2025年7月第3週に報告された最新のサイバー脅威情報では、トレンドマイクロやIvanti、Oracle Javaなどの複数製品に深刻な脆弱性が判明した。JPCERT/CCやIPAは即時アップデートと軽減策の実施を促している。また、VPN機器を悪用した持続的標的型攻撃や.cnドメインを悪用したフィッシング詐欺も報告された。CISAも既知の攻撃に用いられる脆弱性として2件を追加し、迅速な対応を呼びかけている。
7月14日~20日の最新サイバーセキュリティ情報
本稿では7月14日から7月20日までに報告されたサイバーセキュリティ関連の最新情報について紹介する。具体的には、トレンドマイクロ製品やOracle Javaにおける深刻な脆弱性、VPN機器を悪用した標的型攻撃、フィッシング詐欺の最新動向、CISAによる脆弱性警告、そしてJPCERT/CCのインシデントレポートなどを取り上げる。
これらの情報は企業のセキュリティ担当者のみならず、個人ユーザーにも関係が深い。最新の脅威動向を理解することで、製品のアップデートや設定の見直し、日常的なセキュリティ習慣の徹底といった具体的対策に活用することができる。
それでは以降で詳しく見ていこう。
トレンドマイクロ製品に複数の深刻な脆弱性、JPCERT/CCが対処を促す
JPCERTコーディネーションセンター(JPCERT/CC:Japan Computer Emergency Response Team Coordination Center)は7月16日、トレンドマイクロの複数製品に存在する脆弱性に関してアップデート情報を公開した。これらの脆弱性にはCVE-2025-49154からCVE-2025-53378まで複数が含まれ、影響を受ける製品にはApex One、Apex One SaaS、Standard Endpoint Protection、ウイルスバスター ビジネスセキュリティ、Apex Centralなどが含まれている(参考「JVNVU#96526886: 複数のトレンドマイクロ株式会社製品の脆弱性に対するアップデート(2025年6月)」)。
影響を受ける製品は次のとおり。
- Apex Central
- Apex Central (SaaS)(Apex One SaaSのCentral機能部分)
- Apex One
- Apex One SaaS
- Standard Endpoint Protection
- Standard Endpoint Protection(Apex One SaaSのCentral機能部分)
- ウイルスバスター ビジネスセキュリティ バージョン 10.0 SP1
- ウイルスバスター ビジネスセキュリティサービス バージョン 6.7
各脆弱性が引き起こす影響はさまざまだ。不適切なアクセス制御による重要なファイルの上書き、制御されていない検索パスによる任意コード実行、リンク解釈や検索パスの問題による権限昇格、デシリアライゼーション処理を悪用したリモートコード実行や認証の欠如によるエージェント制御など、深刻な被害につながるおそれがある。これらの脆弱性に対しては、製品のアップデートに加え、軽減策の実施も推奨されている。
利用者やシステム管理者は、トレンドマイクロが提供する各アドバイザリーを確認し、早急に最新版への更新を行うとともに、可能な場合は推奨されるワークアラウンドの適用を検討しよう。詳細情報は次のページから確認することができる。
- アラート/アドバイザリ:Trend Micro Apex One および Apex One SaaSで確認された複数の脆弱性について(2025年6月)
- アラート/アドバイザリ:Apex CentralおよびApex Central (SaaS) で確認された複数の脆弱性について(2025年6月)
- アラート/アドバイザリ:ウイルスバスター ビジネスセキュリティおよびウイルスバスター ビジネスセキュリティサービスで確認された複数の脆弱性について(2025年6月)
セキュリティ脆弱性のいくつかは深刻度が緊急と分析されているなど、迅速な対応が求められている。企業や組織では対象製品を利用している環境に対して速やかな対応を取ることが望まれている。
Ivantiの脆弱性を悪用した持続的侵害:VPN機器を起点とした標的型攻撃、横展開・永続化手法に警戒を
JPCERT/CCは7月18日、Ivanti Connect Secureの脆弱性を起点とした継続的な侵害活動について多様なマルウェアと攻撃手法の実態を明らかにした。JPCERT/CCでは現在まで継続してIvanti Connect Secureの脆弱性を悪用する攻撃活動を確認しており、2024年12月から2025年7月までのCVE-2025-0282やCVE-2025-22457を悪用するサイバー攻撃者の手口について取り上げている(参考「Ivanti Connect Secureの脆弱性を起点とした侵害で確認されたマルウェア - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ」)。
サイバー攻撃者は、MDifyLoaderを用いたDLLサイドローディングによるCobalt Strikeの展開や、vshellおよびFscanといったツールの使用により侵入後の活動を高度に組織化している。MDifyLoaderでは実行ファイルのMD5ハッシュをRC4の鍵に用いるなど、複雑なロジックで解析妨害を図る設計が見られる。攻撃に使用されたvshellには中国語環境の検出機能が含まれ、複数の設置試行が確認されている。Fscanについても正規ファイルと組み合わせた高度なステルス実行が行われており、防御回避を意識した設計が目立つとしている。
