2025年7月第4週、JPCERT/CCやCISAは複数の深刻な脆弱性を公表した。エレコムおよびTP-Link製ルーター・NVRでは、任意コード実行やクリックジャッキングが可能な脆弱性が確認された。また、WordPressのmu-pluginsを悪用したマルウェアも報告された。さらに、CrushFTP、Chrome、SharePointなどの脆弱性がCISAの既知悪用リストに追加され、対策が急がれている。

連載のこれまでの回はこちらを参照

7月21日~27日の最新サイバーセキュリティ情報

本稿では、7月21日から27日にかけて公表された最新のサイバーセキュリティ脅威と、それに関して推奨される対策について紹介する。JPCERT/CCおよびCISAの発表に基づき、ネットワーク機器やCMS、Webブラウザなどに発見された重大な脆弱性とその影響範囲を整理する。

対象となる機器は、エレコムやTP-Linkの無線LANルーター、監視機器、WordPressの特定プラグイン、Google Chrome、CrushFTP、Microsoft SharePointなど。

それでは以降で詳しく見ていこう。

エレコム無線LANルーター、任意コード実行のリスクでアップデートを推奨

JPCERTコーディネーションセンター(JPCERT/CC:Japan Computer Emergency Response Team Coordination Center)は7月22日、エレコムが提供する一部の無線LANルーターに複数の脆弱性が存在することを公表した。対象となる製品は「WRC-BE36QS-B」および「WRC-W701-B」の各バージョン1.1.3およびそれ以前とされている。これらの機種において、セキュリティ上の不備により、攻撃者に悪用される可能性があることが明らかとなった(参考「JVNVU#91615135: エレコム製無線LANルータにおける複数の脆弱性」)。

セキュリティ脆弱性のひとつは、ドキュメント化されていないデバッグ機能が有効化される問題(CVE-2025-46267)だ。この脆弱性はCVSS 4.0の評価で基本値6.9、CVSS 3.1では4.9とされており、Web管理画面にアクセス可能な攻撃者が特定の操作を行うことで意図せずデバッグ機能が有効化されるおそれがある。これにより、システムの安全性や信頼性に影響を及ぼす可能性があるとされる。

もうひとつの深刻な脆弱性は、Web管理画面におけるOSコマンドインジェクション(CVE-2025-53472)だ。CVSS 4.0では基本値8.6、CVSS 3.1では7.2と高い評価がなされており、攻撃者が管理画面にログインできる状態であれば、任意のOSコマンドを実行される危険がある。この脆弱性は、情報漏えい、権限の不正取得、システムの破壊など、重大な被害につながるおそれがある。

JPCERT/CCは、これらの脆弱性に対する対策として、該当製品のファームウェアを最新バージョンにアップデートすることを強く推奨している。エレコムも公式に当該製品の脆弱性を認め、7月22日付けで告知ページを公開している(参考「無線LANルーターのセキュリティ向上のための ファームウェアアップデート実施のお知らせ | エレコム株式会社 ELECOM」)。

  • 無線LANルーターのセキュリティ向上のための ファームウェアアップデート実施のお知らせ|エレコム株式会社 ELECOM

    無線LANルーターのセキュリティ向上のための ファームウェアアップデート実施のお知らせ | エレコム株式会社 ELECOM

利用者は速やかに対策を講じ、システムの安全を確保することが求められている。

TP-Link製ネット機器に複数の深刻な脆弱性、すぐに確認と対応を

JPCERT/CCは7月24日と25日に、TP-Linkネットワーク機器に複数の深刻な脆弱性が確認されたとして注意喚起を発表した。対象となったのは、VIGI NVRシリーズの「NVR1104H-4P」「NVR2016H-16MP」、および無線LANルーター「Archer C1200」だ。これらの製品にはそれぞれOSコマンドインジェクションやクリックジャッキングといったセキュリティ上の重大な問題が存在している(参考「JVNVU#97303438: TP-Link製VIGI NVR1104H-4PおよびVIGI NVR2016H-16MPにおけるOSコマンドインジェクションの脆弱性」「JVN#39913189: TP-Link製Archer C1200におけるクリックジャッキングの脆弱性」)。

