10月14日にMicrosoftがWindows 10のサポートを正式に終了し、旧OS利用者に深刻なリスクが生じた。バッファロー製Wi-Fiルーターにも高危険度の脆弱性が発見され、速やかなアップデートが推奨された。9月のフィッシング報告は22万件を超え、AmazonやAppleを装う事例が急増している。米CISAは6件の既知悪用脆弱性を新たに追加し、旧ソフトの放置が依然として攻撃者の標的となっていることを示した。全体として、OS更新・脆弱性管理・認証強化の三位一体の対策が急務だ。

連載のこれまでの回はこちらを参照

10月13日~19日の最新サイバーセキュリティ情報

本稿では、10月13日~19日にかけて報告・発表された主要なサイバーセキュリティ関連の出来事を整理する。MicrosoftによるWindows 10サポート終了をはじめ、企業・個人を問わず多くの利用者が直面するリスクを明らかにし、脆弱性への対応やフィッシング詐欺への注意喚起を目的としている。

それでは、今週注目すべきサイバー攻撃動向を詳しく見ていこう。

「Windows 10」サポート終了

Microsoftは10月14日、Windows 10の公式サポートを終了した。これにより、同日を最後にセキュリティ更新プログラムやバグ修正が提供されなくなり、一般ユーザーに対するサポートは打ち切りとなる。企業や個人の多くは依然としてWindows 10を使用しているが、サポート終了後は新たな脆弱性に対して防御手段が失われるため、サイバー攻撃のリスクが急速に高まる状況にある(参考「Microsoft、Windows 10のサポート終了を正式発表 | TECH+(テックプラス)」)。

  • Windows 10、Windows 8.1、Windows 7 のサポート終了|Microsoft Windows

    Windows 10、Windows 8.1、Windows 7 のサポート終了 | Microsoft Windows

Microsoftは「拡張セキュリティ更新プログラム(ESU:Extended Security Update)」を提供することで、企業や一部の個人に対し一定期間の延命措置を用意している。ESUは有償で提供され、継続的にセキュリティパッチを受け取ることが可能だ。とくに業務システムの更新が困難な企業にとっては、移行準備の猶予を得る手段として重要な役割を果たす。

Microsoftは個人ユーザー向けにも無償でESUを入手できる仕組みを整備しており、セキュリティリスクを一定程度緩和する道を残している。ただし、これは一時的な救済措置にすぎず、長期的な安全性を保証するものではない。ハードウェアやソフトウェアの互換性問題を抱えたまま旧OSを使い続けることは、結果的に個人情報流出やランサムウェア感染などの深刻な被害を招くおそれがある(参考「Windows 10を無償で延長する方法 - 拡張セキュリティ更新プログラム(ESU)の登録方法 | TECH+(テックプラス)」「Windows 10を延命するための現実解:Microsoft Storeでアップデートを購入する | TECH+(テックプラス)」)。

サイバーセキュリティの観点からは、Windows 10の継続使用は推奨されない。利用者はできる限り早期にWindows 11など、引き続きサポートとセキュリティ更新が提供されている最新のオペレーティングシステムへ移行すべきだ。最新OSへの移行は初期コストを伴うものの、長期的に見れば安全性・安定性の確保という観点で合理的な選択といえる。

Microsoft、悪用確認済み脆弱性を含む10月パッチを公開

Microsoftは10月14日(米国時間)、自社製品に影響する複数の脆弱性を修正するための月例セキュリティ更新プログラムを公開した。ユーザーには速やかな更新の適用が推奨されており、多くの製品では自動更新が既定で有効になっている。また、悪意のあるソフトウェアの削除ツールにおいても新たなマルウェアファミリーが追加された。

  • 2025 年 10 月のセキュリティ更新プログラム (月例)

    2025 年 10 月のセキュリティ更新プログラム(月例)

