定IPの遮断や流量制限、DMARCポリシーのreject化、FCrDNS導入が求められる。GmailやMicrosoftの大量送信者要件やNTTドコモの警告表示も強化され、政府もDMARC普及を後押ししている。利用者には不自然な文字列リンクへの非アクセス、パスキー・パスワードマネージャー活用、正規アプリ経由の確認、Androidでの不正アプリ回避など基本対策を徹底すべきだと言える。

緊急発表:フィッシング対策協議会が2件の偽装メールを警告

フィッシング対策協議会は、6月16日~22日の間に次の2件の緊急情報を発表した(参考「大和証券を偽るフィッシング確認、注意を | TECH+(テックプラス)」「岩井コスモ証券を偽るフィッシング確認、注意を | TECH+(テックプラス)」)。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|ニュース|緊急情報|大和証券をかたるフィッシング (2025/06/16)

    フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | 大和証券をかたるフィッシング(2025/06/16)

  • フィッシング対策協議会 Council of Anti-Phishing Japan|ニュース|緊急情報|岩井コスモ証券をかたるフィッシング (2025/06/16)

    フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | 岩井コスモ証券をかたるフィッシング(2025/06/16)

フィッシング対策協議会が発表する緊急情報は流通しているフィッシング詐欺メールやSMSの一部にすぎないが、少なくとも同組織から発表されるフィッシング詐欺情報については確実にチェックし、組織内部で情報の共有を行いたい。

サイバーセキュリティ攻撃に“休み”はなく、隙あらばいつでも攻撃を仕掛けてくる。こうした詐欺の被害者にならないために、新しい情報を継続的に共有し、常に注意を喚起し続け、従業員や役員が常に適切な対応を取れるように維持することが望まれている。

Apple、Linux、TP-Linkに影響、CISAが警告する新たな脆弱性とは

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)は、6月16日~22日にカタログに3つのエクスプロイトを追加した。

CISAが追加したエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • Apple iOS 18.3よりも前のバージョン
  • Apple iOS 16.7よりも前のバージョン
  • Apple iOS 15.8よりも前のバージョン
  • Apple iPadOS 18.3よりも前のバージョン
  • Apple iPadOS 17.7よりも前のバージョン
  • Apple iPadOS 16.7よりも前のバージョン
  • Apple iPadOS 15.8よりも前のバージョン
  • Apple macOS 14.7よりも前のバージョン
  • Apple macOS 15.3よりも前のバージョン
  • Apple macOS 13.7よりも前のバージョン
  • Apple watchOS 11.3よりも前のバージョン
  • Apple visionOS 2.3よりも前のバージョン
  • TP-Link TL-WR940N V2/V4
  • TL-WR841N V8/V10
  • TL-WR740N V1/V2
  • Linux kernel 6.2-rc6

CISAの報告はApple製品やLinuxカーネル、TP-Linkルーターなど広範なデバイスに影響を及ぼす可能性があることを示している。これらの脆弱性はすでに悪用が確認されており、対象となるシステムを運用している組織や個人は、速やかに対応パッチの適用や影響範囲の確認など、適切なセキュリティ対策を講じる必要がある。

* * *

既知悪用脆弱性は公開後わずか数日で攻撃に組み込まれる。ファームウェア更新や古い機器の交換、多要素認証の徹底を怠れば、組織の資産も家庭のネットワークも即座に標的になる危険がある。経営層はパッチ管理とDMARC導入を優先し、現場はフィッシング疑似訓練やログ監視をルーチン化すべきだ。個人もパスワードマネージャー活用と公式手段以外の配信停止リンク回避を習慣化し、サイバー衛生を継続的に高めよう。

参考