本稿では2025年8月18日から24日にかけて報告された最新のサイバーセキュリティ動向を整理する。SSL/TLSサーバー証明書の有効期間短縮に関するCABF決定、Windows累積更新による不具合と修正版公開、SBI証券やNTTドコモを装ったフィッシング急増、Apple主要OSの深刻な脆弱性登録、Apache Tomcatのセッション固定脆弱性警告を取り上げる。いずれも組織や個人に直接的な影響を及ぼす内容であり、迅速な対応と継続的な防御策が求められる。

連載のこれまでの回はこちらを参照

8月18日~24日の最新サイバーセキュリティ情報

8月18日から24日に発表された主要なサイバーセキュリティ関連の情報には、証明書有効期間短縮の国際的な決定、Windows更新の不具合修正、国内外のフィッシング被害状況、Apple製品の脆弱性登録、Apache Tomcatの深刻な問題などがある。これらの情報は全て、組織や個人が直面する可能性のある脅威と密接に関連している。記事を通じて最新の攻撃動向や対策の方向性を理解することで、セキュリティ意識を高め、実践的な防御策を講じるきっかけとしていただきたい。

それでは以降で詳しく見ていこう。

SSL/TLSサーバー証明書の有効期間、最短47日へ:CABF決定と今後の影響

フィッシング対策協議会は8月19日、証明書普及促進ワーキンググループによる「SSL/TLSサーバー証明書における有効期間短縮化について」の解説ドキュメントを公開した(参考「フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 協議会WG報告書 | サーバー証明書の有効期間短縮化 ~業界団体 CA/Browser Forumにおいて段階的に短縮化されることが可決~」)。これは、業界団体CA/Browser Forum(CABF)が2025年4月に投票で決定したサーバ証明書の有効期間短縮に関する内容をまとめたものだ。最終的には2029年3月15日以降に発行される証明書の最大有効期間が47日に短縮されることを伝えている。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|協議会WG報告書|サーバー証明書の有効期間短縮化 ~業界団体 CA/Browser Forumにおいて段階的に短縮化されることが可決~

    フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 協議会WG報告書 | サーバー証明書の有効期間短縮化 ~業界団体 CA/Browser Forumにおいて段階的に短縮化されることが可決~

CABFの議決により、2026年から段階的に有効期間は398日から200日、100日へと短縮され、2029年には47日となる。また、ドメイン名使用権や組織審査に関連する認証情報の再利用期間も併せて短縮される。これにより、証明書の信頼性を高め、最新の情報を反映した状態で運用されることが期待されている。

証明書の有効期間短縮の背景には、証明書情報の陳腐化を防ぎ信頼性を確保することがある。発行時点の組織情報やドメイン情報は時間の経過により変更される可能性があるため、期間を短くすることでリスクを軽減する。また、OCSPやCRLといった証明書の有効性確認の仕組みが通信やWebブラウザ動作に負担をかけている現状もあり、有効期間短縮によってその負荷を軽減する狙いもある。

サーバ証明書の有効期間は過去にも段階的に短縮されてきた。2012年の60カ月から始まり、2016年に39カ月、2018年に825日、2020年に398日へと改定されている。GoogleやAppleなどの主要ベンダーもより短い有効期間を提案してきた経緯があり、CABFの今回の決定はその流れを踏襲するものだ。対象は全てのパブリックSSL/TLSサーバ証明書であり、プライベート証明書は含まれない。

証明書の有効期間が短縮されることで、従来の年次更新の枠組みでは対応が困難となり、証明書ライフサイクルの自動化が不可欠となる。とりわけ2029年以降は最大47日の有効期間と10日の認証情報再利用期間となり、手動処理では更新失敗やサービス停止のリスクが高まる。そのため、自動化ツールの導入が今後急速に進むと予想され、セキュリティ向上と運用負担の軽減を両立する道筋が示されている。

PCリセットや回復操作が失敗する不具合を修正、Windows 10/11に影響

Microsoftは8月18日(米国時間)、2025年8月12日に配信されたWindowsのセキュリティ更新プログラム(KB5063875)の適用後、一部のクライアント版Windowsにおいて「このPCをリセット」や「Windows Updateを使用して問題を修復」、さらに「RemoteWipe CSP」といったリセットや回復操作が失敗する不具合が発生することを公表した(参考「Windows 11, version 23H2 known issues and notifications | Microsoft Learn」)。この問題はWindows 11の23H2および22H2、Windows 10の22H2、さらにWindows 10 Enterprise LTSCの2021・2019版やWindows 10 IoT Enterprise LTSCに影響が及んでいた。