今月の更新では、すでに悪用が確認されている脆弱性や詳細が公表されている脆弱性が複数修正された。とくにCVE-2025-2884(TPM2.0の境界外読み取り)やCVE-2025-24052(Windows Agereモデムドライバーの特権昇格)などが挙げられる。また、CVSS基本値が9.8以上ときわめて高い脆弱性も報告されており、ASP.NETのセキュリティ機能バイパス(CVE-2025-55315)などが該当する。これらの脆弱性は悪用事例は確認されていないが、企業には早急なリスク評価と更新適用が求められる。

更新プログラムはWindows 11やWindows Server 2025、Microsoft Office、Exchange Server、Azureなど幅広い製品群におよぶ。多くの更新で「緊急」または「重要」に分類される深刻な脆弱性が修正されており、とくにリモートコード実行や特権昇格のリスクを伴うものが中心だ。Microsoft Exchangeの更新については専用ブログで詳細な展開ガイドが提供されている。

また、既存の脆弱性情報3件も更新された。Windowsインストーラーの特権昇格脆弱性(CVE-2025-50173)では、影響範囲にMultimedia Redirection Installerが追加されたほか、Windows暗号化サービスの脆弱性(CVE-2024-30098)では修正内容の拡張と既定設定の変更が行われた。これにより、RSA証明書の取り扱い設定が強化され、セキュリティがいっそう向上している。

サービススタック更新プログラムに関するアドバイザリーADV990001が更新され、最新のSSU提供が通知された。Edge(Chromium版)の更新は別スケジュールで配信されるため、専用のリリース情報で確認する必要がある。Microsoftはセキュリティ更新プログラムガイドを通じて詳細な情報やAPIによるレポート作成機能を提供しており、ユーザーにはRSSや通知プロファイルを利用した購読を推奨している。次回の更新は2025年11月11日に予定されている。

バッファロー製Wi-Fiルーターに深刻な脆弱性、早急な更新を推奨

JPCERTコーディネーションセンター(JPCERT/CC:Japan Computer Emergency Response Team Coordination Center)は10月15日、バッファロー製Wi-Fiルーター「WXR9300BE6Pシリーズ」において、パストラバーサルの脆弱性(CWE-22)が存在すると公表した。本脆弱性は、ファームウェアVer.1.10より前のバージョンに影響し、CVSS v4.0基本値は8.6、CVSS v3.0基本値は7.2と評価されている。脆弱性識別番号はCVE-2025-61941で、当該製品の設定画面にログイン可能な管理者ユーザーによって任意のファイルを改ざんされるおそれがあるとされる。さらに、ファイル改ざんを通じて任意のOSコマンドを実行される可能性も指摘されている(参考「JVNVU#96471278: バッファロー製Wi-FiルーターWXR9300BE6Pシリーズにおけるパストラバーサルの脆弱性」)。

  • WXR9300BE6Pシリーズにおけるパストラバーサルの脆弱性とその対処方法(JVNVU#96471278)|バッファロー

    WXR9300BE6Pシリーズにおけるパストラバーサルの脆弱性とその対処方法(JVNVU#96471278) | バッファロー

この問題に対しては、バッファローが提供する最新のファームウェアへのアップデートが推奨されている。JPCERT/CCは、影響を受けるユーザーに対し、ベンダーの告知ページを確認し、速やかに更新を行うよう呼びかけている。なお、バッファローは10月15日付で本脆弱性に関する公式情報を公開し、該当製品が対象であることを確認している。

Amazon・Apple詐称が3割超に、フィッシング報告22万件超

フィッシング対策協議会は10月17日、2025年9月のフィッシング報告状況を公表した。報告件数は22万4,693件で前月比1万3,360件増加し、約16.2%の増加だった。報告のうち、Amazonをかたるものが約15.4%、Appleをかたるものが約11.3%を占め、ANAと日本航空を含めると全体の約36%に達した。EC系や配送系が急増し、クレジット・信販系および航空系も増加した。一方、証券系は減少し、全体では111ブランドが悪用された(参考「フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2025/09 フィッシング報告状況」)。

  • フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2025/09 フィッシング報告状況

    フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2025/09 フィッシング報告状況

スミッシング(SMSを利用したフィッシング)は増加傾向にあり、クレジット・信販系を装う事例が目立った。宅配便不在通知を装う文面も多く報告された。フィッシングサイトのURL件数は6万9,077件で前月より7,206件減少したが、.comと.cnドメインの悪用が依然として多く、全体の約76%を占めた。なりすましメールの増加も顕著で、送信ドメイン認証(DMARC)で対策可能な割合は約18.6%にとどまり、認証未対応や緩いポリシーを持つドメインの悪用が拡大している。

送信元IPの逆引き設定がないケースは約88.6%に上り、前月から増加した。とくにGoogle Cloudを利用した送信が多く、逆引き設定済みの約62.7%が同サービス由来だった。送信国別では中国が約48%を占め、香港、米国、ベトナム、ブラジル、日本が続いた。9月前半は一日平均8,500件のフィッシングメールが確認されたが、後半は減少傾向を示した。証券会社をかたる攻撃は減少し、他業種ブランドが新たに狙われる傾向が見られた。

政府も対策を強化しており、総務省は9月1日、通信関連4団体に送信ドメイン認証の強化と利用者啓発を要請した。これにより、業界主導での技術的・教育的対応が進展することが期待される。加えて、フィッシング以外の脅威として、マルウェア配布や投資詐欺、偽の給付金申請などを装うメールも多数報告された。これらの詐欺被害に遭遇した場合は、速やかに警察への相談が推奨されている。

フィッシング対策協議会は事業者に対し、送信ドメイン認証と逆引き設定の徹底、DMARCポリシーのreject化、BIMI対応による正規メールの可視化を求めた。また、利用者には多要素認証やパスキーの活用、パスワードマネージャーの利用を推奨し、SMSリンクからのアプリインストールを避けるよう注意を呼びかけた。さらに、疑わしいメールやSMSはフィッシング対策協議会への報告を促し、社会全体での対策強化を訴えた(「フィッシングの報告」)。

Adobe、Rapid7、Microsoftなど広範な製品に影響 - 6件の既知悪用脆弱性を新たにカタログへ追加

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、10月13日~19日にカタログに6つのエクスプロイトを追加した。

