今週は、保険料や証券会社を装ったフィッシングが相次ぎ、日常業務の中で被害につながるリスクが高まっている。加えて、PDFを開くだけで侵害される可能性があるゼロデイ脆弱性や、すでに攻撃に使われている既知脆弱性も確認されており、複数の脅威が同時に進行している状況だ。
-
国民健康保険料の未納を装ったフィッシングメールの例 出典:フィッシング対策協議会
先週、企業にとって何が最も危険だったのか
先週に明らかになったリスクのうち、企業が押さえておくべきものは以下の3つだ。
- フィッシングが“日常業務の中で発生するリスク”に変化
- PDFを開くだけで成立する攻撃も確認
- 既知脆弱性は「悪用前提」での対応が必要
フィッシングが主戦場に、保険・証券を装う攻撃が増加
先週は、国民健康保険料や生命保険、証券会社を装うフィッシングが複数確認された。いずれも「支払い」「確認」といった業務上の対応を促す内容で、日常業務に紛れ込みやすい点が特徴だ。
フィッシング対策協議会は、4/13から4/19にかけて次の4件の緊急情報を発表した。
- フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | 国民健康保険料の支払い依頼をよそおうフィッシング (2026/04/13)
- フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | 第一生命をかたるフィッシング (2026/04/16)
- フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | 保険会社からの支払い依頼をよそおうフィッシング (2026/04/16)
- フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | SBIネオトレード証券をかたるフィッシング (2026/04/17)
フィッシングはもはや特別な攻撃ではなく、業務の延長線上で発生するリスクに変わっている。特定のメールだけを警戒するのではなく、「支払い」「アカウント確認」といった行為そのものに注意を向ける必要がある。
PDFを開くだけで危険、Adobeのゼロデイ脆弱性
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月13日、アドビのPDF関連ソフト「Adobe Acrobat」および「Adobe Acrobat Reader」に存在する脆弱性(APSB26-43)について注意喚起を行った(参考「Adobe AcrobatおよびReaderの脆弱性(APSB26-43)に関する注意喚起」)。
同脆弱性は、細工されたファイルなどを通じて悪用された場合、攻撃者により任意のコードが実行される可能性がある深刻なもの。アドビによれば、すでにこの脆弱性が悪用されていることも確認されている。
対象となる製品およびバージョンは次のとおり。
- Adobe Acrobat DC Continuous (26.001.21367)およびそれより前のバージョン(Windows、macOS)
- Adobe Acrobat Reader DC Continuous (26.001.21367)およびそれより前のバージョン(Windows、macOS)
- Adobe Acrobat 2024 Classic 2024 (24.001.30356)およびそれより前のバージョン(Windows、macOS)
問題が修正された製品およびバージョンは次のとおり。
- Adobe Acrobat DC Continuous (26.001.21411) (Windows、macOS)
- Adobe Acrobat Reader DC Continuous (26.001.21411) (Windows、macOS)
- Adobe Acrobat 2024 Classic 2024 (24.001.30362) (Windows)
- Adobe Acrobat 2024 Classic 2024 (24.001.30360) (macOS)
PDFは業務で日常的に扱われるファイル形式であり、メール経由での攻撃と組み合わさることで被害につながりやすい点にも注意が必要だ。
悪用を確認済み、優先対応すべき脆弱性とは
結論
今回のポイントは「すでに悪用されている脆弱性が対象」という点だ。
- WindowsやOfficeなど主要製品に影響
- 追加されたのはすべて悪用済み脆弱性
- 未更新環境は侵害前提での確認が必要
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、4/13から4/19にかけて、脆弱性カタログに10のエクスプロイトを追加した。
- CISA Adds Seven Known Exploited Vulnerabilities to Catalog | CISA
- CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA
- CISA Adds One Known Exploited Vulnerability to Catalog | CISA
CISAが追加したエクスプロイトは次のとおり。
- CVE Record: CVE-2012-1854
- CVE Record: CVE-2020-9715
- CVE Record: CVE-2023-21529
- CVE Record: CVE-2023-36424
- CVE Record: CVE-2025-60710
- CVE Record: CVE-2026-21643
- CVE Record: CVE-2026-34621
- CVE Record: CVE-2009-0238
- CVE Record: CVE-2026-32201
- CVE Record: CVE-2026-34197
対象はMicrosoft製品、Adobe製品、Fortinet製品、Apache ActiveMQなど多岐にわたるソフトウェアに影響が及んでいる。古いバージョンのソフトウェアやサポート期限切れ製品はリスクが高く、継続的なパッチ適用と資産管理の徹底が求められる。
まとめ
先週の脅威は「特別な攻撃」ではなく、日常業務の中に入り込む点が特徴だ。
フィッシング、PDF、既知脆弱性――いずれも“普段通りの操作”で被害につながる。企業は次の3点を優先的に見直すべきだ。
- 支払い・認証に関わるメールの確認フロー
- PDFなど外部ファイルの取り扱い
- ソフトウェアの更新状況
「気をつける」ではなく、仕組みとして防ぐことが求められている。
Windows 11が使いにくい原因は初期設定?今すぐ見直すべき14項目