  • Windows 11、version 23H2 known issues and notifications|Microsoft Learn

    Windows 11, version 23H2 known issues and notifications | Microsoft Learn

この不具合に対してMicrosoftは、臨時の更新プログラムであるKB5066189を公開し、問題を修正した。8月19日には修正について伝えている。この更新プログラムはKB5063875を置き換える累積更新であり、以前の更新を適用していなくても直接インストールできる。また、セキュリティ更新はKB5063875と同一であり、追加のセキュリティ修正は含まれていないため、問題が発生している環境ではKB5063875ではなくKB5066189を導入することが推奨されている。

KB5066189をインストールする際にはデバイスの再起動が必要となる。すでに8月のセキュリティ更新を展開していない組織においては、この臨時更新を直接適用することが望ましいとされている。インストール方法については、マイクロソフトのサポート文書「KB5066189」の「How to get this update」を参照するよう案内されている。

Microsoft Windowsは世界中のパソコンでもっとも広く使われているオペレーティングシステムだ。同社は月に1回累積更新プログラムを配信しており、緊急性の高いセキュリティ脆弱性の修正も含まれている。サイバーセキュリティの観点からは配信が始まった累積更新プログラムは即座に適用することが望まれている。しかし、本事例のように累積更新プログラムが別の問題を引き起こすことも多く、即座の適用をためらう管理者もいる。

しかしながら、原則として累積更新プログラムは迅速に適用するのが良いだろう。累積更新プログラムの配信はサイバーセキュリティ攻撃者にWindowsやMicrosoft製品の弱点を明らかにする行為でもあり、サイバー攻撃の対象として悪用されやすくなることを意味している。累積更新プログラムの適用による別の問題の発生は避けることが難しい事象だと認識し、問題が発生した場合にはさらにその問題に迅速に対処していきたい。こうした取り組みは不断の継続が重要であり、毎月確実にこなしていくことが望まれている。

SBI証券・NTTドコモを装ったフィッシングが急増、依然高水準のAppleやANA

フィッシング対策協議会は8月21日、2025年7月のフィッシング報告状況を公表した(参考「フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2025/07 フィッシング報告状況」)。報告件数は226,433件で前月比33,563件、約17.4%の増加となった。SBI証券やNTTドコモを騙るフィッシングが大きく増加し、AppleやANAを騙るフィッシングは減少傾向ながら依然高水準であった。全体の58.3%はSBI証券、NTTドコモ、Apple、ANA、VISA、松井証券、Amazonを装ったフィッシングが占め、1,000件以上の報告が寄せられたブランドは35に達した。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2025/07 フィッシング報告状況

    フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2025/07 フィッシング報告状況

報告件数を分野別に見ると、証券系が24.3%と最多で、クレジット・信販系19.0%、EC系14.1%、モバイル系13.3%などとなった。証券系とモバイル系の増加が顕著であり、悪用されたブランド数は97件に達し、幅広い業種が標的となっている。SMSを利用したスミッシングは減少傾向にあるが、宅配便不在通知を装うケースは依然として多く報告されている。

URLの特徴では、報告件数85,272件のうち、.cn、.top、.comが全体の7割以上を占め、.topドメインの悪用が急増した。また、Google翻訳のリダイレクトURLを悪用するケースが8.5%確認された。メール差出人のなりすましは減少したものの、DMARC設定に基づきフィルタリング可能なメールは増加し、認証回避を試みる傾向が見られた。逆引き設定のないIPアドレスからの送信が依然として多く、特定のホスティングサービスに集中している実態も明らかとなった。

急増の要因は、証券会社からの多要素認証や補償手続を装ったフィッシングメールの増加にある。本物に近い文面やなりすまし送信が多く確認され、クレジットカード更新やマイレージ加算、料金支払い通知など、多様なテーマのフィッシングも続発した。検知回避のために文字列混入や偽装URLを用いる手法が進化しており、メールフィルターのすり抜けが頻発している。一方、不自然な日本語や文字化けが見られる事例も引き続き多い。

フィッシング対策協議会は、事業者に対して送信ドメイン認証やFCrDNS認証の導入、DMARCポリシーをrejectに設定すること、BIMIによるブランドロゴ表示を推奨している。また、利用者にはパスキーや多要素認証の導入を求めるとともに、不審なメールを正規と誤認しないよう啓発を呼びかけている。証券業界では不正取引被害が6,200億円を超えており、多要素認証必須化の動きが進んでいる。

