10月6日～12日の最新サイバーセキュリティ情報 - 日本郵便を装う詐欺が再燃、フィッシング最新手口

10月6日～12日に報告された主なサイバーセキュリティ情報をまとめる。バッファロー製「NAS Navigator2」やDrayTek製Vigorルーターに高リスク脆弱性が発見され、権限昇格やリモート侵入の可能性が指摘された。日本郵便をかたるフィッシング詐欺が多発し、個人情報入力禁止が呼びかけられた。CISAは既知の悪用脆弱性9件を公表し、旧OSやアプリが攻撃に利用され続けている実態を示した。

連載のこれまでの回はこちらを参照。

10月6日～12日の最新サイバーセキュリティ情報

本稿では、10月6日～12日に報告された主要なサイバーセキュリティ関連情報を整理し、脆弱性の技術的背景と対策の重要性について取り上げる。国内のJPCERT/CCやフィッシング対策協議会、海外のCISA（米国土安全保障省サイバーセキュリティ庁）が公表した内容を基に、個人・企業が直面する脅威を説明する。

それでは、今週注目すべきサイバー攻撃動向を詳しく見ていこう。

バッファロー製ソフトに高リスク脆弱性、利用者は最新バージョンへの更新を

JPCERTコーディネーションセンター（JPCERT/CC：Japan Computer Emergency Response Team Coordination Center）は10月10日、バッファローが提供するWindows用ソフトウェア「NAS Navigator2」に、引用符で囲まれていないファイルパスに関する脆弱性（CWE-428）が存在すると公表した。

本脆弱性は、Windowsサービス登録時にプログラムのファイルパスが引用符で囲まれていないことに起因し、不正な実行ファイルを介して権限昇格が可能となる恐れがある。影響を受けるのはVer.3.12.0より前のNAS Navigator2とされている（参考「JVN#69099112: バッファロー製NAS Navigator2における引用符で囲まれていないファイルパスの脆弱性」「NAS Navigator2 (Windows) における引用符で囲まれていないファイルパスの脆弱性とその対処方法（JVN#69099112） | バッファロー」）。

• 

  NAS Navigator2 (Windows) における引用符で囲まれていないファイルパスの脆弱性とその対処方法（JVN#69099112）｜ バッファロー

当該脆弱性は、ローカル環境で高い権限を持つユーザーがシステムドライブ直下にファイルを書き込むことで、SYSTEM権限により任意のコードを実行できる可能性がある。CVSS v4.0の基本値は8.4と評価されており、深刻度は高いとされている。また、CVE番号としてCVE-2025-61871が割り当てられており、CVEおよびJVNにより詳細な技術情報が公開されている。

対策としては、バッファローが提供する最新版へのアップデートが推奨されている。ベンダーは10月10日に告知ページを通じて対応情報を公開しており、利用者は速やかに該当バージョンを更新することで、SYSTEM権限の不正取得などのリスクを回避する必要がある。

脆弱性を抱えたままのソフトウェアを使い続けることは企業やユーザーにリスクをもたらすことになる。該当する製品を使っていないか確認するとともに、該当する場合には迅速にアップデートすることが望まれる。

細工HTTPでメモリー破損／システム乗っ取りの可能性 - DrayTek製Vigorルーターに未初期化変数の脆弱性

JPCERT/CCは10月10日、Draytek製Vigorルーターにおいて初期化されていないリソース使用の脆弱性が存在することを公表した。本脆弱性はDrayOSを搭載したVigorルーターのWebUIにおいて、初期化していない変数を使用していることに起因するものであり、CVE-2025-10547（CWE-456）として識別されている（参考「JVNVU#95494957: Draytek製Vigorルーターにおける初期化されていないリソース使用の脆弱性」「Use of Uninitialized Variable Vulnerabilities (CVE-2025-10547) | DrayTek」）。

• 

  Use of Uninitialized Variable Vulnerabilities（CVE-2025-10547）｜ DrayTek

この脆弱性を悪用された場合、認証されていない第三者が細工したHTTPリクエストを送信することで、メモリー破損やシステムクラッシュを引き起こす可能性がある。また、メモリー破損の結果として任意のコードを実行される恐れがあり、リモートからシステムを乗っ取られる危険性も指摘されている。被害の範囲は複数の製品におよぶとみられ、影響の詳細については開発者が提供する情報の確認が推奨されている。

