9月1日~7日のサイバーセキュリティ情報としては、TP-Linkルーターにゼロデイ脆弱性が存在し遠隔からのコード実行が可能となる危険が指摘された件がある。さらに、セイコーソリューションズのIoTルーターにも不正アクセスを許す欠陥が見つかり、利用者にファームウエア更新が呼びかけられた。また、Kyashを騙るフィッシング攻撃が確認され、公式アプリ経由での利用が推奨された。CISAはLinuxやAndroidなどに関する既知の脆弱性を公表し、幅広い利用者に注意を促している。

連載のこれまでの回はこちらを参照

9月1日~7日の最新サイバーセキュリティ情報

本稿では、9月1日~7日にかけて報告された最新のサイバーセキュリティ情報について整理する。主な対象は、TP-Linkルーターに発見されたゼロデイ脆弱性、セイコーソリューションズ製IoTルーターの重大欠陥、Kyashを騙るフィッシング攻撃、CISAが追加した既知の悪用脆弱性だ。いずれも広範な利用者や組織に直接的な影響を及ぼす可能性がある。

それでは以降で詳しく見ていこう。

TP-Linkに未対応の重大バグ:数千台のルーターが攻撃可能状態に

9月1日(英国時間)にMediumに掲載された記事「ZERO-DAY ALERT: Automated Discovery of Critical CWMP Stack Overflow in TP-Link Routers | by Mehrun | Sep, 2025 | ByteRay」が、TP-Linkルーターにおける重大なゼロデイ脆弱性の発見と分析結果を伝えた。CWMP(TR-069)プロトコル実装に存在するスタックベースのバッファーオーバーフローを指摘している。サイバーセキュリティ研究者は自動化されたテイント解析によって2025年1月に発見し、5月11日にTP-Linkへ通知したと報告しているが、記事の公開時点で修正は行われていない。影響を受けるモデルはArcher AX10やAX1500をはじめ複数存在しており、世界中のユーザーにリスクがあるとされている。

  • ZERO-DAY ALERT: Automated Discovery of Critical CWMP Stack Overflow in TP-Link Routers|by Mehrun|Sep、2025|ByteRay

    ZERO-DAY ALERT: Automated Discovery of Critical CWMP Stack Overflow in TP-Link Routers | by Mehrun | Sep, 2025 | ByteRay

発見の過程では、独自のテイント解析エンジンが使用され、SOAPメッセージのSetParameterValues処理部分に注目することで脆弱性が浮き彫りになった。解析により、入力データの長さに基づいてバッファサイズを計算し、それを境界チェックなしでstrncpyに渡す不具合が確認された。対象関数は3072バイトのスタックバッファーを持つが、外部入力によって容易にあふれる構造になっているという。

技術的分析によれば、実際にGenieACSサーバを用いて悪意あるSOAPメッセージを送信することで、バッファーを超過しスタックを破壊できることが実証された。4096バイトのペイロードによってサービスがクラッシュし、さらに3112バイトでプログラムカウンターを書き換えることに成功している。このことはリモートコード実行が現実的に可能であることを意味する。

影響評価としては、Archer AX10(V1〜V2.6、FW1.3.2〜1.3.10)およびAX1500のすべてのバージョンが脆弱であることが確認され、その他のモデル(EX141、VR400、TD-W9970など)にも同様のリスクが存在する可能性がある。実際、Fofa検索により4247件の公開IPアドレスが特定され、インターネット越しに攻撃可能な状況が確認されている。

この脆弱性が危険である理由は、ルーターの管理アクセス取得が想定以上に容易である点にある。多くのユーザーがデフォルトの認証情報を変更しておらず、弱いパスワードや既存の別の脆弱性、物理アクセスやソーシャルエンジニアリングなどにより攻撃者が容易に設定を改変できる。その後は不正なCWMPサーバを立ち上げるだけで、ルーターは自動的に接続し、完全な制御を許してしまう。

結論として、このゼロデイは広範囲に展開されたデバイスと現実的に達成可能な攻撃条件を兼ね備えており危険と言える。TP-Linkには即時のパッチ提供とCWMP実装全体の監査が求められ、ユーザーにはパスワード強化、CWMP無効化、ネットワーク監視など緊急の対策が必要だ。またセキュリティ研究者には他ベンダー製品の調査と自動化技術の発展が求められる。本脆弱性の存在は、組み込み機器の開発における現在のセキュリティ慣行が不十分であることを示している。

