8月4日〜10日に公表された主要なサイバー脅威として、DellノートPCのファームウェア脆弱性「ReVault」、Google Geminiを悪用するTargeted Promptware攻撃、TP-LinkルーターやTrend Micro企業向け製品の深刻な欠陥、エプソン・富士フイルム製品の認証情報問題、SMBC日興証券を装うフィッシング、D-Link旧機種の既知悪用脆弱性が確認された。これらは物理侵入やゼロクリック型攻撃、暗号鍵漏えいなど多様で、影響は広範かつ深刻だ。最新ファームウェア適用、不要機能の無効化、認証強化、旧製品からの移行が喫緊の対策である。
8月4日~10日の最新サイバーセキュリティ情報
本稿では2025年8月4日から10日にかけて公表された最新のサイバーセキュリティ情報を取り上げる。対象はDell製ノートPCの深刻なファームウェア脆弱性「ReVault」、Google Geminiを狙った新しいプロンプトインジェクション手法、複数のネットワーク機器や企業向け製品の高リスク脆弱性、実際に発生しているフィッシング詐欺事例など。
各脆弱性や攻撃手法の技術的概要、影響範囲、想定される攻撃シナリオ、推奨される対策について説明し、読者が直ちに実施可能なセキュリティ強化策を提示することを目的としている。ハードウェアレベルの欠陥や生成AIの脆弱性といった、従来の防御モデルでは見落とされがちな領域への警戒を喚起する。
それでは以降で詳しく見ていこう。
Dell製ノートPCに物理・ローカル攻撃を可能にする脆弱性、100機種以上に影響
Cisco Talos Intelligence Groupは8月5日(米国時間)、Dell製ノートパソコンのControlVault3ファームウェアおよび関連Windows APIに存在する5件の脆弱性を公表し、これらを総称して「ReVault」と命名した。影響を受けるのは100以上のDellノートPCモデルであり、未修正のままではWindows再インストール後も残存する永続的な攻撃や、物理的アクセスによるWindowsログイン回避、ローカルユーザーによる管理者権限取得が可能となる危険性があるとしている(参考「ReVault! When your SoC turns against you…」)。
-
ReVault! When your SoC turns against you…
Dell ControlVaultは、パスワードや生体認証テンプレート、セキュリティコードをファームウェア内で安全に保管するハードウェアベースのセキュリティ機能で、Unified Security Hub(USH)と呼ばれる子基板(ドーターボード)上で動作する。ControlVault3およびControlVault3+はLatitudeやPrecisionシリーズを中心に広く搭載され、政府機関やサイバーセキュリティ業界などの厳しい環境下で使用されるRuggedモデルで利用されている。
公表された脆弱性には、複数のバッファーオーバーフロー(CVE-2025-24311、CVE-2025-25050)、任意のメモリー解放(CVE-2025-25215)、スタックオーバーフロー(CVE-2025-24922)、Windows APIにおける安全でないデシリアライズ(CVE-2025-24919)が含まれる。これらは組み合わせて悪用可能で、ファームウェア改変による持続的なバックドア設置やセキュリティ機能の無効化を引き起こす恐れがある。
攻撃シナリオとしては、非管理者権限のWindowsユーザーがAPI経由でControlVaultファームウェアにコード実行を仕掛け、鍵情報の抽出やファームウェア改変を行う「ポストコンプロマイズ攻撃」と、物理的にPCを開封してUSH基板に直接アクセスすることでログインや暗号化を回避する「物理攻撃」が想定される。後者では指紋認証を任意の指紋で通過可能にする改変も可能とされている。
対策として、最新ファームウェアの適用、未使用のセキュリティ周辺機器やControlVaultサービスの無効化、リスクが高い場面での指紋認証停止、BIOSでの筐体侵入検知有効化が推奨される。また、WindowsログやCisco Secure Endpointでの異常検知により攻撃の兆候を確認できる。Talosは、ハードウェアファームウェアの脆弱性が高度なセキュリティ機能をも迂回し得ることを示し、OSやソフトウェアのみならずハードウェア全体のセキュリティ評価の重要性を強調している。
