サイバーセキュリティ最前線(76) PayPay誘導フィッシング拡大、NECルータにも脆弱性　先週の重大セキュリティまとめ

人気ライブラリの供給網攻撃、スマホ決済を狙うフィッシング、家庭用ルータの脆弱性――先週はソフトウェアから個人利用サービス、ネットワーク機器まで幅広い領域でセキュリティリスクが顕在化した。中でもaxiosを狙った攻撃は開発環境そのものを侵害する可能性があり、影響は深刻だ。本記事では、注目すべき事案の内容と、今すぐ取るべき対策を整理する。

連載のこれまでの回はこちらを参照。

先週は何が危険だった？企業・家庭に影響する脆弱性まとめ

今回は、2026年3月第5週4月第1週に明らかになったサイバーセキュリティの動向について解説する。人気ライブラリ「axios」、フィッシング、無線ルータなど、さまざまなリスクを整理する。

それでは、今週注目すべきサイバー攻撃の動向を詳しく見ていこう。

axiosにサプライチェーン攻撃、開発環境は大丈夫？何が危険でどう対策する？

不正バージョンのaxiosをインストールした場合、開発環境やCI/CDがすでに侵害されている可能性があり、環境の再構築が前提となる。

何が起きたのか

StepSecurityは2026年3月30日(現地時間)、npm上で公開されている大人気JavaScript HTTPクライアントライブラリー「axios」において、リモートアクセス型トロイの木馬(RAT)を配布する不正バージョンが公開されていたと発表した。

axios Compromised on npm - Malicious Versions Drop Remote Access Trojan - StepSecurity

問題となったのは「axios@1.14.1」および「axios@0.30.4」の2バージョンであり、いずれも正規メンテナのnpmアカウントが侵害されたことにより公開された。

axiosは週あたり1億回以上ダウンロードされるきわめて利用範囲の広いライブラリーであり、開発者やCI/CD環境を含めた広範な影響が懸念される。

攻撃の特徴（なぜ気づきにくいのか）

今回の攻撃の特徴は、axios本体のソースコードには一切の不正コードが含まれていない点にある。不正バージョンでは「plain-crypto-js@4.2.1」という依存パッケージが新たに追加されており、このパッケージがインストール時に実行される「postinstall」スクリプトを通じてマルウェアを展開する構造となっていた。

この「plain-crypto-js」は、正規の暗号ライブラリ「crypto-js」と同一のソースコードを含む偽装パッケージであり、差分はpackage.jsonに追加されたpostinstallスクリプトなどごく一部に限られている。実際、56ファイルにおよぶ暗号処理コードは正規版と完全一致しており、差分解析では異常が検出されにくい設計となっていた。

実際に何が行われるのか

postinstallスクリプトによって実行されるsetup.jsは、難読化されたドロッパーであり、macOS、Windows、Linuxの各環境を自動判別し、それぞれに対応する第2段階ペイロードを外部サーバーから取得・実行する。このドロッパーは、インストール処理開始から数秒以内にコマンド＆コントロール(C2)サーバ「sfrclak.com:8000」へ通信を開始することが確認されている。

各プラットフォームにおいても、バックグラウンドでの実行や永続化が行われ、インストール後もマルウェアが継続的に動作する。

なぜ発見が難しいのか

いずれの環境においても、マルウェアは実行後に自身の痕跡を徹底的に消去する。setup.jsファイルは削除され、悪意あるpackage.jsonも削除された後、事前に用意された無害なpackage.mdがpackage.jsonとしてリネームされる。

この結果、インストール後にnode_modulesを調査しても不審な痕跡が残らないという高度なアンチフォレンジック機構が実装されている。

さらに、この偽装package.jsonはバージョン番号を「4.2.0」と報告するため、実際にインストールされた不正バージョン「4.2.1」との不整合が生じ、調査をいっそう困難にする。

影響の確認方法

影響の有無を確認するためには、以下の観点での調査が必要だ。

まず、ソースコードやロックファイルにおいて「axios@1.14.1」「axios@0.30.4」および「plain-crypto-js」の記録を確認する。次に、CI/CDログにおいて該当バージョンのインストール履歴や、sfrclak.comまたは該当IPアドレスへの通信記録を調査する。さらに、開発環境においてnode_modules内にplain-crypto-jsディレクトリが存在する場合、それ自体が侵害の強い指標となる。

どう対策すべきか

StepSecurityは、該当バージョンをインストールした場合はシステムが侵害された前提で対応すべきとし、環境の再構築、認証情報のローテーション、CIシークレットの無効化などの対策を推奨している。

ポイント

この攻撃は、トップクラスの人気npmパッケージを標的とし、依存関係とインストールフックを悪用した高度なサプライチェーン攻撃の一例だ。コード改変を伴わず、正規の配布経路を利用しつつ痕跡を消去する手法はきわめて巧妙であり、今後のソフトウェア開発における依存関係管理と実行時監視の重要性を強く示す事例といえる。

PayPay誘導フィッシングが急増、どんな手口で被害は防げる？

現在、PayPay誘導フィッシングは増加しており、メール経由の支払い誘導が主流。公式アプリ以外のリンクは開かないことが重要だ。

フィッシング対策協議会は4月2日、クレジットカードの月額請求や通信料金の未払いを装い、スマートフォン決済サービスのPayPayアプリでの支払いへ誘導し送金させるフィッシングの手口について注意喚起を行った(参考「フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | PayPayアプリでの支払いへ誘導するフィッシング (2026/04/02)」)。

