6月23日~29日に報告された主なサイバーセキュリティ情報では、ブラザー工業やエレコムの製品に複数の深刻な脆弱性が確認された。家庭向けルーターや複合機など身近な機器が対象となっており、情報漏えいや遠隔操作のリスクが高い。またApache製品やFortiGateなどでもDoSや既知のエクスプロイトに関する注意喚起が出ている。該当機器の利用者は早急な確認と対処が求められる。

連載のこれまでの回はこちらを参照

6月23日~29日の最新サイバーセキュリティ情報

本稿では、6月23日~29日の間に報告された最新のサイバーセキュリティに関する情報を取り上げる。家庭向けから企業向けまで幅広いIT機器が対象となっており、重大な脆弱性の発見が相次いでいる。これらの脆弱性は放置すると情報漏えいや不正アクセスといった被害につながる恐れがある。

主に対象となっているのは、ブラザー工業やエレコム、Apache、Fortinetなどの製品で、JPCERT/CCやCISAなどの専門機関が注意喚起を行っている。読者が使用している製品が対象となっていないかを確認し、該当する場合は速やかにファームウェアの更新や代替製品への乗り換えを検討する必要がある。

それでは以降で詳しく見ていこう。

ブラザー工業製品に複数の重大な脆弱性、対象確認とアップデートを

ブラザー工業の製品を使っている場合には確認が必要だ。JPCERTコーディネーションセンター(JPCERT/CC:Japan Computer Emergency Response Team Coordination Center)が6月25日、ブラザー工業の提供する複数の製品に複数のセキュリティ脆弱性が存在すると発表した(参考「JVNVU#90043828: 複数のブラザー製品における複数の脆弱性」)。

ブラザー工業製品に存在するとされる複数のセキュリティ脆弱性の概要は次のとおり。

  • 認可されていない制御領域へのシステム情報の漏えい
  • 弱い認証情報の使用
  • スタックベースのバッファーオーバーフロー
  • サーバサイドリクエストフォージェリ
  • 想定外データタイプの不適切な取り扱い
  • 動作ワークフローの不適切な強制
  • 認証情報の保護が不十分

これらのセキュリティ脆弱性が悪用された場合、次のような影響を受ける可能性があるとされている。

  • 特定のポートへのアクセスによる情報漏えい
  • 機器固有の情報から初期パスワードの特定
  • 管理者権限を持つ遠隔のユーザーによるスタックベースのバッファーオーバーフロー
  • 遠隔の第三者による任意の宛先へのHTTPリクエスト送信
  • 遠隔の第三者による機器クラッシュ
  • 管理者権限を持つ遠隔のユーザーによる外部サービスパスワードの漏えい

本件に関してはJPCERTコーディネーションセンターは、影響を受ける製品は多岐にわたるとして一覧で確認できるかたちで製品の情報を掲載していない。ブラザー工業の製品を使っている場合には、次のWebページから影響を受ける製品を使っているかを調べる必要がある。製品の検索機能などが提供されておらず、漏れがないようにリンクをクリックしながら製品一覧のPDFを開いて確認していく必要がある。

  • セキュリティサポート情報|ブラザー

    セキュリティサポート情報 | ブラザー

JPCERTコーディネーションセンターはコニカミノルタ、富士フイルムビジネスイノベーション、東芝テック、リコーにもこれらセキュリティ脆弱性の影響を受ける製品があるとして、それぞれ次のベンダーページを確認することを推奨している。

ただし、コニカミノルタ、富士フイルムビジネスイノベーション、東芝テック、リコーで影響を受ける製品はブラザー工業の製品ほどは対象が広くない。

該当するベンダーの製品を使用している場合、まず影響を受ける製品を使っているかどうかを確認し、該当する製品を使用している場合には迅速にファームウェアのアップデートを適用することが望まれる。セキュリティ脆弱性のうち1つは深刻度が緊急(Critical)と評価されていることから、迅速に対応しておきたい。

エレコム製ルーターに重大脆弱性

エレコムの無線LANルーターを使っている場合には確認が必要だ。JPCERTコーディネーションセンターが6月24日、エレコムの提供する無線LANルーターに複数のセキュリティ脆弱性が存在すると発表した(参考「JVN#39435597: エレコム製無線LANルータにおける複数の脆弱性」)。

セキュリティ脆弱性が存在するとされる製品および影響を受けるセキュリティ脆弱性は次のとおり。

  • WRC-2533GST2 v1.31およびそれより前のバージョン(CVE-2025-36519)
  • WRC-1167GST2 v1.34およびそれより前のバージョン(CVE-2025-36519)
  • WRC-X3000GS v1.0.34およびそれより前のバージョン(CVE-2025-41427)
  • WRC-X3000GSA v1.0.34およびそれより前のバージョン(CVE-2025-41427)
  • WRC-X3000GSN v1.0.9およびそれより前のバージョン(CVE-2025-41427)
  • WRC-1167GHBK2-S すべてのバージョン(CVE-2025-43877)
  • WRH-733GBK 全てのバージョン(CVE-2025-43879、CVE-2025-48890)
  • WRH-733GWH 全てのバージョン(CVE-2025-43879、CVE-2025-48890)

これら製品には次の5つのセキュリティ脆弱性が存在するとされている。そのうち2つは共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)3.0のスコア値が9.8で「緊急(Critical)」と評価されている。CVSS4.0のスコア値は9.3であり、CVSS4.0の評価においても緊急の深刻度と評価されている。