TP-Linkのルーターはしばしばセキュリティ脆弱性が発見されている。ベンダーが提供するセキュリティアドバイザリー情報は確実にチェックし、必要に応じて迅速に対応することが望まれている。

セイコーソリューションズ、IoTルーター「SkyBridge BASIC MB-A130」の重大脆弱性を公表

セイコーソリューションズは9月1日、同社のSkyBridge BASIC MB-A130製品に重大な脆弱性が存在することを公表した。発見された脆弱性は、使用する通信回線の契約内容や製品の設定によっては、悪意ある第三者がシステムへ不正にアクセスし、攻撃や破壊、設定データの盗用や改ざんを行う可能性がある。初期設定ではWANからのWeb-UIアクセスは無効化されているが、LANからのアクセスは有効化されているため、利用環境によってリスクが変動することが明らかにされた(参考「SkyBridge BASIC MB-A130の脆弱性と対応について | セイコーソリューションズ株式会社」)。

  • SkyBridge BASIC MB-A130の脆弱性と対応について|セイコーソリューションズ株式会社

    SkyBridge BASIC MB-A130の脆弱性と対応について | セイコーソリューションズ株式会社

対象となるのは、SkyBridge BASIC MB-A130のファームウェアVer.1.5.8までのバージョンだ。当該バージョンでは、Web-UIにおいてログイン認証を経ずにコマンド実行が可能となる脆弱性が確認された。この問題を悪用されると、管理者権限でのログイン、任意コマンドの実行、さらには製品やシステム全体の正常な動作阻害に至る恐れがある。

同社は対応策として、脆弱性を修正したファームウェアVer.1.6.0以上への更新を推奨している。ファームウェア更新が困難な場合には、外部からのアクセスを遮断するための回避策として、WANおよびLANからのWeb-UIアクセス禁止を推奨するとともに、軽減策としてインターネット網に接続されない閉域網回線の利用を推奨している。これらの措置により、脆弱性悪用のリスクを低減できると説明している。

さらに、関連情報として、JVNの脆弱性情報(JVN22016482)が示されており、SkyBridge MB-A130におけるOSコマンドインジェクションの脆弱性として公式に認識されている。セイコーソリューションズは、利用者に対して速やかな更新および対策実施を強く呼びかけており、システムの安全性確保を最優先とする姿勢を示した。

SkyBridge BASIC MB-A130は、セイコーソリューションズが開発したSkyBridgeシリーズのベーシックモデルであり、マルチキャリアLTE通信に対応しつつ優れたコストパフォーマンスを備えたIoTルーター。アンテナ内蔵のコンパクト筐体をもち、車載・組み込み用途に適した耐振動性・高耐久性を実現しており、自律復旧機能やWi-Fi/有線LAN接続、SkyBridge共通のリモート監視ソリューションにより、多様な環境下で遠隔運用できる。製造業・流通業・セキュリティ分野やデジタルサイネージ・店舗決済・車両運行管理など、多岐にわたる業界での採用実績を持っている。

9月1日~7日の緊急情報:Kyash 偽装フィッシングサイトが稼働中

フィッシング対策協議会は、9月1日~7日の間に次の1件の緊急情報を発表した。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|ニュース|緊急情報|Kyash をかたるフィッシング (2025/09/05)

    フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Kyash を騙るフィッシング (2025/09/05)

フィッシング対策協議会は9月5日、Kyash を騙るフィッシング攻撃が報告されていることを公表した。メールの件名は「アカウント異常の検知について」や「重要なお知らせ」などが使われており、同日14時時点ではフィッシングサイトが稼働中で、JPCERT/CC に閉鎖依頼が行われている。今後も類似のサイトが公開される可能性があるため、注意が呼びかけられている。

フィッシングサイトは本物の画面を模倣してつくられており、見分けることが困難だ。そのため、メールやSMSに記載されたリンクからアクセスするのではなく、公式アプリを通じてログインや認証コードの確認を行うことが推奨されている。さらに、フィッシングメールを受信すること自体がアドレス漏えいの兆候であり、漏えいした情報は犯罪者間で売買され続けるため、状況によっては新しいアドレスへの移行を検討すべきとされている。

