8月11日~17日にかけて公表されたサイバーセキュリティ関連情報を取り上げる。Microsoftは累積更新プログラムで111件の脆弱性を修正し、そのうち5件は緊急度が高い。WordPressプラグイン「Database for Contact Form 7」には認証不要で悪用可能な重大脆弱性が報告された。CISAはWinRARやMicrosoft Office関連の既知エクスプロイトを警告。さらに日本語「ん」を用いた巧妙なフィッシング攻撃も発見され、利用者への注意喚起が強調された。

連載のこれまでの回はこちらを参照

8月11日~17日の最新サイバーセキュリティ情報

本記事では、2025年8月11日~17日の間に報告された最新のサイバーセキュリティ動向について解説する。Microsoftによる大規模なセキュリティ更新やWordPressプラグインにおける重大脆弱性、CISAが警告する広範囲な既知の脆弱性、そして新たに確認されたフィッシング攻撃手法など、複数の重要事例が含まれている。

これらの事例は、企業や個人が直面するサイバーリスクが依然として高い水準にあることを示すものだ。ゼロデイ脆弱性や認証不要の攻撃手法、さらには言語特性を悪用した新型フィッシング攻撃は、防御体制を強化する必要性を示している。

それでは以降で詳しく見ていこう。

累積更新プログラム適用推奨、高リスク脆弱性を含む8月のアップデート

Microsoftは8月14日(米国時間)、「2025 年 8 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft」において、Windowsなど複数の製品の脆弱性に対処するためのセキュリティ更新プログラムをリリースしたことを伝えた。修正された脆弱性は111件に上り、深刻度が緊急と評価されている脆弱性も5件含まれている。

  • August 2025 Security Updates - Release Notes - Security Update Guide - Microsoft

    August 2025 Security Updates - Release Notes - Security Update Guide - Microsoft

これらセキュリティ脆弱性を放置すると、遠隔から任意のコードを実行されたり、管理者権限を奪われるなどの攻撃を受ける危険性がある。

深刻度が緊急(Critical)に分類されているセキュリティ脆弱性は次のとおり。

  • CVE-2025-53767: Azure OpenAI の特権の昇格の脆弱性
  • CVE-2025-50165: Windows グラフィックス コンポーネントのリモートでコードが実行される脆弱性
  • CVE-2025-50165: Windows グラフィックス コンポーネントのリモートでコードが実行される脆弱性
  • CVE-2025-53766: GDI+ のリモート コードが実行される脆弱性
  • CVE-2025-53792: Azure portal の特権の昇格の脆弱性

本件については情報処理推進機構(IPA:Information-technology Promotion Agency, Japan)およびJPCERTコーディネーションセンター(JPCERT/CC:Japan Computer Emergency Response Team Coordination Center)も次の記事において注意喚起を行っている。

Microsoftは毎月第2火曜日に累積更新プログラムを配信している。この更新プログラムは多くのセキュリティ脆弱性修正を含むことから、企業やユーザーには迅速に適用することが望まれている。今回の累積更新プログラムは深刻度が高いセキュリティ脆弱性の修正をこれまでの月よりも多く含んでいる。Windowsは世界でもっとも広く使われているパソコンのオペレーティングシステムであり、サイバー攻撃の標的になっている。同社が提供する配信プログラムは可能な限り迅速に適用することが望まれる。

累積更新プログラム適用によって不具合が生じる可能性もあるが、適用を避けることは深刻なリスクを伴うため、適切な運用で迅速に導入すべきだと言える。企業においても累積更新プログラムはすぐに適用できるように運用を工夫していこう。

広範なWordPressサイトが被害を受ける可能性、WordPressプラグイン「Database for Contact Form 7」などに認証不要の重大脆弱性

Defiantは8月12日(米国時間)、WordPressプラグイン「Database for Contact Form 7, WPforms, Elementor forms」において、バージョン1.4.3以前を対象とした重大な脆弱性(CVE-2025-7384)が存在すると公表した。本脆弱性はget_lead_detail関数における信頼されない入力のデシリアライズに起因するPHPオブジェクトインジェクションであり、認証なしで攻撃可能とされている。CVSSスコアは9.8(緊急)と評価され、機密性・完全性・可用性全てに深刻な影響を及ぼす可能性がある(参考「Database for Contact Form 7, WPforms, Elementor forms <= 1.4.3 - Unauthenticated PHP Object Injection to Arbitrary File Deletion」)。

  • Database for Contact Form 7、WPforms、Elementor forms <= 1.4.3 - Unauthenticated PHP Object Injection to Arbitrary File Deletion

    Database for Contact Form 7, WPforms, Elementor forms <= 1.4.3 - Unauthenticated PHP Object Injection to Arbitrary File Deletion