組織内に侵入したサイバー攻撃者は、AD認証情報のブルートフォース取得やMS17-010の悪用、RDPやSMBを用いた横展開、さらにはアカウントの不正作成やタスクスケジューラを活用した永続化を行っていた。これらの一連の活動は、高度かつ持続的な標的型攻撃の特徴を有しており、一般的な運用では検出・排除が困難となる。
本報告はVPN機器を起点とする侵害の現実的脅威を再認識させるものだ。企業や組織は、Ivanti製品を含むインフラ機器の脆弱性対応に加え、横展開・永続化・防衛回避といった後続の攻撃ステップにも警戒を強めるべきだ。継続的な監視、ログ分析、セキュリティアップデートの徹底が、被害抑止に不可欠と言える。
IPA、Oracle Javaの深刻な脆弱性に注意喚起:SE 8〜24が対象
情報処理推進機構(IPA:Information-technology Promotion Agency, Japan)は7月16日、Oracle Javaに関する複数の脆弱性について注意喚起を発表した。これらの脆弱性は、悪用された場合にアプリケーションの異常終了や攻撃者によるパソコンの制御といった深刻な影響をもたらす可能性がある。IPAは影響の重大性を鑑み、利用者に対して早急なセキュリティ更新プログラムの適用を強く推奨している(参考「Oracle Java の脆弱性対策について(2025年7月) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構」)。
対象となるのは、サポート中のOracle Java SE 8からSE 24までの複数バージョンであり、各バージョンに対する最新版の提供がOracleから行われている。
影響を受ける製品およびバージョンは次のとおり。
- Oracle Java SE 24.0.1
- Oracle Java SE 21.0.7
- Oracle Java SE 17.0.15
- Oracle Java SE 11.0.27
- Oracle Java SE 8 Update 451-perf
- Oracle Java SE 8 Update 451
アップデートはOracleの公式サイト「Java Downloads | Oracle」から可能。ただし、2019年4月16日以降にリリースされたJavaについてはライセンス形態が変更されており、商用利用を行う組織はライセンス内容を確認し、有償サポートの検討を含めた適切な対応を行う必要がある。IPAはライセンスの詳細について案内しておらず、必要に応じてOracleへ直接の問い合わせるよう求めている。
IPAは関連情報として、Oracleの「Oracle Critical Patch Update Advisory - July 2025」やJavaのバージョン確認が可能な「MyJVN - MyJVNバージョンチェッカ for .NET」などのツールを案内している。さらに、自組織のWebサイト上にIPAのセキュリティ情報をリアルタイム表示できる「サイバーセキュリティ注意喚起サービス「icat for JSON」」の活用も推奨しており、これらのリソースを通じて継続的な脆弱性対策の強化を呼びかけている。
2025年6月のフィッシング報告 - .cnドメイン急増、URLリダイレクト手法に警戒を
フィッシング対策協議会は7月18日、2025年6月におけるフィッシング報告状況を発表した。報告件数は192,870件で、前月比36,666件(約16.0%)の減少となった。これは証券会社による多要素認証の必須化など、不正利用対策の強化が奏功したと見られる。一方、フィッシングに悪用されたブランド件数は94件で、AppleやANAを装ったケースが増加した。報告件数全体では、上位5ブランドで約50.5%を占め、依然として大手サービスを狙った攻撃が顕著だ(参考「フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2025/06 フィッシング報告状況」)。
フィッシングサイトのURL数(重複なし)は60,107件で、前月より4,167件増加した。TLD別では「.cn」が急増し全体の26.6%を占めた。また、Google翻訳のURLをリダイレクトに悪用する手法も多く報告された。差出人を偽装する「なりすまし」フィッシングメールは増加傾向にあり、DMARCが「none」もしくは未対応のドメインが狙われやすいことが明らかになった。逆引き設定のないIPアドレスからの送信も再び増加しており、全体の91.0%を占めている。
対策として、メールサービス事業者にはDMARCや逆引き(PTR)設定の徹底、FCrDNS認証の導入などが推奨されている。DMARCポリシーを「reject」へ変更し、BIMIによるブランドロゴ表示を通じて、正規メールの識別性を高めることが重要とされる。日本政府も2024年からDMARC対応を強く推進しており、今後はメールセキュリティの基本要件として正式運用が期待される。EC事業者においてもガイドラインに基づき、不正ログインや不正決済対策の強化が求められている。
利用者に対しては、パスキーや多要素認証の利用、怪しいURLへのアクセス回避、正規メールを見分けるためのアイコンや認証表示の確認などが呼びかけられている。SMSから誘導されるスミッシングへの注意が必要であり、正規アプリの利用やパスワードマネージャーによるログインが推奨される。また、正規の送信者であるかを確認したうえで、不審な通知が届いた場合は各サービスの公式窓口へ連絡するよう促されている。
フィッシングと判断がつかないメールやSMSを受け取った際は、サービス事業者やフィッシング対策協議会への報告が求められている。不審メールに含まれる無意味な文字列や偽装URL、偽ドメインなどは、迷惑メールフィルターをすり抜けるために頻繁に手法が変えられているため、関係機関と利用者の連携による迅速な情報共有と対策強化が重要になる。
