1月5日~11日に公表された主要なサイバーセキュリティ情報の1つが、シャープ製プロジェクターで多数機種に深刻な欠陥が判明し、任意操作や情報漏えいの恐れが指摘されたというものだ。さらに、WHILL製電動車椅子ではBluetooth認証不備により第三者操作の可能性があるという。また、CISAはPowerPoint旧版とHPE OneViewの既知悪用脆弱性を追加し、迅速な更新対応の重要性を強調している。

連載のこれまでの回はこちらを参照

1月5日~11日の最新サイバーセキュリティ情報

1月5日~11日に公開された最新のサイバーセキュリティ関連情報のなかから、影響範囲が広い脆弱性事例を中心に紹介する。対象となるのは業務機器や福祉機器、企業向けIT管理製品など多岐にわたる。

それでは、今週注目すべきサイバー攻撃動向を詳しく見ていこう。

シャープ製プロジェクター多数に深刻な脆弱性、JPCERT/CCが注意喚起

JPCERTコーディネーションセンター(JPCERT/CC:Japan Computer Emergency Response Team Coordination Center)は1月7日、シャープディスプレイソリューションズが提供する複数のプロジェクターにおいて、複数の脆弱性が存在することを公表した。影響を受ける製品は広範囲であり、具体的な対象機種についてはベンダーが提供する情報を確認する必要があるとしている(参考「JVN#45776251: 複数のシャープディスプレイソリューションズ製プロジェクターにおける複数の脆弱性」)。

  • JVN#45776251: 複数のシャープディスプレイソリューションズ製プロジェクターにおける複数の脆弱性

    JVN#45776251: 複数のシャープディスプレイソリューションズ製プロジェクターにおける複数の脆弱性

本件では、パストラバーサル、スタックベースのバッファーオーバーフロー、データ完全性の検証不備、非公開機能の悪用、認可されていない相手への機微な情報漏えいといった複数の脆弱性が確認されている。これらにより、任意のファイル取得やコマンド実行、不正なファームウェアの実行、ネットワーク接続情報の漏えい、さらには第三者による任意操作が行われる可能性がある。

セキュリティ脆弱性に関する情報は次のページに掲載されている。

セキュリティ脆弱性の影響を受ける製品は次のとおり。

  • NP-M260WJL
  • NP-M260XJL
  • NP-M271WJL
  • NP-M271XJL
  • NP-M300WJL
  • NP-M300WSJL
  • NP-M300XJL
  • NP-M302WSJD-N3
  • NP-M303WSJD
  • NP-M311WJL
  • NP-M311XJL
  • NP-M350XJL
  • NP-M350XSJL
  • NP-M352WSJD-N3
  • NP-M353HSJD
  • NP-M353WSJD
  • NP-M361XJL
  • NP-M362WJD
  • NP-M363WJD
  • NP-M402HJD
  • NP-M402WJD
  • NP-M402XJD
  • NP-M403HJD
  • NP-M403WJD
  • NP-M403XJD
  • NP-ME331WJL
  • NP-ME361WJL
  • NP-ME401WJL
  • NP-ME401XJL
  • NP-P350WJL
  • NP-P401WJL
  • NP-P401WJL-N2
  • NP-P401WJL-N3
  • NP-P420XJL
  • NP-P451WJL
  • NP-P451WJL-N2
  • NP-P451WJL-N3
  • NP-P451XJL
  • NP-P451XJL-N2
  • NP-P451XJL-N3
  • NP-P474WJL
  • NP-P501XJL
  • NP-P501XJL-N2
  • NP-P501XJL-N3
  • NP-P502HJD
  • NP-P502HLJD
  • NP-P502HLJD-2
  • NP-P502WJD
  • NP-P502WLJD
  • NP-P502WLJD-2
  • NP-P525ULJL
  • NP-P525WLJL
  • NP-P547ULJL
  • NP-P554UJL
  • NP-P554WJL
  • NP-P604XJL
  • NP-P605ULJL
  • NP-P627ULJL
  • NP-PA1004UL-BJL
  • NP-PA1004UL-WJL
  • NP-PA1505UL-BJL
  • NP-PA1505UL-WJL
  • NP-PA1705UL-BJL
  • NP-PA1705UL-WJL
  • NP-PA500UJL
  • NP-PA500XJL
  • NP-PA500XJL13ZL
  • NP-PA521UJL
  • NP-PA550WJL
  • NP-PA550WJL13ZL
  • NP-PA571WJL
  • NP-PA600XJL
  • NP-PA621UJL
  • NP-PA622UJL
  • NP-PA653UJL
  • NP-PA653ULJL
  • NP-PA671WJL
  • NP-PA703ULJL
  • NP-PA703WJL
  • NP-PA721XJL
  • NP-PA723UJL
  • NP-PA803UJL
  • NP-PA803ULJL
  • NP-PA804UL-BJL
  • NP-PA804UL-WJL
  • NP-PA853WJL
  • NP-PA903XJL
  • NP-PE501XJL
  • NP-PE501XJL-N2
  • NP-PE501XJL-N3
  • NP-PH1000UJD
  • NP-PH1202HLJD
  • NP-PH1400UJD
  • NP-PH2601QL-30K
  • NP-PH3501QL-40K
  • NP-PV730UL-BJL
  • NP-PV730UL-WJL
  • NP-PV800UL-BJL
  • NP-PV800UL-WJL
  • NP-PX1004UL-BKJD
  • NP-PX1004UL-WHJD
  • NP-PX1005QL-BJD
  • NP-PX602UL-WHJD
  • NP-PX602WL-WHJD
  • NP-PX700WJD
  • NP-PX700WJD2
  • NP-PX750UJD
  • NP-PX750UJD2
  • NP-PX800XJD
  • NP-PX800XJD2
  • NP-PX803UL-BKJD
  • NP-PX803UL-WHJD
  • NP-UM330WiJL
  • NP-UM330WiJL-N2
  • NP-UM330WJL
  • NP-UM330WJL-N2
  • NP-UM330WJL-N3
  • NP-UM330XiJL
  • NP-UM330XiJL-N2
  • NP-UM330XJL
  • NP-UM330XJL-N2
  • NP-UM330XJL-N3
  • NP-UM351WJL
  • NP-UM352WJL
  • NP-UM361XJL
  • NP-UM383WLJL

