エレコムのWi-Fiルーター「WRC-2533GST2」など8製品に脆弱性

アップデートや買い換えの検討を - INTERNET Watch (06/25) 

• 5製品はファームウェアのアップデートで対策可能
• 3製品は、EoS。代替製品への切り替えを。軽減策も提示あり。

 

『今回、明らかになった脆弱性は以下のもの。

1.     アップロードファイルの検証不備（CVE-2025-36519）
2.     接続確認画面におけるOSコマンドインジェクション（CVE-2025-41427）
       … CVSS v4のスコアは8.7、CVSS v3のスコアは8.8
3.     ウェブ管理画面における格納型クロスサイトスクリプティング（CVE-2025-43877）
4.     telnet機能におけるOSコマンドインジェクション（CVE-2025-43879）
       … CVSS v4のスコアは9.3、CVSS v3のスコアは9.8
5.     miniigd SOAPサービスにおけるOSコマンドインジェクション（CVE-2025-48890）

       … CVSS v4のスコアは9.3、CVSS v3のスコアは9.8

』

PayPay詐欺

【追記ありx3】PayPayで一瞬にして73万円を騙し取られた話（1万円しかチャージしてなかったのに）｜Appliss (06/18-25)

『PayPay側の問題点

• QRコードの説明がない: … QRコードが具体的にどのような処理を行うのか、アプリ側にも明確な説明や注意喚起が一切ありませんでした … スキャン前にそのリスクを認識することが極めて困難です。
• 権限の過剰付与: …

自身の落ち度

• 安易なQRコードのスキャン: … QRコードのスキャンは、とてもリスクの高い操作であることを認識しておくべきでした。
• PayPayへの理解不足: そもそも残高が1万円だからそれ以上の被害はないだろうと思っていました。スキャンしただけでここまで権限を許してしまうPayPayの仕様への理解不足が、今回の詐欺被害に繋がったと深く反省しています。

』

 

PayPayのフィッシングが簡単すぎた話｜j416dy (06/19)

『…

QRコードのみPayPayから発行された本物のこのUIのみではスキャンするだけで抜かれるとはわからないでしょう

 

何が悪かったか

大きな失点が2点あります。

·       スマホの操作がQRコード2連続スキャンのみで、スキャン後も「連携完了」以上の情報がなく、フィッシングされると何が起きたかわからない

·       WINTICKETとPayPayと名義相違していもチェックがないと思われる

…

自衛策

口座連携をしない、と言っても都度削除は面倒だと思うので・・・。
右下のアカウント→「利用可能額の設定」より、チャージ上限が設定可能です。
日常利用に影響しない範囲で上限を設定しておきましょう。

』

 

PayPayカードを騙るフィッシングメールにご注意ください - PayPayからのお知らせ (06/20)

 

QRコードを2回読み取っただけで、73万円を不正に引き出された──PayPay巡る被害に「怖すぎ」の声　その巧妙な手口とは（1/3 ページ） - ITmedia NEWS (06/21)

『PayPay社の対策状況 …

被害を受けたユーザーに対しては「第三者による被害であると確認された場合、PayPayが用意する補償制度の対象となる」としており、申請フォームからの申告を呼びかけている。必要に応じて警察や関係機関との連携も図っていく方針だ。

』

 

PayPayがフィッシングに注意喚起、不審なメールのリンクは開かず、サービス連携の確認を - INTERNET Watch (06/25)

『

当該事象を受け、同社ではQRコードを用いたアカウント連携を停止し、別の方法でアカウント連携を行う際には、ハーフシート（画面下からポップアップのように表示されるメッセージ）により連携先が表示され、明確に実行の操作をしない限り連携されないように仕様変更を実施。あわせて、スマートペイメントに関するモニタリング強化も実施しており、当該事象のような詐欺による被害は、本記事の公開時点では発生しないとしている。

』

関連

ＱＲコード詐欺　https://akasaka-taro.blogspot.com/2025/05/qr.html

---> 08/09追記

パソコン博士TAIKIさんの動画。対策設定手順が分かり易い　↓

【史上最悪】PayPay詐欺の新手口がヤバすぎる！銀行口座から勝手に出金！預金が奪われる！絶対に騙されるな！  (08/08)

