古いルータや未更新のサーバが、今、攻撃の入口となっている。Mirai亜種による感染拡大や、未修正のまま公開されたサーバを狙う攻撃が確認されており、見落とされがちな機器がリスクとなっている。先週の動向から、企業が優先して確認すべきポイントを整理する。
-
古いルータや未更新の機器は、攻撃の入口になるリスクがある Photo:PIXTA
先週、何が危険だったのか
先週に発生したセキュリティリスクのうち、押さえておきたいのは次の3つだ。
- 古いルータが攻撃対象になっている
- 脆弱性が未修正のサーバが継続して狙われている
- 既知の脆弱性が“悪用前提”で扱われている
なぜ古いルータが狙われるのか(D-Linkの事例)
Akamaiは2026年4月21日(米国時間)、D-Link製ルータの既知の脆弱性「CVE-2025-29635」を悪用した攻撃活動を確認したと発表した。Akamaiのセキュリティインシデント対応チームは、2026年3月初旬から世界規模のハニーポット観測網において、この脆弱性を狙った不正アクセス試行を検知している。
この脆弱性は、D-LinkのDIR-823Xシリーズルータのファームウェア(バージョン240126および24082)に存在するコマンドインジェクションの欠陥。特定のリクエストを送信することで遠隔から任意のコマンドを実行できるコマンドインジェクションの欠陥で、Mirai亜種によるマルウェア感染に悪用されている。
CVE-2025-29635は2025年3月に公表されたもので、内部処理でMACアドレス値が十分な検証を経ずにコマンドバッファーへコピーされ、そのままsystem関数に渡される。このため、細工された入力を送ることで任意コマンドの実行が可能となる。
研究者らは当初、概念実証(PoC)コードを公開していたが、現在は削除されている。この脆弱性は本稿執筆時点で米国の既知悪用脆弱性カタログには登録されていない。
攻撃では、外部サーバからマルウェアをダウンロードして実行する手法が確認されており、複数のCPUアーキテクチャに対応した典型的なMirai亜種の特徴を持つ。
また、この攻撃はD-Link機器だけでなく、TP-Link Archer AX21に影響するCVE-2023-1389や、ZTE製ルータ「ZXV10 H108L」のリモートコード実行脆弱性も同時に狙っていることが確認されている。
大賞となるDIR-823Xシリーズはすでにメーカーによってサポート終了となっているが、未更新のまま使用されている機器が攻撃対象となっている。
未修正のサーバはどれほど危険なのか(SharePointで判明)
未修正のまま公開されたサーバは、攻撃の入口として継続的に狙われている。 Bleeping Computerは4月22日(米国時間)、未修正のままインターネット上に公開されているMicrosoft SharePointサーバ1,300台以上が、現在もスプーフィング攻撃のリスクにさらされていると報じた。
問題の脆弱性「CVE-2026-32201」は、SharePoint Enterprise Server 2016、SharePoint Server 2019、継続的更新モデルを採用する最新のオンプレミス版SharePoint Server Subscription Editionに影響する。
この脆弱性は認証なしで悪用可能であり、情報の閲覧や改ざんにつながる恐れがある。
Microsoftは2026年4月の月例セキュリティ更新(いわゆる「パッチチューズデー」)でこの問題を修正したが、この脆弱性はゼロデイとして攻撃に悪用されていた。
インターネット監視団体のShadowserver Foundationは、公開状態にあるSharePointサーバーのうち1,300台以上が依然として未修正であると警告した。Microsoftが修正パッチを公開してから1週間で、適用が確認されたのは200台未満にとどまるという。
また、米CISAはこの脆弱性を既知の悪用済み脆弱性カタログ(KEV)に追加し、対応の優先度が高い問題として警告している。
外部に公開しているサーバは定期的に更新状況を確認し、未適用のパッチがあれば優先的に対応する必要がある。
なぜ既知の脆弱性への対応が最優先なのか(CISAの警告)
攻撃の多くは新規ではなく、既知の脆弱性を悪用したものだ。
米CISAは4月20日~4月26日にかけて、既知の悪用済み脆弱性カタログに14件の脆弱性を追加した。
対象はPaperCutやJetBrains TeamCity、Zimbra、Cisco製品など幅広く、企業インフラや運用基盤に関わるソフトウェアが含まれている。
これらの脆弱性はいずれもすでに攻撃に悪用されており、単なる潜在リスクではなく現実的な脅威となっている。
該当製品を利用している場合は、パッチ適用やバージョンアップを優先し、資産管理と脆弱性管理の徹底が求められる。
資産管理とパッチ適用の徹底が、最も現実的かつ効果的な対策となる。
あなたの環境は大丈夫?確認ポイント
古い機器や未更新のシステムは、意図せず攻撃の入口になる。自組織の環境が該当していないか、次の点を確認してほしい。
- ルータの型番とサポート状況を把握しているか
- ファームウェアを定期的に更新しているか
- インターネット公開サーバに未適用パッチがないか
- サポート終了製品を使い続けていないか
まとめ
今週の動向から見えてくるのは、「見落とされがちな機器や未更新環境」が攻撃の入口になっている現実だ。
新たな攻撃手法よりも、既知の脆弱性や古い機器の放置がリスクを拡大させている。
各組織は、資産の棚卸しと更新状況の確認を最優先に行い、基本対策の徹底を進める必要がある。
Windows 11が重いと感じたら?今すぐ見直すべき設定7選