この脆弱性はContact Form 7プラグイン内に存在するPOPチェーンと組み合わせて悪用されることで、任意ファイル削除が可能になる危険性が指摘されている。wp-config.phpファイルが削除されると、サービス運用妨害(DoS:Denial of Service)やリモートコード実行(RCE:Remote Code Execution)に至る恐れがある。攻撃者は認証不要でこの攻撃を行えるため、インターネット上で公開されているWordPressサイトが広範に影響を受ける危険がある。

開発者はすでにバージョン1.4.4で脆弱性を修正しており、利用者には速やかなアップデートが推奨されている。修正版への更新を怠る場合、サイトは高リスク状態のまま運用されることになり、データ流出やサイト停止といった深刻な被害を招く可能性が高い。

WinRARからOfficeまで、CISAが警告する広範囲な脆弱性

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、8月11日~17日にカタログに5つのエクスプロイトを追加した。

CISAが追加したエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • Microsoft Internet Explorer 6から11までのバージョン(mshtml.dllのSetMouseCapture実装に問題あり)
  • Microsoft Excel 2000
  • Microsoft Excel XP
  • Microsoft Excel 2003
  • Microsoft Excel 2004 for Mac
  • WinRAR (Windows版) 0から7.12までのバージョン
  • N-able N-central 0から2025.3.1よりも前のバージョン

CVE-2007-0671は具体的な製品としてMicrosoft Excelを上げているが、潜在的に他のMicrosoft Office製品にも同様のセキュリティ脆弱性が存在する可能性を示唆している。このセキュリティ脆弱性を悪用された場合、遠隔からユーザーの協力を得たサイバー攻撃者によって任意のコードが実行されるリスクがあるとされている。

ホモグリフ攻撃の新手口、日本語「ん」で偽サイトに誘導

Bleeping Computerは8月14日(米国時間)、日本語の平仮名「ん」を悪用した巧妙なフィッシング攻撃が発生していると報じた。攻撃者は「ん」(Unicode U+3093)が一部の環境ではスラッシュに似て表示される特性を利用し、正規のBooking.comドメインに見せかけた不正なURLを作成している。この手口により、ユーザーは一見正規の管理画面やホテル管理用リンクに見えるフィッシングメールを受け取り、偽サイトへと誘導される危険がある(参考「Booking.com phishing campaign uses sneaky 'ん' character to trick you」)。

  • Booking.com phishing campaign uses sneaky 'ん' character to trick you

    Booking.com phishing campaign uses sneaky 'ん' character to trick you

報告によれば、問題のリンクは「https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/」といった形式であり、Webブラウザのアドレスバーでは正規サイトの下層ディレクトリに見える。しかし実際の登録ドメインは「www-account-booking[.]com」であり、被害者がアクセスすると悪意あるMSIファイルがダウンロードされ、情報窃取型マルウェアやリモートアクセス型トロイの木馬に感染する可能性が高い。研究者による分析でも、この感染チェーンが確認されている。

記事はまた、視覚的に紛らわしい文字を利用した「ホモグリフ攻撃」の一環として、このような手口が繰り返し悪用されていると指摘する。過去にもキリル文字の「О」とラテン文字の「O」の類似性を利用した攻撃が報告されており、Booking.comを装ったフィッシングは2023年や2024年にも確認されている。こうした事例は、セキュリティ研究者やソフトウェア開発者がホモグリフを識別しやすくする対策を講じてきたにもかかわらず続いている現状を示している。

さらに、Intuitを装った別のフィッシングキャンペーンも報告されている。この手口では「i」の代わりに小文字の「l」を使った「Lntuit」ドメインが利用され、モバイル表示に最適化されたメールでユーザーを欺いている。リンク先は一見正規のIntuitサイトにリダイレクトされる場合もあり、警戒を緩めるよう設計されている。記事は最後に、リンクにカーソルを合わせて実際の遷移先を確認する習慣や、ドメインの末尾部分を注視すること、さらにはエンドポイントセキュリティを常に最新に保つことが、こうした攻撃への有効な防御策であると強調している。

この事例は日本語のひらがな「ん」を使っているという点で日本人にとって興味深い。ひらがなを見慣れている日本人はこのトリックが使われたURLに違和感を感じるが、URLの確認を行わない場合には日本人であっても攻撃の被害にあう可能性がある。サイバー攻撃者は常に新しいサイバー攻撃を試行しており、企業やユーザーは定期的にサイバーセキュリティのリスクを再確認して攻撃の被害者にならないような運用を行っていく必要がある。

* * *

今週のサイバーセキュリティ情報は、従来型の脆弱性修正に加えて、攻撃者が新しい手口を取り入れている現状を明らかにした。更新プログラムを適切に適用しないことは、深刻な被害を招く可能性が高い。

企業や個人は、日常的なアップデートの実施や脅威情報の定期的な確認を怠らず、フィッシングへの警戒を強める必要がある。防御の遅れは攻撃の標的となる大きな要因であるため、今こそ確実なセキュリティ対策を実行に移すことが求められている。

参考