口座開設時の本人確認 画像送信廃止へ 再来年4月1日から 政府

https://www3.nhk.or.jp/news/html/20250619/k10014839251000.html (06/19)

『警察庁によりますと、特殊詐欺などの犯罪に、他人になりすまして偽造された口座やカードが悪用されるケースがあとを絶ちません。

…

口座を開設したりカードを作成したりする際の本人確認については、運転免許証やマイナンバーカードの券面をスマホなどで撮影して画像を送る非対面での方法が広がっていますが、政府はこの方法について、再来年の4月1日から廃止することを決めました。

…

一方、免許証やマイナンバーカードのICチップの情報をアプリなどで読み取って確認する方法や、自治体から受け取った住民票の写しなどの「原本」を郵送して本人確認を行う方法については引き続き認めるということです。

』

今までは偽造カードでの申請が簡単過ぎた。

暗号資産などの情報盗むサイバー攻撃に悪用された国内サーバー１２９台を無効化

https://www.yomiuri.co.jp/national/20250611-OYT1T50112/ (06/11)

『ＩＣＰＯは「トレンドマイクロ」（東京）など複数の情報セキュリティー企業から

マルウェアの感染状況に関する情報提供を受け、日本やベトナムなど２６か国に共有。各国当局が攻撃に悪用された中継サーバー約２万台を無効化したという。

  日本では警察庁サイバー特別捜査部と１８都府県警が連携し、飲食、小売、建設などの各業者が管理するサーバー１２９台を無効化した。』

参考　

今週の気になるセキュリティニュース - Issue #227 (06/15)

可用性への悪影響、2件

2025年6月のセキュリティパッチでDHCPサービスに問題 ～「Windows Server 2016」以降で - 窓の杜 (06/16)

『2025年6月のセキュリティ更新プログラムを適用したWindows Server環境で、DHCPサーバーサービスが断続的に応答しなくなる問題が発生しているとのこと。

…

同社は近日中に解決策を提供するとしている。』

 

10年前の富士通製Windows 10 PCが起動不能に、2025年6月セキュリティパッチの適用で - 窓の杜 (06/16)

『2025年6月のセキュリティ更新プログラム（KB5060533）を適用すると、PCを起動できなくなる場合があるという。

…

復旧の事例も報告されているがBIOSの書き換えが必要となるため、一般のユーザーにとっては難易度は高い。開発元からの続報を待つべきだろう。』

偽造キャッシュカード等による被害発生等の状況について

 https://www.fsa.go.jp/news/r6/ginkou/20250610-2.html (06/10)

『偽造キャッシュカード、盗難キャッシュカード、盗難通帳、インターネットバンキング及び連携サービスによる預金等の不正払戻し等の被害について、各金融機関からの報告を基に、被害発生状況及び金融機関による補償状況を別紙１～５のとおり取りまとめました。』

件数は"盗難キャッシュカード"が圧倒的。

CVE-2025-0620

smbd doesn't pick up group membership changes when re-authenticating an expired SMB session (

『　CVE ID#: CVE-2025-0620
 
Kerberos認証のSMBセッションには通常、有効期間が設定されており、セッションの有効 期限が切れると、クライアントによる再認証が必要になります。再認証の一部として、Sambaは現在のグループメンバーシップ情報を 受け取り、この変更をSMBリクエスト処理に反映することが期待される。
 
歴史的な理由により、Sambaはユーザーのなりすまし情報と接続された共有の 関連付けのキャッシュを保持する。このキャッシュの最近の変更により、SambaはSMBリクエストを処理する際に、 セッションの再認証によるグループメンバーシップの変更を反映しない。
 
その結果、管理者がActive Directoryの特定のグループからユーザーを削除した場合、ユーザーがサーバーから切断し、新しい接続を確立しない限り、この変更は有効にならない。
』　以上、機械翻訳抜粋

サイバー攻撃の新手法:中国と北朝鮮APTグループの不正アクセス戦術 (2024/11/13)

https://rocket-boys.co.jp/security-measures-lab/10515/#APT

『

  中国関連APTグループの活動と戦術

 