CISAが追加したエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • Adobe Experience Manager 0から6.5.23までのバージョン
  • SKYSEA Client View Ver.11.221.03およびこれよりも前のバージョン
  • Rapid7 Velociraptor (Windows、MacOS、Linux) 0から0.74.3までのバージョン
  • Microsoft Windows 10 Version 1507 (32-bit Systems、x64-based) 10.0.10240.0から10.0.10240.2116よりも前のバージョン
  • Microsoft Windows 10 Version 1507 (x64-based Systems) 10.0.10240.0から10.0.10240.21161よりも前のバージョン
  • Microsoft Windows 10 Version 1607 (32-bit Systems、x64-based) 10.0.14393.0から10.0.14393.851よりも前のバージョン
  • Microsoft Windows 10 Version 1607 (x64-based Systems) 10.0.14393.0から10.0.14393.8519よりも前のバージョン
  • Microsoft Windows 10 Version 1809 (32-bit Systems、x64-based) 10.0.17763.0から10.0.17763.791よりも前のバージョン
  • Microsoft Windows 10 Version 1809 (x64-based Systems) 10.0.17763.0から10.0.17763.7919よりも前のバージョン
  • Microsoft Windows 10 Version 21H2 (32-bit Systems、ARM64-based Systems、x64-based) 10.0.19044.0から10.0.19044.645よりも前のバージョン
  • Microsoft Windows 10 Version 21H2 (x64-based Systems) 10.0.19044.0から10.0.19044.6456よりも前のバージョン
  • Microsoft Windows 10 Version 22H2 (x64-based Systems、ARM64-based Systems、32-bit) 10.0.19045.0から10.0.19045.645よりも前のバージョン
  • Microsoft Windows 10 Version 22H2 (x64-based Systems) 10.0.19045.0から10.0.19045.6456よりも前のバージョン
  • Microsoft Windows 11 version 22H2 (ARM64-based Systems、x64-based) 10.0.22621.0から10.0.22621.606よりも前のバージョン
  • Microsoft Windows 11 version 22H2 (x64-based Systems) 10.0.22621.0から10.0.22621.6060よりも前のバージョン
  • Microsoft Windows 11 version 22H3 (ARM64-based) 10.0.22631.0から10.0.22631.606よりも前のバージョン
  • Microsoft Windows 11 Version 23H2 (x64-based Systems) 10.0.22631.0から10.0.22631.6060よりも前のバージョン
  • Microsoft Windows 11 Version 23H2 (x64-based) 10.0.22631.0から10.0.22631.606よりも前のバージョン
  • Microsoft Windows 11 Version 24H2 (ARM64-based Systems、x64-based) 10.0.26100.0から10.0.26100.689よりも前のバージョン
  • Microsoft Windows 11 Version 24H2 (x64-based Systems) 10.0.26100.0から10.0.26100.6899よりも前のバージョン
  • Microsoft Windows 11 Version 25H2 10.0.26200.0から10.0.26200.6899よりも前のバージョン
  • Microsoft Windows 11 Version 25H2 10.0.26200.0から10.0.26200.689よりも前のバージョン
  • Microsoft Windows Server 2008 R2 Service Pack 1 (Server Core installation) (x64-based Systems) 6.1.7601.0から6.1.7601.27974よりも前のバージョン
  • Microsoft Windows Server 2008 R2 Service Pack 1 (Server Core installation) (x64-based) 6.1.7601.0から6.1.7601.2797よりも前のバージョン
  • Microsoft Windows Server 2008 R2 Service Pack 1 (x64-based Systems) 6.1.7601.0から6.1.7601.27974よりも前のバージョン
  • Microsoft Windows Server 2008 R2 Service Pack 1 (x64-based) 6.1.7601.0から6.1.7601.2797よりも前のバージョン
  • Microsoft Windows Server 2008 Service Pack 2 (32-bit Systems、x64-based) 6.0.6003.0から6.0.6003.2357よりも前のバージョン
  • Microsoft Windows Server 2008 Service Pack 2 (Server Core installation) (32-bit Systems、x64-based) 6.0.6003.0から6.0.6003.2357よりも前のバージョン
  • Microsoft Windows Server 2008 Service Pack 2 (Server Core installation) (x64-based Systems) 6.0.6003.0から6.0.6003.23571よりも前のバージョン
  • Microsoft Windows Server 2008 Service Pack 2 (x64-based Systems) 6.0.6003.0から6.0.6003.23571よりも前のバージョン
  • Microsoft Windows Server 2012 (Server Core installation) (x64-based Systems) 6.2.9200.0から6.2.9200.25722よりも前のバージョン
  • Microsoft Windows Server 2012 (Server Core installation) (x64-based) 6.2.9200.0から6.2.9200.2572よりも前のバージョン
  • Microsoft Windows Server 2012 (x64-based Systems) 6.2.9200.0から6.2.9200.25722よりも前のバージョン
  • Microsoft Windows Server 2012 (x64-based) 6.2.9200.0から6.2.9200.2572よりも前のバージョン
  • Microsoft Windows Server 2012 R2 (Server Core installation) (x64-based Systems) 6.3.9600.0から6.3.9600.22824よりも前のバージョン
  • Microsoft Windows Server 2012 R2 (Server Core installation) (x64-based) 6.3.9600.0から6.3.9600.2282よりも前のバージョン
  • Microsoft Windows Server 2012 R2 (x64-based Systems) 6.3.9600.0から6.3.9600.22824よりも前のバージョン
  • Microsoft Windows Server 2012 R2 (x64-based) 6.3.9600.0から6.3.9600.2282よりも前のバージョン
  • Microsoft Windows Server 2016 (Server Core installation) (x64-based Systems) 10.0.14393.0から10.0.14393.8519よりも前のバージョン
  • Microsoft Windows Server 2016 (Server Core installation) (x64-based) 10.0.14393.0から10.0.14393.851よりも前のバージョン
  • Microsoft Windows Server 2016 (x64-based Systems) 10.0.14393.0から10.0.14393.8519よりも前のバージョン
  • Microsoft Windows Server 2016 (x64-based) 10.0.14393.0から10.0.14393.851よりも前のバージョン
  • Microsoft Windows Server 2019 (Server Core installation) (x64-based Systems) 10.0.17763.0から10.0.17763.7919よりも前のバージョン
  • Microsoft Windows Server 2019 (Server Core installation) (x64-based) 10.0.17763.0から10.0.17763.791よりも前のバージョン
  • Microsoft Windows Server 2019 (x64-based Systems) 10.0.17763.0から10.0.17763.7919より前のバージョン
  • Microsoft Windows Server 2019 (x64-based) 10.0.17763.0から10.0.17763.791よりも前のバージョン
  • Microsoft Windows Server 2022 (x64-based Systems) 10.0.20348.0から10.0.20348.4294より前のバージョン
  • Microsoft Windows Server 2022 (x64-based) 10.0.20348.0から10.0.20348.429よりも前のバージョン
  • Microsoft Windows Server 2022、23H2 Edition (Server Core installation) (x64-based Systems) 10.0.25398.0から10.0.25398.1913よりも前のバージョン
  • Microsoft Windows Server 2022、23H2 Edition (Server Core installation) (x64-based) 10.0.25398.0から10.0.25398.191よりも前のバージョン
  • Microsoft Windows Server 2025 (Server Core installation) (x64-based Systems) 10.0.26100.0から10.0.26100.6899よりも前のバージョン
  • Microsoft Windows Server 2025 (Server Core installation) (x64-based) 10.0.26100.0から10.0.26100.689よりも前のバージョン
  • Microsoft Windows Server 2025 (x64-based Systems) 10.0.26100.0から10.0.26100.6899よりも前のバージョン
  • Microsoft Windows Server 2025 (x64-based) 10.0.26100.0から10.0.26100.689よりも前のバージョン
  • IGEL OS 11よりも前のバージョン