カレンダー招待から侵入、Google Geminiを狙う新手法「ターゲティッド・プロンプトウェア攻撃」の全貌
SafeBreachは8月6日(米国時間)、GoogleのGemini for Workspaceを標的とした新たな「ターゲティッド・プロンプトウェア(Targeted Promptware)攻撃」手法を発表した。本研究は、生成AIやLLMを組み込んだアプリケーションに対し、Googleカレンダー招待状に間接プロンプトインジェクションを埋め込むことで、遠隔から被害者の環境を制御する攻撃を実証したものだ。攻撃により、被害者の位置特定、ビデオストリーミング、メールの窃取、カレンダー予定の削除、スマート家電の操作が可能となることが確認された。研究者らは、この脅威は従来軽視されがちだったプロンプトウェア攻撃の現実性と深刻性を示すものだと強調している(参考「Invitation Is All You Need: Hacking Gemini | SafeBreach」)。
-
Invitation Is All You Need: Hacking Gemini | SafeBreach
今回のTargeted Promptware攻撃は、GeminiのWeb版、モバイル版、Android向け音声アシスタントを対象に実施された。攻撃の特徴は、ユーザーが「今日の予定は?」などとGeminiに尋ねると、悪意のあるカレンダー招待がコンテキストに読み込まれ、Geminiが自動的に関連エージェントやツールを起動して不正な行動をとる点にある。これにより、アプリ間の境界を超えた横展開攻撃や、物理環境への影響が可能となることが実証された。さらに、遅延ツール呼び出しやURLリダイレクトを悪用することで、開発者の防御策を回避する手法も明らかにされた。
SafeBreachは攻撃技術として、スパム送信、毒性コンテンツ生成、カレンダー予定削除、スマートホーム機器の遠隔操作、位置情報の取得、Zoom会議の強制参加、データ流出など複数のシナリオを提示した。Android Utilitiesエージェントを介したアプリ起動やリンク開封を利用すれば、被害者のIPアドレス特定やアプリ特定画面への誘導が可能であることも判明した。また、Gmail経由での情報流出も可能であり、メール件名などの機密情報を外部サーバに送信できることが確認された。
脅威分析とリスク評価(TARA)の結果、提示されたPromptware攻撃の73%が「高~重大」リスクに分類された。これらの攻撃は高度な専門知識や特別な装備を必要とせず、ゼロクリック型や大規模拡散型などの新たな亜種が出現する可能性も指摘されている。SafeBreachはプロンプトウェア攻撃がLLM統合アプリ全般にとって重大な脅威であり、即時の防御策導入が必要であると警告している。
本研究結果は2025年2月にGoogleへ責任あるかたちで開示され、Googleは複数の防御策(機密操作時の確認強化、URLハンドリング改善、プロンプトインジェクション検知の導入)を展開した。SafeBreachはBlack Hat USAやDEF CON 33などで本研究を公開し、業界全体でPromptwareのリスク認識と防御強化を促している。
TP-Link Archer C50にハードコード鍵の脆弱性、JPCERT/CCが利用停止を勧告
JPCERTコーディネーションセンター(JPCERT/CC:Japan Computer Emergency Response Team Coordination Center)は8月5日、TP-Link製ルーターArcher C50において、ハードコードされた暗号鍵が使用されている脆弱性(CVE-2025-6982)が存在すると公表した。当該製品は設定ファイルを暗号化して保存しているが、暗号化方式にDESのECBモードが使用され、さらに鍵がファームウェア中に埋め込まれているため、同一ファームウェアを使用する機器で同一鍵が利用される。このため、鍵を入手すれば暗号化された設定ファイルを復号できる危険性がある(参考「JVNVU#97735345: TP-Link製ルーターArcher C50におけるハードコードされた暗号鍵使用の脆弱性」)。
-
Statement on Hardcoded DES Decryption Keys in TP-Link Archer C50 V3/V4/V5(CVE-2025-6982)