さらに、利用者に対しては、不審なリンクにアクセスせず、パスワードマネージャーや正規アプリからログインすること、SMS経由でのアプリインストールを避けることが推奨された。大量のフィッシングメールが届く場合はメールアドレス漏えいの可能性があるため、新しいメールサービスへの切り替えも検討すべきとした。最後に、協議会は不審なメールやSMSを受け取った際には、各事業者や協議会への情報提供を呼びかけている。

Apple主要OSに深刻な脆弱性、CISAが「既知の悪用脆弱性」へ登録

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、8月18日~24日にカタログに1つのエクスプロイトを追加した。

CISAが追加したエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • macOS Sonoma 14.7.8よりも前のバージョン
  • macOS Ventura 13.7.8よりも前のバージョン
  • iPadOS 17.7.10よりも前のバージョン
  • macOS Sequoia 15.6.1よりも前のバージョン
  • iOS 18.6.2よりも前のバージョン
  • iPadOS 18.6.2よりも前のバージョン

今回CISAが既知の悪用脆弱性カタログに追加したCVE-2025-43300は、Appleの主要OS群に影響を及ぼす重大な脆弱性だ。対象範囲はmacOS、iOS、iPadOSの複数のバージョンにおよび、利用者層の広さからも迅速な対応が求められる。

CISAが定期的に公開する「Known Exploited Vulnerabilities Catalog」は、実際に悪用されている脆弱性に焦点を当てている点で重要性が高い。このリストに掲載されることで、当該脆弱性は実際の脅威として扱われ、政府機関や企業に対して修正・緩和策の実施が強く求められる。今回の追加も例外ではなく、リスク管理の観点から各組織の対応状況が問われる。

CVE-2025-43300の追加は、Apple製品利用者に対してサイバーセキュリティの警鐘を鳴らすものだ。セキュリティ環境を維持するためには、常に最新情報を確認し、パッチ適用やセキュリティ設定の見直しを怠らないことが不可欠と言える。CISAの情報発信を活用しつつ、個人・組織レベルで継続的な防御策を講じることが今後も重要だ。

Apache TomcatのRewrite Valveに深刻なセッション固定脆弱性 - JPCERT/CCが警告

JPCERTコーディネーションセンター(JPCERT/CC)は8月19日、Apache Tomcatに存在するRewrite Valve機能に関する脆弱性(CVE-2025-55668)について注意喚起を発表した。本脆弱性はセッション固定(CWE-384)に該当し、Tomcat 11.0.0-M1から11.0.7、10.1.0-M1から10.1.41、9.0.0.M1から9.0.105が影響を受ける。さらに、開発元によればサポート終了(EOL)となっている旧バージョンも影響を受ける可能性があるとされている(参考「JVNVU#95006047: Apache TomcatのRewrite Valve機能におけるセッション固定の脆弱性(CVE-2025-55668)」)。

  • JVNVU#95006047: Apache TomcatのRewrite Valve機能におけるセッション固定の脆弱性(CVE-2025-55668)

    JVNVU#95006047: Apache TomcatのRewrite Valve機能におけるセッション固定の脆弱性(CVE-2025-55668)

この脆弱性は、Rewrite Valveを有効にしたWebアプリケーションに対して、攻撃者が細工したURLを通じてアクセスすることで、指定されたセッション情報が強制的に利用されるものだ。その結果、攻撃者が利用者になりすまし、不正操作を行う可能性があるため、深刻なセキュリティリスクとなる。セッション管理を前提としたWebサービスにおいては、認証情報の不正利用につながり得るため、影響は大きい。

対策としては、Apache Software Foundationが提供する修正版へのアップデートが推奨されている。本脆弱性はApache Tomcat 11.0.8、10.1.42、9.0.106以降で修正済みであるため、利用者は速やかに最新バージョンへ更新する必要がある。また、EOLバージョンの利用者についても、リスクを考慮しアップグレードやシステム移行を検討することが望ましい。

* * *

今回紹介した事例は、いずれも日常的に利用されるソフトウェアやサービスに直接影響を及ぼすものだ。証明書更新の自動化や更新プログラムの迅速な適用、フィッシング対策の強化など、組織的かつ継続的な対応が不可欠となる。

サイバー攻撃は進化を続け、脆弱性は絶え間なく発見されている。利用者一人ひとりが意識を持ち、最新情報を踏まえたセキュリティ対策を実施することが、被害を未然に防ぐ第一歩だ。

参考