フィッシング対策協議会 Council of Anti-Phishing Japan ｜ニュース｜緊急情報｜ PayPayアプリでの支払いへ誘導するフィッシング (2026/04/02)

確認されているフィッシングメールは「サービス停止のお知らせ(料金未払い)」や「請求予定金額のお知らせ」など、料金未納を強調する件名が多く、受信者に不安を与えて支払いを急がせる内容となっている。また、「PayPayでオンライン決済をお済ませください」などと記載し、アプリの起動や送金操作へ誘導する特徴がある。

4月2日13時時点で、誘導先のフィッシングサイトは稼働中であり、JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)がサイト閉鎖に向けた調査を進めている。今後も類似サイトが公開される可能性があるとして、継続的な警戒を呼びかけている。

手口としては、メール内のリンクから外部サイトへ誘導し、最終的に正規のPayPayのURL形式を装ったページ(qr.paypay.ne.jp配下など)へ遷移させるケースが確認されている。途中段階では複数の不審なドメインを経由することもあり、利用者が正規サイトと誤認するリスクが高い。

フィッシング対策協議会は対策として、メールから直接アプリを開くよう促された場合は操作を中断し、正規の通知であるかを確認すること、支払い先情報を慎重に確認することを求めている。また、正規メールに識別マークを表示する機能を備えたメールサービスの利用や、迷惑メールフィルターの有効化も有効とした。

さらに、フィッシングメールが届く背景にはメールアドレスの漏えいがあると指摘。漏えいした情報は第三者間で流通するため完全な削除は困難であり、大量の不審メールが継続する場合は新たなメールアドレスへの移行も検討すべきとしている。

NEC Atermルータに深刻な脆弱性、あなたの機種は対象？対策は？

複数のAterm機種にコマンド実行などの重大な脆弱性が存在し、対象機種ではファームウェア更新または利用停止が必要となる。

JPCERTコーディネーションセンター(JPCERT/CC)は4月3日、NECが提供するAtermシリーズに複数の脆弱性(CVE-2026-4309、CVE-2026-4619、CVE-2026-4620、CVE-2026-4621、CVE-2026-4622)が存在すると発表した。OSコマンドインジェクションや権限の欠如、セキュリティ上問題のある隠し機能といった脆弱性が存在するとしている(参考「JVN#89339669: NEC Atermシリーズにおける複数の脆弱性（NV26-001）」)。

JVN#89339669: NEC Atermシリーズにおける複数の脆弱性（NV26-001）

NECは対象の脆弱性が存在する製品として、次の製品およびバージョンを挙げている。

W1200EX(-MS) すべてのバージョン
WF1200CR Ver.1.6.0より前のバージョン
WG1200CR Ver.1.5.0より前のバージョン
WG1200HP2 すべてのバージョン
WG1200HP3 すべてのバージョン
WG1200HP4 すべてのバージョン
WG1200HS2 すべてのバージョン
WG1200HS3 すべてのバージョン
WG1200HS4 すべてのバージョン
WG1800HP3 すべてのバージョン
WG1800HP4 すべてのバージョン
WG1900HP すべてのバージョン
WG1900HP2 すべてのバージョン
WG2600HM4 Ver.1.4.2より前のバージョン
WG2600HP4 Ver.1.4.2より前のバージョン
WG2600HS Ver.1.7.2より前のバージョン
WG2600HS2 Ver.1.3.2より前のバージョン
WX1500HP Ver.1.4.2より前のバージョン
WX3000HP Ver.2.5.0より前のバージョン
WX3000HP2 Ver.1.3.2より前のバージョン
WX3600HP Ver.1.5.3より前のバージョン

製品ごとに対処方法が異なるとして、NECは該当するユーザーに対してサポートページ(「2026年3月 Aterm製品におけるLAN側からの不正アクセスの脆弱性への対処方法について｜サポート技術情報｜目的別で探す｜Aterm（エーターム）サポートデスク」「2026年3月 Aterm製品（サポート終了）におけるLAN側からの不正アクセスの脆弱性への対処方法について｜サポート技術情報｜目的別で探す｜Aterm（エーターム）サポートデスク」「2026年3月 Aterm製品におけるLAN側からの不正アクセスの脆弱性への対処方法について」)を確認するよう求めている。

CISAが警告する“悪用済み脆弱性”とは？NetScalerやChromeは影響あり？

CISAはすでに攻撃に悪用されている脆弱性を新たに追加しており、該当するNetScalerやChromeなどは未対策のまま使用すると実際の攻撃リスクが高い。

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、03/30～04/05にカタログに3つのエクスプロイトを追加した。

CISAが追加したエクスプロイトは次のとおり。

影響を受ける製品およびバージョンは次のとおり。

NetScaler ADC 14.1から66.59よりも前のバージョン
NetScaler ADC 13.1から62.23よりも前のバージョン
NetScaler ADC 13.1 FIPS and NDcPPから37.262よりも前のバージョン
NetScaler Gateway 14.1から66.59よりも前のバージョン
NetScaler Gateway 13.1から62.23よりも前のバージョン
Google Chrome 146.0.7680.178から146.0.7680.178よりも前のバージョン
TrueConf Client 8.1.0から8.5.2までのバージョン

CISAは2026年3月末から4月初旬にかけて、実際に悪用が確認された3件の脆弱性(CVE-2026-3055、CVE-2026-5281、CVE-2026-3502)をカタログに追加した。これらはNetScaler製品群、Google Chrome、TrueConf Clientといった広く利用されるソフトウェアに影響し、未対策の環境では攻撃リスクが高まるため、該当バージョンを使用している場合は速やかなアップデートや緩和策の適用が求められる。