ブラザー製品ではシリアル番号から初期パスワードを導出可能な脆弱性が報告され、runZeroの追加調査によりリスクが拡大した。I-O DATAのルーターにもデバッグ機能やOSコマンドインジェクションの問題が見つかり、最新ファームウェア更新が必須とされた。さらに送信ドメイン認証技術の調査ではSPFやDKIMが普及する一方、DMARCの「reject」設定が進んでいない課題が浮き彫りとなった。CISAは産業用制御システムに関する17件のアドバイザリーを公開し、ICSが攻撃者に狙われやすい実態を指摘した。

連載のこれまでの回はこちらを参照

9月15日~21日の最新サイバーセキュリティ情報

本稿では、9月15日~21日にかけて公表された最新のサイバーセキュリティ情報を紹介する。取り上げるのは、国内外の重要な脆弱性や動向であり、企業や利用者が今後の対策に生かすための視点を提供することを目的としている。

具体的には、ブラザー製品やI-O DATAルーターに見つかった深刻な脆弱性、送信ドメイン認証技術の普及状況と課題、米国CISAが公開した産業用制御システム向けのアドバイザリーを紹介し、それぞれのリスクと推奨される対応策を整理する。これにより、読者が日常的に利用するシステムやネットワークに潜む危険性を理解できるようにする。

それでは以降で詳しく見ていこう。

ブラザー製品の初期パスワード脆弱性、JPCERT/CCが公表(CVE-2024-51978、CVE-2025-8452)

JPCERTコーディネーションセンター(JPCERT/CC:Japan Computer Emergency Response Team Coordination Center)は9月17日、ブラザー工業およびそのOEMベンダーが提供する複数の製品において、管理者パスワードの初期設定が製品のシリアル番号から容易に導出可能である脆弱性を公表した。この問題はRapid7によって報告され、CVE-2024-51978として登録されている。ブラザー工業はシステム管理上、シリアル番号を認証なしで取得可能とする設計であったことを認め、初期パスワードをシリアル番号から導出できないように工場の生産ラインを更新したと説明している(参考「JVNVU#93294882: ブラザーおよびそのOEMベンダーが提供する複数の製品における管理者パスワードの初期設定について」)。

  • JVNVU#93294882: ブラザーおよびそのOEMベンダーが提供する複数の製品における管理者パスワードの初期設定について

    JVNVU#93294882: ブラザーおよびそのOEMベンダーが提供する複数の製品における管理者パスワードの初期設定について

runZeroが追加調査を行い、eSCL/uscan機能を利用してもシリアル番号が認証なしで取得できることが報告された。この機能はCVE-2024-51977では言及されていなかったため、CNAであるAustin Hackers Anonymousは新たにCVE-2025-8452をアサインした。これにより、対象製品に関するセキュリティ上の懸念はさらに拡大した。

影響を受ける範囲は広範であり、該当する製品やモデル番号、バージョンはベンダーごとに異なる。利用者が管理者パスワードを初期値から変更していない場合、シリアル番号を知る第三者によって不正に管理者権限で操作される可能性が生じる。このため、ネットワーク環境に接続された機器においては重大なリスクとなる。

各ベンダーが提供している情報は次のページからアクセスできる。

  • コニカミノルタ製複合機 bizhub 4020i / 4000i におけるセキュリティー脆弱性(CVE-2025-8452)の影響について - 重要なお知らせ|コニカミノルタ

    コニカミノルタ製複合機 bizhub 4020i / 4000i におけるセキュリティー脆弱性(CVE-2025-8452)の影響について - 重要なお知らせ | コニカミノルタ

JPCERT/CCは利用者に対し、該当製品の管理者パスワードを初期設定から変更することを推奨している。また、ベンダーが公開している詳細な情報や修正措置を確認し、早急に適用することが求められる。今回の事例は、製品設計における初期パスワードの取り扱いが依然としてセキュリティ上の重要課題であることを示している。

JPCERT/CC、I-O DATA無線LANルーター「WN-7D36QRシリーズ」の脆弱性を公表

JPCERT/CCは9月17日、アイ・オー・データ機器製の無線LANルーター「WN-7D36QR」および「WN-7D36QR/UE」に複数の脆弱性が存在することを公表した。これらの脆弱性は、ファームウェアVer.1.1.3およびそれ以前のバージョンに影響し、利用者の環境において深刻なセキュリティリスクを引き起こす可能性があると指摘されている(参考「JVNVU#97490987: アイ・オー・データ製無線LANルーターにおける複数の脆弱性」「弊社Wi-Fi (無線LAN)ルーター「WN-7D36QRシリーズ」における複数の脆弱性について | アイ・オー・データ機器 I-O DATA」)。

  • 弊社Wi-Fi (無線LAN)ルーター「WN-7D36QRシリーズ」における複数の脆弱性について|アイ・オー・データ機器 I-O DATA

    弊社Wi-Fi(無線LAN)ルーター「WN-7D36QRシリーズ」における複数の脆弱性について | アイ・オー・データ機器 I-O DATA

ドキュメント化されていないデバッグ機能が有効化される問題(CVE-2025-55075)およびOSコマンドインジェクション(CVE-2025-58116)が確認されている。前者の脆弱性は認証済みの第三者による不正なSSH有効化を許す可能性があり、後者は任意のOSコマンドを実行される危険性を伴う。CVSS基本値においても中程度から高い深刻度が付与されており、システム管理者にとって看過できない問題だ。