本脆弱性が悪用された場合、管理者アカウントの認証情報、Wi-FiのSSIDやパスワード、内部ネットワーク構造など、設定ファイル内に保存された機密情報が第三者に取得される可能性がある。影響を受ける製品はサポートが終了しておりセキュリティ修正の提供が期待できないため、利用継続は重大なリスクを伴う。攻撃者はこれらの情報を基に、不正アクセスやネットワーク侵害を行う恐れがある。
影響を受ける製品およびバージョンは次のとおり。
- TP-Link Archer C50 V3 ファームウェアバージョン 180703およびそれより前のバージョン
- TP-Link Archer C50 V4 ファームウェアバージョン 250117およびそれより前のバージョン
- TP-Link Archer C50 V5 ファームウェアバージョン 200407およびそれより前のバージョン
JPCERT/CCは、該当製品の使用を直ちに停止し、後継機種への移行を推奨している。開発元のTP-Linkも同様に利用停止を呼びかけており、利用者はベンダー提供の最新情報を確認することが望まれている。
Trend Micro企業用製品に深刻な脆弱性、JPCERT/CCが緊急注意喚起
JPCERT/CCは8月6日、トレンドマイクロの企業用エンドポイントセキュリティ製品において複数のOSコマンドインジェクション脆弱性が存在すると発表した(参考「JVNVU#92409854: トレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数のOSコマンドインジェクションの脆弱性」「Trend Micro 製品の脆弱性対策について(CVE-2025-54948等) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構」「トレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数のOSコマンドインジェクションの脆弱性に関する注意喚起」)。
対象の脆弱性はCVE-2025-54948およびCVE-2025-54987であり、CVSS基本値はそれぞれCVSS v4.0基準で8.8およびCVSS v3.0基準で9.4と高く評価されている。CVE-2025-54948については、悪用事例が確認されており、緊急性が高い状況にある。これらの脆弱性は認証無しで遠隔の攻撃者による任意コード実行を可能にする。
-
Trend Micro Apex Oneで確認された管理コンソールに対するコマンドインジェクションによるリモートコード実行の脆弱性(CVE-2025-54948、CVE-2025-54987)
影響を受けるシステムは次のとおり。
- Trend Micro Apex One 2019 SP1
- Trend Micro Apex One SaaS
- Trend Vision One Endpoint Security - Standard Endpoint Protection
対策として、Apex One 2019 SP1利用者は開発者が提供するFixtoolを適用する必要がある。恒久対策としてCritical Patchが2025年8月中旬に公開予定とされている。一方、Apex One SaaSおよびTrend Vision One Endpoint Security - Standard Endpoint Protectionは7月31日のメンテナンスで修正済み。JPCERT/CCは、該当製品利用者に速やかな対策適用を強く推奨している。
JPCERT/CC、エプソンおよび富士フイルム関連製品の高リスク脆弱性を公表
JPCERT/CCは2025年8月7日、セイコーエプソンが提供する複数の製品において、脆弱な認証情報の使用に関する脆弱性(CVE-2025-35970)が存在すると公表した。当該脆弱性は、初期設定されている管理者パスワードがSNMPで取得可能な情報から容易に推測できるというものであり、ネットワーク経由で攻撃者が管理者権限を取得する可能性がある。CVSS基本値はCVSS v4.0評価で8.7、CVSS v3.1評価で7.5とされ、深刻度は高い(参考「JVNVU#91363496: 複数のセイコーエプソン製品における脆弱な認証情報の使用の脆弱性」)。
-