フィッシング詐欺は依然としてサイバー攻撃の初期ベクトルとして積極的に悪用されている。常に警戒を怠ってはならない分野あり、フィッシング対策協議会の報告を定期的に従業員や役員間で共有し、継続した警戒感を持つようにしていこう。
14,000件超のインシデント報告から読み解く日本のサイバーリスク
JPCERT/CCは7月17日、2025年4月から6月までの活動を取りまとめた四半期レポートを公表した。当該期間中、14,558件のインシデント報告を受け、そのうち3,544件に関して国内外の関係組織と調整を行った。フィッシングサイトに関する報告が全体の約88%を占め、国内ブランドを騙るものが多かった。Webサイト改ざんの報告件数は前四半期から143%増加し、偽CAPTCHA表示や不正なプラグイン設置といった手口が確認された(参考「JPCERT/CC 四半期レポート[2025年4月1日~2025年6月30日]」)。
脆弱性に関しては、Ivanti Connect Secure(CVE-2025-22457)やActive! mail(CVE-2025-42599)、Ivanti Endpoint Manager Mobile(CVE-2025-4427、4428)に関する深刻な脆弱性が公表され、JPCERT/CCは速やかに注意喚起を実施した。これらの脆弱性は実際に悪用された事例も確認されており、国内の関係組織に個別通知を行うなどして被害の最小化に努めている。
観測活動では、インターネット定点観測システム「TSUBAME」により、不審な通信の分析を実施した。Telnet(23/TCP)へのパケットが多く、探索活動の傾向としてWeb関連ポート(80/TCP、443/TCPなど)に対する通信の増加が見られた。また、ハニーポットの運用を通じて攻撃手法の分析も進められ、観測結果を防犯ガイドの作成にも活用した。
JPCERT/CCは、得られた脅威情報を注意喚起や週次レポート、CyberNewsFlashなど多様な形で公開し、登録制プラットフォーム「CISTA」を通じて早期警戒情報や個別対応情報を提供した。本四半期には、合計65件の個別情報提供を実施し、特定組織へのリスク低減支援を行った。
JPCERT/CCの活動は、単なるインシデント対応にとどまらず、情報提供・連携強化・予防的措置の促進まで多岐にわたる。レポートでは今後も情報の受け手にとって有益な形で提供できるよう活動の継続的改善を進めていく姿勢が示されており、日本のサイバーセキュリティ基盤強化への貢献が期待される。
Wing FTP ServerとFortinet製品に脆弱性、CISAが警告
米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、7月14日~20日にカタログに3つのエクスプロイトを追加した。
- CISA Adds One Known Exploited Vulnerability to Catalog | CISA
- CISA Adds One Known Exploited Vulnerability to Catalog | CISA
- CISA Adds One Known Exploited Vulnerability, CVE-2025-53770 “ToolShell,” to Catalog | CISA
CISAが追加したエクスプロイトは次のとおり。
影響を受ける製品およびバージョンは次のとおり。
- Wing FTP Server 0から7.4.4より前のバージョン
- Fortinet FortiWeb 7.6.0から7.6.3までのバージョン
- Fortinet FortiWeb 7.4.0から7.4.7までのバージョン
- Fortinet FortiWeb 7.2.0から7.2.10までのバージョン
- Fortinet FortiWeb 7.0.0から7.0.10までのバージョン
- Microsoft SharePoint Server 2019 (x64-based Systems) 16.0.0から16.0.10417.20037より前のバージョン
- Microsoft SharePoint Server Subscription Edition (x64-based Systems) 16.0.0から16.0.18526.20508より前のバージョン
CISAは7月14日から20日の間に、実際に悪用されている脆弱性としてCVE-2025-47812およびCVE-2025-25257を新たにカタログへ追加した。影響を受ける製品にはWing FTP Serverおよび複数バージョンのFortinet FortiWebが含まれており、対象となる組織や管理者は迅速なパッチ適用やリスク評価を行うことが求められている。
Microsoft SharePoint ServerのCVE-2025-53770にも注意が必要だ。サイバー攻撃者によるネットワーク経由でのコード実行を許可してしまう脆弱性であり、すでに悪用が確認されている。深刻度はCVSSv3.1のスコア値で9.8の緊急であり、該当する製品を使用している場合には迅速に緩和策の実施と、アップデート提供後には確実な適用が望まれている。該当する製品を使用している場合には迅速に対応しよう。
* * *
今回紹介した情報は、単なる個別の脆弱性や攻撃事例にとどまらず、攻撃者の戦術やトレンドの変化を示している。VPN機器やJavaのように広範に使用されるインフラやソフトウェアに対する攻撃が目立っており、組織や個人は予防的かつ継続的な防御が不可欠となる。
企業やユーザーには使用している製品のセキュリティアップデート状況を常に確認し、公式アドバイザリーや注意喚起に迅速に対応することが求められる。フィッシングや横展開型攻撃への備えとして、ログ監視や多要素認証などの基本対策の再徹底が重要だ。