対策としては、同社が提供する最新ファームウェアへの更新が推奨されている。脆弱性はファームウェアVer.2.1.3において修正済みであり、利用者は速やかにアップデートを行うことが求められる。JPCERT/CCは、今後も利用者が適切なセキュリティ対策を講じるよう注意喚起している。

送信ドメイン認証の最新動向:SPF・DKIMは普及、DMARCはポリシー強化が課題

フィッシング対策協議会は9月16日、送信ドメイン認証技術の導入状況について調査結果を公表した。これは日本データ通信協会の迷惑メール相談センターが実施した調査を基に、ISP、CATV、モバイル事業者、フリーメール事業者の導入状況を集計したもの。調査対象技術には、SPF、DKIM、DMARC、BIMI が含まれ、送信側と受信側双方の認証導入・設定率が明らかにされた(参考「フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 協議会WG報告書 | 送信ドメイン認証技術導入実施状況について ~ ISP、CATV、モバイル事業者、フリーメール事業者における導入・設定状況 ~」)。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|協議会WG報告書|送信ドメイン認証技術導入実施状況について ~ ISP、CATV、モバイル事業者、フリーメール事業者における導入・設定状況 ~

    フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 協議会WG報告書 | 送信ドメイン認証技術導入実施状況について ~ ISP、CATV、モバイル事業者、フリーメール事業者における導入・設定状況 ~

調査結果によれば、2024年の導入率はSPFが99.0%、DKIMが78.5%、DMARCが74.4%と高い普及水準を示した。とくにDMARCについては、Google、Apple、Microsoft、国内キャリアによる要件強化が普及を後押ししたと推測される。しかしDMARCのポリシー設定を見ると「reject(拒否)」の導入は相対的に低く、「quarantine(隔離)」や「none(監視のみ)」が多く選択されている現状が明らかになった。

これにより、DMARCが導入されても「reject」設定が少ないために十分な効果が得られていないと指摘される。受信側ではポリシー(PCY)やレポート(RPT)の活用が拡大しており、今後は段階的に強度を高めていく動きが期待される。また、SPFやDKIMに比べてBIMIの導入率はまだ低いが、対応サービスの拡大に伴って利用促進が進むと見られる。

さらに、総務省は2025年9月1日付で事業者に対し、フィッシングメール対策強化を要請した。ここでは、送信側・受信側の双方におけるDMARCポリシーの適切な設定と運用に加え、ドメインレピュテーション、BIMI、踏み台送信対策などの追加的施策の導入検討を求めている。これにより業界全体として、強固な認証基盤の構築がいっそう推進される見込みだ。

まとめとして、SPFやDKIMの普及は進展しているが、DMARCについてはポリシー強度を「reject」へ移行させることが本質的なフィッシング対策に不可欠だ。また、BIMIとの併用により正規メールの視覚的識別が可能となり、利用者に安心を与える効果も期待される。複数のメールシステムを抱える組織では導入に課題が残るが、統合と統一化を進めることで強固な対策へ移行できると考えられる。

産業用制御システムを狙う脆弱性 - CISAアドバイザリー17件公開

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、9月15日~21日にカタログへのエクスプロイトの追加を行わなかった。カタログへの追加が行われない1週間はめずらしい。

ただし同期間も産業用制御システム(ICS:Industrial Control System)向けのアドバイザリーは17件公開されている。これまでもカタログに追加とともに産業用制御システム向けのアドバイザリーの発行が続いている。

また同期間にはIvanti Endpoint Mobile Management Systemsを対象とした分析レポートも公開された。

産業用制御システムに関するセキュリティ脆弱性については本連載では基本的には取り扱っていない。これは産業用制御システムのセキュリティ脆弱性がそれほど重要ではないということではなく、対象となるユーザーがある程度限定されるため取り上げていないというだけで、サイバーセキュリティリスクの深刻度に違いはない。

産業用制御システムは一度導入されるとアップデートされることなく運用されるケースもあり、こうしたシステムはサイバー攻撃者にとって格好の侵入口となっている。該当する製品を運用している場合にはこうした製品のセキュリティ脆弱性情報を定期的に確認し、可能な限り迅速に対応していくことが求められている。

* * *

本稿で取り上げた事例はいずれも利用者や管理者の対応次第で被害の有無が左右されるものであり、早急なパスワード変更やファームウェア更新、メール認証ポリシーの強化などの具体的な行動が不可欠だ。脆弱性情報は常に最新のものを確認し、自社環境に適用可能な対策を速やかに実施する必要がある。

サイバー攻撃者は設計上の隙や設定の不備を巧みに突いてくる。組織や個人が情報を共有し、推奨されるセキュリティ施策を徹底することこそが最も有効な防御策だ。今後も公開される脆弱性情報やアドバイザリーを注視し、継続的な改善を積み重ねることが求められる。

参考