中国関連のAPTグループは、SoftEther VPNを駆使してネットワークへの持続的なアクセスを確保し、監視を回避しています。代表的なグループには、Flax TyphoonやWebwormがあり、EUやアフリカの通信業者などをターゲットにしています。

 

また、MirrorFaceは従来の日本のターゲットからヨーロッパの外交機関にも攻撃を拡大しており、2025年の大阪万博に関連したフィッシングメールを使用しています。さらに、CloudSorcererは2022年から活動を継続し、ロシアや南米の個人にも攻撃を仕掛けています。これらのグループは、VPNやフィッシングメールを駆使し、特定地域や組織に持続的な攻撃を展開し、政治的影響力の拡大を図っています。

...

MirrorFaceの活動範囲拡大

 

中国の脅威アクターMirrorFace（別名Earth Kasha）は、従来から日本の政府機関や政治団体を標的にしてきましたが、2024年の夏には、ヨーロッパの外交組織を新たなターゲットとしました。

 

この攻撃において、MirrorFaceは2025年に大阪で開催される万博の話題を利用して、日本関連の国際的イベントに関心を引かせました。今回の攻撃は、MirrorFaceが地域を超えたターゲットに関心を持っていることを示すものであり、日本以外のターゲットへの拡張が示唆されています。攻撃手法としては、OneDrive上にホストされたZIPファイル（「The EXPO Exhibition in Japan in 2025.zip」）を含むフィッシングメールを送信し、ZIP内のLNKファイルを開かせることで、ANELバックドアのインストールを試みました。

...

北朝鮮関連APTグループの活動と戦術

 

北朝鮮関連のAPTグループは、サイバー攻撃の持続性と巧妙さを増しています。代表的なグループにはLazarus、Kimsuky、ScarCruftがあり、金融や防衛、暗号通貨関連の企業や研究機関を標的にしています。

 

彼らは、Google DriveやDropbox、OneDriveなどのクラウドサービスをC&Cサーバーやデータの保存・転送に悪用し、通常のトラフィックに隠れて検知を回避しています。

 

また、Lazarusは「Operation DreamJob」で偽の求人を使ってターゲットと関係を築き、悪意のあるコードを送信する手法を用いています。さらに、KimsukyはMicrosoft Management Console（MSC）ファイルを活用し、信頼性を装ったサイバー攻撃を行っています。これらの活動は、金融資金や機密情報の収集、国の利益拡大を目的としており、北朝鮮の国家戦略の一環とされています。

...

ターゲットとの関係構築

 

LazarusやKimsukyなどの北朝鮮関連のAPTグループは、偽の求人広告やインタビュー依頼などを使ってターゲットと徐々に関係を築く方法を採用しています。この戦術により、攻撃者が信頼を得た後、悪意のあるパッケージを送信しやすくなります。

...

また、Kimsukyは北朝鮮の専門家やNGOの研究者をターゲットにし、インタビューや発表依頼のメールを送信しています。これらの攻撃は、英語や韓国語で書かれたリクエストメールを使い、ターゲットの専門知識を称賛し、質問リストを事前に回答するよう求めるなどして、信頼を得た後に悪意のあるファイルを送信するという手法を採っています。

...

Microsoft Management Console（MSC）の悪用

 

Kimsukyは、Microsoft Management Console（MSC）ファイルを利用した新しい技術的手法を使用しています。

 

MSCファイルは通常、システム管理者がWindowsユーザーやシステムポリシーを管理するために使用するツールですが、任意のWindowsコマンドを実行できる機能を持っています。また、MSCファイルのアイコンをPDFやWordドキュメントのように変更することで、被害者が気づかずにファイルを開く可能性が高まります。

』

CISAが5つの既知の悪用済み脆弱性をカタログに追加 (06/02)

2/5個は、ASUSルータ。ベンダー案内の対策の他に、買い替えも検討しよう。

CISA Adds Five Known Exploited Vulnerabilities to Catalog | CISA (06/02)

『CISA added five new vulnerabilities to its Known Exploited Vulnerabilities (KEV) Catalog, based on evidence of active exploitation.