  • telnet機能におけるOSコマンドインジェクション
  • miniigd SOAPサービスにおけるOSコマンドインジェクション
  • 接続確認画面におけるOSコマンドインジェクション
  • Web管理画面における格納型クロスサイトスクリプティング
  • アップロードファイルの検証不備

これらのセキュリティ脆弱性が悪用された場合、次の影響を受ける可能性があるとされている。

  • 製品にログイン可能な攻撃者によって任意のコードが実行される
  • 製品のWeb管理画面にアクセスしたユーザーのWebブラウザ上で任意のスクリプトが実行される
  • 製品において任意のOSコマンドが実行される

今回リストアップされている製品のうち、サポート対象となっている製品については最新のファームウェアへアップデートすることが推奨されている。すでにサポートが終了した製品に関しては後継製品への乗り換えが推奨されている。

乗り換えするまでの間、影響を低減する方法として次のアドバイスも挙げられている。

  • Web管理画面のログインパスワードを変更する
  • Web管理画面にログインしている間は他のWebサイトにアクセスしない
  • Web管理画面の操作終了後はWebブラウザを終了する
  • Webブラウザに保存されたWeb管理画面のログインパスワードは削除する

本件に関してはエレコムが次のページにおいて詳細情報を公開している。

  • 無線LANルーターにおける代替製品への切り替えのお願い|エレコム株式会社 ELECOM

    無線LANルーターにおける代替製品への切り替えのお願い | エレコム株式会社 ELECOM

エレコムのルーターは主に家庭向けであり、企業での採用はそれほど多くない。企業ユースでは小規模オフィス・ホームオフィス(SOHO:Small Office/Home Office)やテレワークなどで使われることがあると考えられている。同社のルーターを使っている場合には該当する製品を使っているか確認するとともに、該当している場合にはファームウェアのアップデートで対応できるのかどうか、対応できない場合にはより新しい製品への交換を検討するようにしたい。

Apache製品にDoS脆弱性、JPCERTが注意喚起

JPCERTコーディネーションセンターは6月26日、The Apache Software Foundationが提供する複数の製品にサービス運用妨害(DoS:Denial of Service)が存在すると発表した(参考「JVN#09924566: 複数のApache製品におけるサービス運用妨害(DoS)の脆弱性」)。

  • JVN#09924566: 複数のApache製品におけるサービス運用妨害(DoS)の脆弱性

    JVN#09924566: 複数のApache製品におけるサービス運用妨害(DoS)の脆弱性

セキュリティ脆弱性(CVE-2025-48976、CVE-2025-48988)を悪用された場合、次のような影響を受ける可能性があるとされている。

  • 制限が不十分なマルチパートヘッダーへのリソースの割り当てによってサービス運用妨害(DoS)状態を引き起こされる(CVE-2025-48976)
  • 制限あるいは調整のないリソースの割り当てによって、サービス運用妨害(DoS)状態を引き起こされる(CVE-2025-48988)

影響を受けるとされるシステムは次のとおり。

  • Apache Commons FileUpload 1.0から1.6より前のバージョン
  • Apache Commons FileUpload 2.0.0-M1から2.0.0-M4より前のバージョン
  • Apache Tomcat 11.0.0-M1から11.0.7までのバージョン
  • Apache Tomcat 10.1.0-M1から10.1.41までのバージョン
  • Apache Tomcat 9.0.0.M1から9.0.105までのバージョン

セキュリティ脆弱性が修正されたバージョンは次のとおり。

  • Apache Commons FileUpload 1.6およびそれ以降のバージョン
  • Apache Commons FileUpload 2.0.0-M4およびそれ以降のバージョン
  • Apache Tomcat 11.0.8およびそれ以降のバージョン
  • Apache Tomcat 10.1.42およびそれ以降のバージョン
  • Apache Tomcat 9.0.106およびそれ以降のバージョン

セキュリティ脆弱性の深刻度は「警告」の範囲に収まっており緊急性の高いものではないが、該当する製品を使っている場合には無理のないタイムスケジュールでアップデートを適用することが望ましい。

FortiGateやD-Link製品も対象に、CISAが警告する新たな脆弱性

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、6月23日~29日にカタログに3つのエクスプロイトを追加した。

CISAが追加したエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • AMI MegaRAC-SPx 12.0から12.7よりも前のバージョン
  • AMI MegaRAC-SPx 13.0から13.5よりも前のバージョン
  • D-Link DIR-859 1.06B01
  • Fortinet FortiGate 5.6.9およびこれ以降のバージョン
  • Fortinet FortiGate 6.0.5およびこれ以降のバージョン
  • Fortinet FortiGate 6.2.0

該当する製品やバージョンを使用している組織は、速やかに脆弱性情報を確認し、必要なパッチの適用や緩和策の実施を通じて被害を未然に防ぐ対応を講じよう。CISAが既知の悪用された脆弱性カタログに新たに3件のエクスプロイトを追加したことは、依然として深刻なサイバーセキュリティリスクが存在していることを示している。被害者とならないために迅速な対応が求められる。

* * *

今回報告されたセキュリティ脆弱性は、企業や公共機関に限らず家庭でも日常的に使われる機器を標的としたものであり、対岸の火事では済まされない状況だ。とくに、特定製品が広範囲に影響を及ぼす可能性があることから、情報を正しく把握し、早期の対策を講じることが重要と言える。

多くの脆弱性はベンダーによるファームウェア更新などで修正可能なため、該当製品の確認とアップデートの実施を最優先としたい。定期的な情報収集とシステムの見直しを行い、被害の未然防止に努めよう。

参考