〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
– 10/16号 目次 –
01. Microsoft月例のセキュリティアップデート…Windows10他サポート終了
02. 多要素認証を突破するリアルタイムフィッシング、楽天証券が注意喚起
03. 「NHK ONE」アカウント登録メールエラーがGMail等に届かないトラブル
Microsoft月例のセキュリティアップデート…Windows10他サポート終了
– 10月15日(日本時間)、マイクロソフト(以下・MS)より、Windows・Office等同社製品に対する月例のセキュリティアップデートがリリースされています。
Windowsの最新バージョンはWindows 10 22H2 KB5066791(ビルド 19045.6456)、11 23H2KB5066793(ビルド 22631.6060)および11 24H2・25H2 KB5066835(ビルド 26100.6899・26200.6899)等となります。
– 修正された脆弱点のうち、Windows・Office・Microsoft 365 Copilot・Windows Server UpdateService(WSUS)等計17件について、危険度が4段階中最高の「Critical」と評価されています。
– かねてからの告知の通り、Windows 10については無償サポートが終了となり、Windows 10で引き続きセキュリティアップデートを取得するには基本的に有償となる拡張セキュリティ更新プログラム(ESU)の入手が必要となります(Office 2016・2019等については完全にサポート終了となります)。
https://forest.watch.impress.co.jp/docs/news/2054928.html
https://msrc.microsoft.com/blog/2025/10/202510-security-update/
https://www.microsoft.com/ja-jp/windows/end-of-support
AUSからの所感
ESUは企業向けについては最長3年(2028年10月まで)提供、個人向けについては1年(2026年10月まで、条件付きで無料入手も)提供とされていますが、個人向けについて2年目以降の提供があるとは明言されておらず、安易に提供に期待しないこと、企業向けも2年目・3年目で値段が上昇し決して見過ごせないコストとなり得ることを鑑み、今回やむを得ず導入したとしても、もう1年において確実にWindows 11へ移行する計画を立てることが強く求められます。
また買い切り版のOffice 2016・2019についてはESUのようなものは提供されず、Office 2021についても2026年10月がサポート期限(Office 2024は2029年10月まで)となっているため、例えばプレインストールされていたOfficeをサポート切れ以降も気付かずに使い続けることがないよう注意し、最新バージョンへのアップグレードも行われるサブスクリプション版Microsoft 365の導入検討もセキュリティの観点で有用でしょう。
今回修正された脆弱点においても、既に悪用が確認されているもの3点、攻撃手法が公知となっているもの3点(うち1点は危険度Critical)が含まれ、脆弱点への根本的対策としての早急なアップデートの適用はもちろん、さらには次回11月12日のセキュリティアップデートリリースあるいはその前後で、脆弱性が修正されないWindows10等を狙った攻撃が展開されることは確実であり、アンチウイルス・UTMによる防御についても怠りなく実施することが肝要です。
多要素認証を突破するリアルタイムフィッシング、楽天証券が注意喚起
– 10月10日、楽天証券より、同証券をターゲットとするいわゆる「リアルタイムフィッシング」詐欺が確認されたとして注意喚起が出されています。
– 注意喚起で挙げられている手口の一例では、ID・パスワードの入力後、絵文字によるログイン追加認証についても偽画面を表示しており、これもリアルタイムフィッシングによって突破される恐れがあるとしています。
– 上記の例ではさらにユーザーの取引暗証番号や個人情報も詐取していますが、同証券の正規サイトにおいては、ログイン直後にこれらの入力を求めることはないとしています。
https://www.itmedia.co.jp/news/articles/2510/14/news108.html
https://www.rakuten-sec.co.jp/web/info/info20251010-01.html
AUSからの所感
リアルタイムフィッシングの事例は、既に他のネット証券等を狙い、ワンタイムパスワード(OTP)等が奪取される事例が報告されており(AUS便り 2025/08/04号参照)、楽天証券のログイン追加認証もリアルタイムフィッシングによる情報の奪取に対してはワンタイムパスワード等と同様に弱いとする指摘が散見されていました。
楽天証券では10月26日にパスキー認証の導入を予定、また他のネット証券各社でも今年に入って複数の多要素認証が導入されるケースもある等しており、利用しているサービスでの認証における流動的な状況を十分に確認し、手元で利用する認証手段についても適宜追随することが重要です。
「NHK ONE」アカウント登録メールエラーがGMail等に届かないトラブル
– 10月1日(日本時間)、NHKより、この日開始したサービス「NHK ONE」において、アカウント登録時の認証コードメールが届かない不具合の発生が発表されました。
– GMail(@gmail.com)の他、ドコモメール(@docomo.ne.jp)・auメール(@ezweb.ne.jp)等でメールが受信されないトラブルが確認された模様です。
– NHKでは「認証コードメールに新しいドメインを使用し、かつ短時間に大量送信したこと」を不具合の原因とし、送信量の調整を行った結果、同2日正午頃までに不具合は解消されたとしています。
https://www.itmedia.co.jp/mobile/articles/2510/01/news059.html
https://www.itmedia.co.jp/news/articles/2510/02/news085.html
https://www.nhk.or.jp/nhkone/release/assets/pdf/251001_001.pdf
https://www.nhk.or.jp/nhkone/release/assets/pdf/251002_001.pdf
AUSからの所感
GMail宛に大量のメールを送信する相手に対する「メール送信者のガイドライン」等に抵触したものとされていますが、既存のドメイン名(@nhk.or.jp,@nhk.jp等)ではなく新規のドメイン名(@mail.nhk)を用いるにあたり、事前のドメインウォームアップ(徐々にメールの送信量を増やす等)を行わず、10月1日のサービス開始時において大量のメール送信が発生したことからトラブルに至ったとされます。
今回のケースではSPF・DKIM・DMARCといった設定の問題はありませんでしたが、例えば2024年1月には、神奈川県公立高校へのネット出願システムにおいてDNS設定上の問題による受信トラブルが発生しており、メール送信が絡むサービス構築にあたっては、迷惑メールと誤認識されることのないよう、メールサーバー・DNSサーバーの構築・設定に留まらず、どのドメイン名を使うかといった段階からの運用計画の策定が求められるでしょう。