プリンター、スキャナーおよびネットワークインターフェイス製品のシリアル番号をSNMP経由で入手することにより管理者ログインできる脆弱性について | エプソン
影響を受ける製品は、セイコーエプソン製のプリンター、スキャナー、ネットワークインターフェイス製品だ。富士フイルムの製品にも関連する影響が確認されており、各ベンダーは脆弱性に関する告知ページを公開している。詳細な対象製品や影響範囲については、各ベンダーが提供する情報を参照する必要がある(参考「Important Notice | Fujifilm [Global]」)。
推奨される対策としては、管理者パスワードを初期値から変更し適切に管理すること、ファイアウォールなどで保護された環境での利用、プライベートIPアドレスでの運用が挙げられる。
SMBC日興証券を装うフィッシング詐欺発生、緊急注意喚起
フィッシング対策協議会は8月4日~10日の間に次の1件の緊急情報を発表した。
フィッシング対策協議会は8月6日、SMBC日興証券を装ったフィッシング詐欺の発生を報告した。確認された偽メールの件名には「約定通知メール(簡易版)」や「配当金入金お知らせメール」などがあり、これ以外の件名も利用されている可能性がある。当該時点でフィッシングサイトは稼働中であり、JPCERT/CCが閉鎖対応を進めているが、類似サイトの新規公開も予想されるため、継続的な警戒が求められる。
フィッシングサイトは本物の画面を模してつくられることが多く、外見での判別は難しい。ログイン時にはメールやSMSのリンクを使用せず、公式アプリやWebブラウザのブックマークからアクセスするなど、安全な経路を確保する必要がある。また、パスキーや多要素認証などの追加認証手段を設定し、パスワードマネージャーを活用して正規サイトかどうかを確認することが推奨される。
-
フィッシング詐欺等による不正なログインや取引 | SMBC日興証券
フィッシングメールの受信は、メールアドレスの漏えいを示唆しており、漏えい情報は犯罪者間で取引され削除できない。大量の詐欺メールが届く場合は新しいメールアドレスへの移行を検討し、正規メールに識別アイコンやマークが付与されるサービスを利用するのが望ましい。フィッシングサイトや詐欺メールを発見した場合は、フィッシング対策協議会への報告が求められ、情報を入力してしまった場合は公式サイトの「よくあるご質問/お問い合わせ」を参照して、適切な対応を取ることが望まれている。
D-Link旧バージョンに重大脆弱性、CISAが悪用事例を報告
米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、8月4日~10日にカタログに3つのエクスプロイトを追加した。
CISAが追加したエクスプロイトは次のとおり。
影響を受ける製品およびバージョンは次のとおり。
- D-Link DCS-2530L 1.06.01 Hotfixよりも前のバージョン
- D-Link DCS-2670L 2.02までのバージョン
- D-Link DNR-322L 2.60B15およびこれよりも前のバージョン
今回CISAが既知の悪用脆弱性カタログに追加した3件のエクスプロイトは、いずれもD-Link製ネットワーク機器に存在する深刻な脆弱性であり、旧バージョンを使用している環境では遠隔からの不正アクセスやシステム侵害につながる危険性が高い。影響範囲は特定機種に限定されるものの、すでに悪用が確認されていることから、該当製品の利用者は速やかに最新版への更新または製品の置き換えを行い、関連するネットワークセキュリティ対策を強化することが大切だ。
* * *
本稿で紹介した事例は、OSやアプリケーションの脆弱性に限らず、ハードウェア、ネットワーク機器、生成AI連携アプリ、さらにはユーザー認証や日常利用のメールまで、攻撃対象が多層化・多様化している現状を示すものだ。攻撃者は物理アクセス、プロンプトインジェクション、暗号鍵解析など、さまざまな手口を組み合わせ、より巧妙かつ持続的な侵害を狙っている。
利用者や組織は、製品ベンダーのセキュリティ情報を定期的に確認し、パッチ適用や設定変更、不要機能の停止、強固な認証方式の導入を即時に実行することが求められる。サポート終了製品の継続利用は重大リスクを伴うため、後継機種への移行や代替ソリューション導入を早急に検討すべきと言える。
Windows 11、次の更新プログラムで導入予定の注目の新機能