今回CISAが公表した6件の既知の悪用脆弱性の追加は、依然としてサイバー攻撃者による旧バージョンソフトウェアや放置されたシステムの悪用が続いている現実を示している。AdobeやRapid7、SKYSEAなどの広範なソフトウェア、さらに複数世代にわたるWindowsおよびWindows Server製品群が影響を受けている点は、民間企業から行政機関に至るまで広範な影響を及ぼす可能性も示しており、CISAはこれらの脆弱性を積極的にカタログ化し、管理者に対して更新や緩和措置を迅速に講じるよう求めている。

組織としては、当該CVEの該当有無を確認し、該当する場合には速やかなパッチ適用を行うことが不可欠だ。古いバージョンを運用している場合には、システムの更改計画やリスク軽減策の検討を進める必要がある。CISAのKnown Exploited Vulnerabilities Catalogは継続的に更新されており、定期的な監視と脆弱性管理体制の強化が、今後のサイバーリスク低減において重要な要素になる。

* * *

本稿で取り上げた事例はいずれも、サポート切れのシステムや未更新のソフトウェアが重大な脅威となるかを示している。サイバー攻撃は常に最新の脆弱性を狙っており、企業・個人を問わず継続的な更新と監視が不可欠だ。

利用者は、OSやアプリケーションの更新、ファームウェアの適用、そして多要素認証やパスワード管理の徹底といった基本的対策を怠ってはならない。セキュリティは一度構築すれば終わりではなく、日々変化する脅威に応じて継続的に強化していくことが安全を守る唯一の道だ。

参考