また、協議会は類似のフィッシングメールやサイトを発見した際には、info@antiphishing.jpへの報告を呼びかけている。被害に遭い情報を入力してしまった場合は、提供された「フィッシング対策協議会 Council of Anti-Phishing Japan | よくあるご質問/お問い合わせ」に従い、入力した情報に応じた対応が求められる。多数のドメインで誘導が確認されており、利用者に対し引き続き警戒を強めるよう促している。

CISA、AndroidやTP-Link製品を含む新たなリスクを発表

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、9月1日~7日にカタログに7つのエクスプロイトを追加した。

CISAが追加したエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • TP-Link TL-WA855RE V5 20200415-rel37464
  • TP-Link TL-WR841N 3.16.9 build 200409
  • TP-Link Archer C7(EU) V2 0から241108よりも前のバージョン
  • Linux 2.6.36
  • Linux 0bdd2ed4138ec04e09b4f8165981efc99e439f55から78a4b8e3795b31dae58762bc091bb0f4f74a2200よりも前
  • Linux 0bdd2ed4138ec04e09b4f8165981efc99e439f55からc076635b3a42771ace7d276de8dc3bc76ee2ba1bよりも前
  • Linux 0bdd2ed4138ec04e09b4f8165981efc99e439f55から2f3daa04a9328220de46f0d5c919a6c0073a9f0bよりも前
  • Linux 0bdd2ed4138ec04e09b4f8165981efc99e439f55から764a7a5dfda23f69919441f2eac2a83e7db6e5bbよりも前
  • Linux 0bdd2ed4138ec04e09b4f8165981efc99e439f55から2c72fe18cc5f9f1750f5bc148cf1c94c29e106ffよりも前
  • Linux 0bdd2ed4138ec04e09b4f8165981efc99e439f55からc29d5318708e67ac13c1b6fc1007d179fb65b4d7よりも前
  • Linux 0bdd2ed4138ec04e09b4f8165981efc99e439f55から460188bc042a3f40f72d34b9f7fc6ee66b0b757bよりも前
  • Linux 0bdd2ed4138ec04e09b4f8165981efc99e439f55からf90fff1e152dedf52b932240ebbd670d83330ecaよりも前
  • Google Android 16
  • Google Android 15
  • Google Android 14
  • Google Android 13
  • Facebook WhatsApp Desktop for Mac 2.22.25.2から2.25.21.78よりも前のバージョン
  • Facebook WhatsApp Business for iOS 2.22.25.2から2.25.21.78よりも前のバージョン
  • Facebook WhatsApp for iOS 2.22.25.2から2.25.21.73よりも前のバージョン
  • Sitecore Experience Manager (XM) 0から9.0までのバージョン
  • Sitecore Experience Platform (XP) 0から9.0までのバージョン

今回CISAが既知の悪用脆弱性カタログに追加した7件のエクスプロイトは、Linuxカーネル、Android、WhatsApp、Sitecore製品、TP-Linkルーターなど幅広い製品に影響を及ぼすものであり、利用者や組織がリスクに直面していることを示している。対象範囲が多岐にわたることから、各ベンダーが提供するセキュリティアップデートの適用や回避策の実施を迅速に進めることが重要だ。こうした状況は長期に渡って変わっておらず、継続的な脆弱性監視と対策を通じて被害を未然に防ぐ体制を整備すべきと言える。

* * *

今回取り上げた脆弱性や攻撃事例は、いずれも現実的に悪用される危険を伴い、多くの利用者に影響を与える可能性を秘めている。ルーターやIoT機器は日常的に利用されるため、ベンダーから提供されるセキュリティ情報を確認し、迅速に更新を行うことが不可欠だ。不審なメールやリンクを避け、公式アプリを通じた利用を徹底することも有効である。

組織や個人は、自らの環境を守る第一歩として脆弱性への継続的な監視と対策を進める必要がある。定期的なアップデートやパスワード強化、不要機能の無効化など基本的な対策を徹底し、未知の攻撃に備える姿勢が重要だ。サイバーセキュリティは不断の努力によって初めて確保されるものであり、積極的な対策が求められる。

参考