• CVE-2021-32030 ASUS Routers Improper Authentication Vulnerability

『The administrator application on ASUS GT-AC2900 devices before 3.0.0.4.386.42643 and Lyra Mini before 3.0.0.4_384_46630 allows authentication bypass when processing remote input from an unauthenticated user, leading to unauthorized access to the administrator interface. This relates to handle_request in router/httpd/httpd.c and auth_check in web_hook.o. An attacker-supplied value of '\0' matches the device's default value of '\0' in some situations.

…

3.0.0.4.386.42643より前のASUS GT-AC2900デバイスおよび3.0.0.4_384_46630より前のLyra Miniの管理者アプリケーションでは、認証されていないユーザーからのリモート入力を処理するときに認証バイパスが許可され、管理者インターフェイスへの不正アクセスにつながります。これは、router/httpd/httpd.c の handle_request 0 と web_hook.o の auth_check に関連しています。攻撃者が指定した値「\0」は、状況によってはデバイスのデフォルト値「\0」と一致します。』 （後段は機械翻訳）

• CVE-2023-39780 ASUS RT-AX55 Routers OS Command Injection Vulnerability

『On ASUS RT-AX55 3.0.0.4.386.51598 devices, authenticated attackers can perform OS command injection via the /start_apply.htm qos_bw_rulelist parameter.

…

ASUS RT-AX55 3.0.0.4.386.51598デバイスでは、認証された攻撃者が/start_apply.htm qos_bw_rulelistパラメータを介してOSコマンドインジェクションを実行できます。』

• CVE-2024-56145 Craft CMS Code Injection Vulnerability

• CVE-2025-3935 ConnectWise ScreenConnect Improper Authentication Vulnerability

• CVE-2025-35939 Craft CMS External Control of Assumed-Immutable Web Parameter Vulnerability

』

“検出回避”サービスを摘発

ハッカーを支援するマルウェアの“検出回避”サービスを摘発-オランダ・米国|セキュリティニュース (06/04)

『2025年5月下旬、オランダ国家警察のハイテク犯罪チーム（Team High Tech Crime）と米連邦捜査局（FBI）、

フィンランド警察による共同捜査により、サイバー犯罪者向けに悪用されていたサービス「AVCheck」が摘発・停止されました。

 

「AVCheck」は、CAV（Counter Antivirus）サービスと呼ばれるカテゴリに属し、マルウェア開発者が自作のマルウェアがセキュリティソフトに検出されるかどうかを事前にテストできるというもので、マルウェアの“品質保証”に近い役割を果たしていました。

...

通常、マルウェア開発者はアンチウイルスソフトやEDRなどのセキュリティ製品に検知されないよう、攻撃コードを暗号化（クリプティング）し、複数のセキュリティソフトで検出テストを行った上で攻撃に使用します。

 

AVCheckはそのテスト部分を支援するサービスであり、検出を回避したマルウェアがそのまま企業ネットワークや政府機関への攻撃に使われていたとみられています。

 

摘発にあたっては、運営中の「AVCheck」のほか、関連するドメイン4件およびサーバが米テキサス州南部地区地方裁判所の令状により差し押さえられました。また、関連ツールとして確認されていた「Cryptor.biz」や「Crypt.guru」といった暗号化サービスにも捜査が及んでいます。

 

米司法省の発表によれば、当局は囮購入による潜入調査を実施し、同サービスがサイバー犯罪目的で設計されていたことを確認。さらにサービスに登録されたメールアドレスや支払い情報などから、複数の既知のランサムウェアグループとの関係性も判明しています。

』

 

Treasury Takes Action Against Major Cyber Scam Facilitator | U.S. Department of the Treasury (05/29)

『ワシントン —本日、財務省外国資産管理局(OFAC)は、一般に「豚の屠殺」として知られる仮想通貨投資詐欺に関与する数十万のウェブサイトにコンピューターインフラストラクチャを提供するフィリピンを拠点とする企業であるFunnull Technology Inc.とその管理者であるLiu Lizhi氏に制裁を科しました.アメリカ人はこれらのサイバー詐欺によって年間数十億ドルを失っており、これらの犯罪から生み出される収益は2024年に記録的なレベルにまで上昇します。Funnullは、これらのスキームのいくつかを直接促進し、米国の被害者が報告した損失に2億ドル以上をもたらしました。』