ベンダーは影響を受ける全ての製品に対して回避策を提供しており、ユーザーにはその内容に基づきワークアラウンドを適用することが推奨されている。一部製品については脆弱性を修正した最新版ファームウェアが提供されているため、可能な場合はアップデートを実施すべきであるとしている。

発表されたセキュリティ脆弱性は影響を受ける対象製品が多岐にわたる。シャープディスプレイソリューションズのプロジェクターを使用している場合、上記リストや同社が提供している情報に掲載されている製品を使用していないか確認するとともに、該当する場合には迅速に対策を実施することが望まれている。

WHILL製電動車椅子にBluetooth認証不備

JPCERTコーディネーションセンターは1月7日、WHILLが提供する複数の電動車椅子に、Bluetooth接続に関する認証不備の脆弱性(CWE-306、CVE-2025-14346)が存在することを発表した(参考「JVNVU#99179109: 複数のWHILL電動車椅子におけるBluetooth接続に関する認証不備の脆弱性」)。

  • JVNVU#99179109: 複数のWHILL電動車椅子におけるBluetooth接続に関する認証不備の脆弱性

    JVNVU#99179109: 複数のWHILL電動車椅子におけるBluetooth接続に関する認証不備の脆弱性

本セキュリティ脆弱性の影響を受ける製品およびバージョンは次のとおり。

  • Model C2 Electric WheelChair全てのバージョン
  • Model F Power Chair全てのバージョン

本セキュリティ脆弱性が悪用された場合、通信可能な範囲にいる第三者がBluetooth接続を不正に行い、移動コマンドの発行、速度制限の無効化、設定プロファイルの変更などを実行する可能性がある。これに対し、ベンダーは2025年12月29日に対策済みのファームウェア更新を提供している。ユーザーは速やかにアップデートを実施するとともに、詳細については開発者へ問い合わせることが推奨されている。

CISAが既知の悪用脆弱性2件をカタログに追加、PowerPointとHPE OneViewが影響

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、1月5日~11日にカタログに2つのエクスプロイトを追加した。

CISAが追加したエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

  • Microsoft Office PowerPoint 2000 SP3
  • Microsoft Office PowerPoint 2002 SP3
  • Microsoft Office PowerPoint 2003 SP3
  • PowerPoint in Microsoft Office 2004 for Mac
  • Hewlett Packard Enterprise (HPE) HPE OneView 0から11.00よりも前のバージョン

CISAは既知の悪用が確認された2件の脆弱性をカタログへ追加し、Microsoft PowerPointの旧バージョンおよびHPE OneViewの特定バージョンが影響を受けることを明らかにした。これらの脆弱性はすでに実環境で悪用されているため、対象製品を使用している組織は自組織の利用状況を速やかに確認し、更新や緩和策の適用など適切な対応を講じる必要がある。

* * *

本稿で紹介した事例はいずれも、すでに悪用や実害につながる可能性が指摘されている脆弱性だ。とくにファームウェア更新や設定変更を怠ることで、被害リスクが高まる点が共通している。

利用者や組織は自らの利用製品を把握し、公式情報に基づく更新や回避策を速やかに実施しよう。継続的な情報収集と対策の積み重ねが、サイバーリスク低減につながる。

参考