VIGI NVR1104H-4PおよびVIGI NVR2016H-16MPに関しては、複数のOSコマンドインジェクションの脆弱性(CWE-78)が報告されており、CVE-2025-7723およびCVE-2025-7724として識別されている。CVE-2025-7723は管理者権限を持つ認証済みユーザーが任意のコマンドを実行できるものであり、CVE-2025-7724は未認証の攻撃者による攻撃を許す、より深刻な内容となっている。

これらの脆弱性の深刻度はCVSS 4.0で最大8.7、3.1でも8.8と評価されており、標的となったネットワーク機器を完全に制御されるおそれがある。攻撃者がこの脆弱性を悪用した場合、監視システムやネットワークインフラの機密性・完全性・可用性全てに深刻な影響を与える可能性がある。

JPCERT/CCは、VIGI NVRシリーズの対象ファームウェア(NVR1104H-4P: Build 250518以前、NVR2016H-16MP: Build 250407以前)を使用しているユーザーに対して、直ちにTP-Linkが提供する最新ファームウェアへのアップデートを実施するよう強く推奨している(参考「Statement on authenticated and unauthenticated command injection on VIGI NVR1104H-4P V1 and VIGI NVR2016H-16MP V2 (CVE-2025-7723 and CVE-2025-7724) | TP-Link」)。

  • Statement on authenticated and unauthenticated command injection on VIGI NVR1104H-4P V1 and VIGI NVR2016H-16MP V2 (CVE-2025-7723 and CVE-2025-7724)|TP-Link

    Statement on authenticated and unauthenticated command injection on VIGI NVR1104H-4P V1 and VIGI NVR2016H-16MP V2(CVE-2025-7723 and CVE-2025-7724)| TP-Link

一方、Archer C1200に関しては、クリックジャッキング(CWE-1021)の脆弱性(CVE-2025-6983)が確認されている。CVSSスコアは最大でも5.1と、VIGI NVRの脆弱性と比べると相対的に低いが、ユーザーの操作を不正に誘導する可能性があるため警戒が必要だ。

クリックジャッキングはユーザーが見えていないUI要素をクリックさせる手法であり、Archer C1200の管理Webアプリケーションにログインした状態で悪意あるWebページにアクセスすると、意図しない操作が実行される危険性がある。これはユーザーの信頼性を悪用する社会的攻撃手法の一種と言える。

  • Statement on Clickjacking vulnerability on the management web application of TP-Link Archer C1200 (CVE-2025-6983)

    Statement on Clickjacking vulnerability on the management web application of TP-Link Archer C1200(CVE-2025-6983)

TP-Linkによれば、Archer C1200はすでにサポートを終了しており、修正パッチの提供予定はない。そのため、同社およびJPCERT/CCは、旧製品の使用を中止し、後継製品への移行を推奨している。企業・組織で使用している場合は、速やかな機器更新が求められる(参考「Statement on Clickjacking vulnerability on the management web application of TP-Link Archer C1200(CVE-2025-6983)」)。

見逃されるマルウェア:WordPressのmu-pluginsを悪用した攻撃手法

Sucuriは7月22日(現地時間)、WordPressサイトを標的とした巧妙なマルウェアについての分析を公開した。このマルウェアは、一般的なユーザーがほとんど目にしない「mu-plugins」フォルダ内に隠されており、検出されにくい構造を持つ。mu-plugins(Must-Use Plugins)は自動的に有効化され、管理画面から無効化することができないため、攻撃者にとっては都合の良い隠れ場所となる。今回発見された悪質なスクリプトは外部のペイロードを取得して実行するローダーとして機能し、継続的なサイト支配を可能にしている(参考「Uncovering a Stealthy WordPress Backdoor in mu-plugins」)。

  • Uncovering a Stealthy WordPress Backdoor in mu-plugins

    Uncovering a Stealthy WordPress Backdoor in mu-plugins

問題のファイルは「wp-content/mu-plugins/wp-index.php」に存在し、ROT13という簡易的な文字列変換手法を用いてURLを難読化していた。これは単なる難読化であり暗号化ではないが、セキュリティ対策を回避する目的で悪用されることがある。スクリプトはこのROT13で隠されたURLを復号し、リモートサーバーからbase64でエンコードされたペイロードを取得する。取得されたペイロードは一時的にディスク上に保存され実行された後、即座に削除されるため、痕跡が少ないという特徴がある。

