〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
– 9/17号 目次 –
01. 総務省よりフィッシングメール対策強化要請…生成AIによる巧妙化懸念
02. 警察等を騙り「逮捕状」表示…広島県警が注意喚起
03. Microsoft・Adobe等月例のセキュリティアップデート
総務省よりフィッシングメール対策強化要請…生成AIによる巧妙化懸念
– 9月1日(日本時間)、総務省より、電気通信事業者に対しフィッシングメール対策の強化を行うよう、4事業者団体(電気通信事業者協会・テレコムサービス協会・日本インターネットプロバイダー協会・日本ケーブルテレビ連盟)を通じて要請したことが発表されました。
– 4月22日の犯罪対策閣僚会議で決定された「国民を詐欺から守るための総合対策2.0」に基づくもので、「詐欺メール、詐欺SMSによる被害防止等のための取組」として「送信ドメイン認証技術(DMARC等)への更なる対応促進」を掲げているとしています。
– 証券会社を騙るフィッシングメール等による顧客情報の窃取~不正取引被害の急増、またフィッシングメールにおいては生成AIによる自然な日本語等の精巧な内容のものが大量かつ容易に送付できるようになっているとし、より効果的な対策に取り組むことを要請したとしています。
https://www.itmedia.co.jp/news/articles/2509/01/news115.html
https://www.soumu.go.jp/menu_news/s-news/01kiban18_01000260.html
https://www.npa.go.jp/bureau/safetylife/sos47/new-topics/250609/01.html
https://www.antiphishing.jp/report/wg/cert_20250916.html
AUSからの所感
要請では、事業者に対し2025年9月~2026年8月末までにおいて、メールのフィルタリング精度の積極的な向上・DMARCの導入および隔離(p=quarantine)~拒否(p=reject)ポリシーの設定・様々な利用者層に向けた対策サービスの周知啓発の大きく3点について3ヶ月ごとに取組状況を報告するよう依頼しています。
2024年のGMailによる「メール送信者のガイドライン」等を受けてDMARC(およびSPF・DKIM)の導入が進んでおり、9月16日にフィッシング対策協議会から発表された、国内ISP・CATV・モバイル事業者およびフリーメール事業者におけるSPF・DKIM・DMARC等の対応状況では、2024年におけるDMARC導入状況は74.4%(SPFは99.0%、DKIMは78.5%)とされています。
DMARC等の送信元チェック機構に留まらないフィルタリング機構についても要請があり、迷惑メール判定の側においてもAIを活用すること等が提案されており、今後の展開が注目される一方、正当なメールを教育した結果が第三者と共有された場合、そこから機密情報が漏洩する恐れがないか、等にも注意が払われるべきでしょう。
警察等を騙り「逮捕状」表示…広島県警が注意喚起
– 8月29日(日本時間)、読売新聞オンラインにて、地方の警察本部の偽サイトに誘導する特殊詐欺の事例が報じられています。
– 記事は広島県警察本部からの注意喚起を受けてのものとされ、大阪府警や検察官を騙る電話から府警の偽のWebサイトに誘導、逮捕状の画像を提示され、800万円を騙し取られたとする4月に発生した事例が取り上げられています。
– 偽の逮捕状を提示する手口は全国で出現しているとされ、また広島県警本部のWebサイトでも同様の手口について取り上げており、「警察はSNSやビデオ通話で絶対に連絡しません」「ホームページで逮捕状を公開することもありません」としています。
https://www.yomiuri.co.jp/local/kansai/news/20250829-OYO1T50017/
https://www.pref.hiroshima.lg.jp/site/police/hayarinoteguchi.html
AUSからの所感
記事で取り上げられた手口は、偽の府警がLINEのビデオ通話に誘導した上で被害者本人の名前が記載された逮捕状を提示、その後に偽の検察官からの電話にかけ直したところさらに偽の府警サイトに誘導、検索画面で生年月日を入力したところ再度同様の逮捕状が提示される、という二段構えで相手を信じ込ませていた模様です。
このような大掛かりなものでなくとも、詐欺を行われるにあたりこちらの名前や生年月日を把握されていることは心理的動揺を誘うに十分でしょうが、くれぐれも世の中で使われる手口の情報を十分に収集し、慎重に行動することが重要です。
この手の詐欺では表示される電話番号が+1(アメリカ)、+44(イギリス)等で始まる国際電話が用いられる頻度が高いものの、全てのケースでそうとは限らないことにも注意が必要で、不審な相手からかかってきた電話番号について可能な限りサーチエンジンで検索し(専用のサイトも複数存在します)、警察を名乗る相手に対してはその電話番号にかけ直さず、確認したい場合は実際の警察の番号を調べてそちらにかける等の自衛策をとるのが良いでしょう。
Microsoft・Adobe等月例のセキュリティアップデート
– 9月10日(日本時間)、マイクロソフト(以下・MS)より、Windows・Office等同社製品に対する月例のセキュリティアップデートがリリースされています。
– Windowsの最新バージョンはWindows 10 22H2 KB5065429(ビルド 19045.6332)、11 23H2 KB5065431(ビルド 22631.5909)および11 24H2 KB5065426(ビルド 26100.6584)等となります。
– この他Adobe社よりAcrobat(およびAcrobat Reader)・Premiere Pro等9製品についてセキュリティアップデートが、Google社よりChromeブラウザーの週例アップデートとなるv140.0.7339.127/.128(Windows版)がリリースされています。
https://forest.watch.impress.co.jp/docs/news/2046104.html
https://msrc.microsoft.com/blog/2025/09/202509-security-update/
https://forest.watch.impress.co.jp/docs/news/2046107.html
https://forest.watch.impress.co.jp/docs/news/2046101.html
https://forest.watch.impress.co.jp/docs/news/2046898.html
AUSからの所感
MSの月例アップデートではExchange Serverに関する脆弱性(CVE-2025-33051)が既に攻撃手法が公知となっており、Windows・Office・Hyper-V等の脆弱性8件が特に危険度が高い(4段階中最高の「Critical」)と評価されています。
Chromeの更新で修正された脆弱性は、Edgeブラウザーでも同12日にリリースされたv140.0.3485.66で対応されています。
10月の「パッチチューズデー」は日本時間で15日、また22日にもOracle社から四半期に一度のパッチリリース(Java等)がある等、特にシステム管理者においてはリリーススケジュールに基づくアップデート計画を立てるとともに、パッチの展開・適用完了までに発生し得る攻撃に対しアンチウイルス・UTM等による防衛を怠りなく実施することが肝要です。
