〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
– 10/30号 目次 –
01. 電車内広告のQRコードから不審な文書へ…広告元の大学が注意喚起
02. 複雑さより長さ重視を…NISTパスワードルール改訂
03. WSUSに脆弱性、Windows Serverに定例外パッチリリース
電車内広告のQRコードから不審な文書へ…広告元の大学が注意喚起
– 10月20日(日本時間)頃、X(旧Twiter)上において、京王線車内等に掲示された広告のQRコードから不審なPDFの表示に誘導されたとする報告がありました。
– QRコードのURLはGoogle Drive上のものとなっており、PDF文書は多数のYouTube動画やGoogle Drive上の別の文書にリンクされていた模様です。
– 同21日には当該広告を掲出した電気通信大学より、当該広告には本来QRコードを記載しておらず、悪意のあるページへの誘導の可能性があるため、このようなコードを読み込まないよう注意喚起が出されています。
https://www.itmedia.co.jp/news/articles/2510/21/news093.html
https://x.com/uectokyo/status/1980433168881922461
https://togetter.com/li/2618526
AUSからの所感
第三者が広告に勝手にQRコードを貼り付けたものとみられ、またPDF文書の内容も、同大学と全く無関係の、第三者によるWebサイト・動画の宣伝目的とみられます。
QRコードをフィッシング詐欺に悪用するケースは数多く、コード決済サービスを騙って不審なサイトに誘導するコードを送り、偽のアプリをインストールさせる、外部サービスに連携させる、あるいは個人情報を入力させることで不正な支払を行わせる手口等が知られており、ユーザー側にはこういった手口の存在を熟知し、本物の決済サービス側からの注意喚起を確認すること、外部サイトにアクセスするような不審なコードのスキャンを求められた場合はアクセス先URLが明らかに不審なものでないか確認するよう心掛けましょう。
今回のケースに類似した例として「実店舗で決済用に提示していたコードの上に偽のコードが貼りつけられ、支払代金を騙し取られた」事例が報告されていますが、偽の店舗がサービスに登録しているような場合、前述した手口よりも不審がられることなく詐欺行為を行われる恐れがある上、返金等の補償を受けられないこともあるとされ、店舗側においても本物のコードに細工されないよう対策する必要があるでしょう。
複雑さより長さ重視を…NISTパスワードルール改訂
– 10月10日(現地時間)、セキュリティベンダーのMalwarebytes社より、米国立標準技術研究所(NIST)が8月に更新したデジタル認証に関するガイドライン「SP800-63B」の、パスワード設定に関する節について言及されています。
– 本節では、パスワードの内容について「印字可能なASCII文字とスペースを受け入れる必要、さらにはUnicode文字を受け入れるべき」「最低15文字以上(多要素認証と組み合わせる場合は8文字以上)かつ64文字まで受け入れるべき」「記号・数字・アルファベット大文字・小文字を含めるといった複雑性は要求しない」とし、推測されやすい等脆弱なパスワードの「ブロックリスト」を使用することも推奨しています。
– ユーザーにパスワードを定期的に変更することを「要求してはならない(ただしアカウント侵害の可能性がある場合は変更を要求する必要がある)」とし、またパスワードを忘れた際の回復手段として、出身地や母親の旧姓等いわゆる秘密の質問の登録を「推奨しない」とし、電子メール・SMS・音声もしくは郵便を用いることを推奨しています。
https://internet.watch.impress.co.jp/docs/yajiuma/2056544.html
https://www.malwarebytes.com/blog/news/2025/10/your-passwords-dont-need-so-many-fiddly-characters-nist-says
https://pages.nist.gov/800-63-4/sp800-63b.html
AUSからの所感
8文字程度で記号等を含めたパスワードよりも、アルファベットだけでもより長いパスワードの方が、推測されやすい単語でない限り破られるのに時間がかかるとされ、また複数の単語からなる(適宜スペース等で区切る)、いわゆる「パスフレーズ」も同様に強力でかつ比較的記憶しやすいとされており、最大長を少なくとも64文字としていることも、特にパスフレーズを利用する場合を考慮したものとみられます。
ガイドラインではこの他にもパスワード管理ツールの使用、パスワード入力欄へのコピーアンドペースト(Webサイトによっては禁止しているところも依然目立っています)を「許可すべき」等の記述がみられ、長年蓄積された「常識」を覆すためにまた長い年月がかかるとしても、着実に適宜ルールを変えていくことを意識すべきでしょう。
WSUSに脆弱性、Windows Serverに定例外パッチリリース
– 10月25日(日本時間)、マイクロソフト(以下・MS)より、Windows Server(2012・2012 R2・2016・2019・2022・23H2・2025)に対する定例外のセキュリティアップデートがリリースされています。
– Windows Server Update Services(WSUS)の脆弱性「CVE-2025-59287」を修正するもので、悪用によりサーバーを乗っ取られる可能性があるとされています。
– リリース時点で脆弱性を悪用するコードが出回っていたことから早急なアップデートの適用が求められています。
https://forest.watch.impress.co.jp/docs/news/2057711.html
https://www.microsoft.com/en-us/msrc/blog/2025/10/202510-security-update/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287
https://cybersecuritynews.com/hackers-exploiting-microsoft-wsus-vulnerability/
AUSからの所感
同15日の月例アップデートで完全に対策されなかった脆弱性とされており、今回のリリース後の同28日には2,800台のサーバーが未修正かつオンラインからアクセス可能な状態にあるとするセキュリティ企業の報告もあります。
MSでは2024年にWSUSを非推奨としているものの、多くの企業で組織内へのWindows Update配信負荷対策のため依然利用されています。
特にWSUSを導入している場合は、月例アップデートと同様に脆弱性の根本的対策のため必ず適用すること、またWSUSが使用するTCPポート8530・8531番についてくれぐれも不特定多数からアクセスされる状態でないか確認することが肝要です。