ペイロードには、テーマディレクトリ内に「pricing-table-3.php」というファイルマネージャーを挿入し、ファイルの閲覧・アップロード・削除といった操作を可能にする機能が含まれていた。また、攻撃者は「officialwp」という名前の隠れ管理者ユーザーを作成し、管理者権限を与えていた。この他、別のマルウェアである「wp-bot-protect.php」も同様に外部からダウンロードされ、強制的に有効化されることで、再感染も実現している。

さらに深刻なのは、攻撃者が「admin」「root」「wpsupport」などの一般的な管理者ユーザーのパスワードを強制的に変更し、自分自身のアクセス権を保持しつつ正規管理者の排除を行う機能だ。この機能により、管理者が対処を試みても、攻撃者は再び容易にサイトへ侵入できる状態が保たれる。攻撃者はサイトの完全な管理権限を掌握し、さらなるマルウェアのインストール、ランサムウェア攻撃、あるいは他のサイトへの攻撃拠点としての悪用が可能となる。

このような攻撃を防ぐためには、WordPress本体やプラグイン、テーマを常に最新の状態に保つことが重要だ。また、信頼できる提供元以外からプラグインやテーマをインストールしない、強力かつユニークなパスワードを使用する、2要素認証を導入するなどの基本的なセキュリティ対策が求められる。加えて、mu-pluginsフォルダを含め、テーマやプラグイン以外の場所にも定期的なセキュリティスキャンを行うことが不可欠と言える。

Sucuriは、今回のように巧妙に隠されたバックドアの存在が、従来のマルウェアスキャンでは見落とされやすいことを強調している。mu-pluginsやデータベース内に埋め込まれた悪質コードは検出が困難で、サイトの完全なクリーンアップには専門的な対応が必要となる。感染が疑われる場合には、迅速にセキュリティ専門家による診断と駆除を依頼し、継続的な監視体制を整えることが、再発防止への最善策となる。

WordPressのようにユーザー数が膨大なプロダクトはサイバー攻撃者にとって格好の標的となる。サイバー攻撃者は常に穴を探し、それを巧妙に利用してシステムへ侵入してくる。まず、全てのソフトウェアにこうしたリスクがあることを認識する必要があり、そうしたリスクを前提として企業におけるシステム構築や運用、メンテナンスに取り組んでいく必要がある。

CrushFTP・Chrome・SharePointに影響、新たな既知の悪用脆弱性を脆弱性カタログに追加

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、7月21日~27日にカタログに6つのエクスプロイトを追加した。

CISAが追加したエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • CrushFTP 10から10.8.5より前のバージョン
  • CrushFTP 11から11.3.4_23より前のバージョン
  • Google Chrome 138.0.7204.157から138.0.7204.157より前のバージョン
  • SysAid On-Prem 0から23.3.40までのバージョン
  • Microsoft SharePoint Enterprise Server 2016 (x64-based Systems) 16.0.0から16.0.5508.1000より前のバージョン
  • Microsoft SharePoint Server 2019 (x64-based Systems) 16.0.0から16.0.10417.20027より前のバージョン
  • Microsoft SharePoint Server Subscription Edition (x64-based Systems) 16.0.0から16.0.18526.20424より前のバージョン

CISAが今回公表した新たな既知の悪用脆弱性は、主要なソフトウェアやサービスに影響を与えるものであり、関係組織に対して迅速なパッチ適用や対策の実施が求められる。対象となる製品にはCrushFTP、Google Chrome、SysAid、Microsoft SharePointが含まれており、これらの利用者はCISAの勧告やカタログを参照し、最新のセキュリティ情報に基づいた対応を行うことが期待されている。

* * *

今回取り上げた脆弱性は、いずれもユーザーが知らぬ間にデバイスやシステムを乗っ取られる危険性を孕んでいる。mu-pluginsを悪用する手口のように、可視性の低い場所に仕込まれるマルウェアは検出困難であり、定期的な監査が欠かせない。

企業・個人を問わず、使用中の機器やソフトウェアのセキュリティ情報を常に把握し、アップデートを怠らない体制が求められる。脆弱性を他人事とせず、自衛策を確実に講じることで、安全なIT環境を維持していくことが重要だ。

参考