対策として、DrayTek社は修正版のアップデートを提供しており、ユーザーは速やかに適用することが求められる。併せて、CERT/CCの脆弱性ノート「VU#294418」では、この問題がEasyVPNおよびLAN Web管理インターフェイスを通じてリモートコード実行（RCE）のリスクを伴うことも指摘されている。

フィッシング対策協議会、偽日本郵便サイトの発生を報告 - カード情報などの入力禁止を呼びかけ

フィッシング対策協議会は、10月6日～12日に次の1件の緊急情報を発表した。

• フィッシング対策協議会　Council of Anti-Phishing Japan | ニュース | 緊急情報 | 日本郵便をかたるフィッシング（2025/10/09）

• 

  フィッシング対策協議会　Council of Anti-Phishing Japan ｜ ニュース ｜ 緊急情報 ｜ 日本郵便をかたるフィッシング（2025/10/09）

フィッシング対策協議会は10月9日、 日本郵便をかたるフィッシングの報告を受けていると発表した。多数の件名（例：「【重要】配達に関するお知らせ」「【日本郵便】ゆうパック 配達状況についてのお知らせ」など）が確認されており、10月9日12:00時点でフィッシングサイトが稼働中であり、JPCERT/CCに対して閉鎖依頼が行われている。類似のサイトやメールが今後も公開される可能性があるとして、引き続き注意を喚起している。

フィッシングサイトでは氏名、電話番号、住所、クレジットカード情報（カード番号、有効期限、セキュリティコード）などの入力を絶対に行わないようにする必要がある。攻撃者は本物の画面をコピーしてサイトをつくるため見分けが困難であり、サービスにログインしたりカード情報を入力する際はメールやSMS内のリンクを使わず、公式アプリやブラウザーのブックマークからアクセスし直すことを習慣づけるべきだ。

フィッシングメールが届くことはメールアドレスが漏えいしている証拠であり、漏えい情報は犯罪者間で売買され消すことはできない。大量の迷惑メールが続く場合は新しいメールアドレスへの移行を検討し、正規メールにアイコンやマークが表示されるサービスの利用を推奨する。また類似のフィッシングサイトやメール、SMSを発見した際はフィッシング対策協議会（info@antiphishing.jp）へ報告し、入力してしまった場合の対応は協議会の「フィッシング対策協議会　Council of Anti-Phishing Japan | よくあるご質問／お問い合わせ」を参照することが推奨されている。

• フィッシング対策協議会　Council of Anti-Phishing Japan

Windowsカーネル・ActiveX・Grafanaも対象：CISAが9件の脆弱性を追加

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁（CISA: Cybersecurity and Infrastructure Security Agency）は、10月6日～12日にカタログに9つのエクスプロイトを追加した。

• CISA Adds Seven Known Exploited Vulnerabilities to Catalog | CISA
• CISA Adds One Known Exploited Vulnerability to Catalog | CISA
• CISA Adds One Known Exploited Vulnerability to Catalog | CISA

CISAが追加したエクスプロイトは次のとおり。

• CVE Record: CVE-2010-3765
• CVE Record: CVE-2010-3962
• CVE Record: CVE-2011-3402
• CVE Record: CVE-2013-3918
• CVE Record: CVE-2021-22555
• CVE Record: CVE-2021-43226
• CVE Record: CVE-2025-61882
• CVE Record: CVE-2025-27915
• CVE Record: CVE-2021-43798

影響を受ける製品およびバージョンは次のとおり。

• Mozilla Firefox 3.5.xから3.5.14までのバージョン
• Mozilla Firefox 3.6.xから3.6.11までのバージョン
• Thunderbird 3.1.6から3.1.6よりも前のバージョン
• Thunderbird 3.0.xから3.0.10よりも前のバージョン
• SeaMonkey 2.xから2.0.10よりも前のバージョン
• Microsoft Internet Explorer 6
• Microsoft Internet Explorer 7
• Microsoft Internet Explorer 8
• Microsoft Windows XP SP2 - win32k.sys (カーネルモードドライバー)
• Microsoft Windows XP SP3 - win32k.sys (カーネルモードドライバー)
• Microsoft Windows Server 2003 SP2 - win32k.sys (カーネルモードドライバー)
• Microsoft Windows Vista SP2 - win32k.sys (カーネルモードドライバー)
• Microsoft Windows Server 2008 SP2 - win32k.sys (カーネルモードドライバー)
• Microsoft Windows Server 2008 R2 - win32k.sys (カーネルモードドライバー)
• Microsoft Windows Server 2008 R2 SP1 - win32k.sys (カーネルモードドライバー)
• Microsoft Windows 7 Gold - win32k.sys (カーネルモードドライバー)
• Microsoft Windows 7 SP1 - win32k.sys (カーネルモードドライバー)
• Microsoft Windows XP SP2 - InformationCardSigninHelper Class ActiveX control
• Microsoft Windows XP SP3 - InformationCardSigninHelper Class ActiveX control
• Microsoft Windows Server 2003 SP2 - InformationCardSigninHelper Class ActiveX control
• Microsoft Windows Vista SP2 - InformationCardSigninHelper Class ActiveX control
• Microsoft Windows Server 2008 SP2 - InformationCardSigninHelper Class ActiveX control
• Microsoft Windows Server 2008 R2 SP1 - InformationCardSigninHelper Class ActiveX control
• Microsoft Windows 7 SP1 - InformationCardSigninHelper Class ActiveX control
• Microsoft Windows 8 - InformationCardSigninHelper Class ActiveX control
• Microsoft Windows 8.1 - InformationCardSigninHelper Class ActiveX control
• Microsoft Windows Server 2012 Gold - InformationCardSigninHelper Class ActiveX control
• Microsoft Windows Server 2012 R2 - InformationCardSigninHelper Class ActiveX control
• Microsoft Windows RT Gold - InformationCardSigninHelper Class ActiveX control
• Microsoft Windows 8.1 - InformationCardSigninHelper Class ActiveX control
• Linux カーネル2.6.19-rc1以降のバージョン
• Microsoft Windows 10 Version 1809 - Windows Common Log File System Driver
• Oracle Concurrent Processing 12.2.3から12.2.14までのバージョン
• Zimbra Collaboration (ZCS) 9.0
• Zimbra Collaboration (ZCS) 10.0
• Zimbra Collaboration (ZCS) 10.1. A
• grafana 8.0.0から8.0.7よりも前のバージョン
• grafana 8.1.0から8.1.8よりも前のバージョン
• grafana 8.2.0から8.2.7よりも前のバージョン
• grafana 8.3.0

今回CISAが公表した9件の既知の悪用脆弱性は、過去のソフトウェアやOS、アプリケーションにおける古い欠陥から最新のシステムまで幅広く含まれている。とくにWindowsカーネルドライバーやActiveXコントロール、Linuxカーネル、そしてZimbraやGrafanaといった現行の企業利用が多い製品も対象となっており、依然として旧来の脆弱性がサイバー攻撃の足掛かりとして利用され続けている現状を示している。これらの脆弱性を放置した環境では、攻撃者により容易にシステム侵害が行われるおそれが高い。

したがって、組織や利用者はCISAの「Known Exploited Vulnerabilities Catalog」を定期的に確認し、自身のシステムが該当する脆弱性を抱えていないかを継続的に点検する必要がある。とくにレガシーシステムを運用中の環境では、ベンダーサポートの有無にかかわらず、ネットワーク分離やアクセス制御などの代替的防御策を講じることが求められる。CISAの警告は単なる情報提供ではなく、具体的なリスク軽減行動を促す実践的な指針として活用しよう。

• Known Exploited Vulnerabilities Catalog | CISA
• Cybersecurity Alerts & Advisories | CISA

*　*　*

脆弱性が公表された後も修正を怠る利用者の環境は攻撃者に狙われやすい。NAS、ルーター、Webアプリケーションといったネットワーク接続機器は、企業・個人を問わず防御の最前線に位置する機器であり、アップデートを怠ることは重大なリスクにつながる。

セキュリティ対策は「導入して終わり」ではなく、継続的な更新と監視が不可欠だ。脆弱性情報を定期的に確認し、ベンダーの推奨に従った更新やアクセス制御の強化を即時に実施することが、被害を未然に防ぐ最も確実な手段だ。

参考

• IPA 独立行政法人 情報処理推進機構
• JPCERT コーディネーションセンター
• フィッシング対策協議会　Council of Anti-Phishing Japan
• Japan Vulnerability Notes
• Home Page | CISA
• News | CISA
• Cybersecurity Alerts & Advisories | CISA