今号は4本のニュースを取り上げます。警察庁が発表した2025年のランサムウェア被害は全国226件・都内68件で過去最多水準です。侵入経路の6割超がVPN機器であり、中小企業の被害が目立ちます。また、IPAがCMS「Movable Type」の緊急脆弱性を公表し、バッファローのルーター46機種にも深刻な脆弱性が判明しました。F5 BIG-IP APMの脆弱性は実際の攻撃が確認されています。自社に該当する項目がないか、各ニュースの対応事項を確認してください。
2025年のランサムウェア被害は全国226件、都内68件で過去最多 VPN経由の侵入が6割超
警察庁が2026年3月に公表した「令和7年におけるサイバー空間をめぐる脅威の情勢等について」によると、2025年のランサムウェア被害報告件数は全国で226件でした。過去最多だった2022年の230件に次いで2番目に多く、高止まりが続いています。都内に限ると68件と過去最多を更新しました。
侵入経路はVPN機器の脆弱性を突いたものが6割超を占めています。手口としてはデータを窃取したうえで「対価を支払わなければ公開する」と脅迫する二重恐喝型が約9割に達しました。ランサムウェアをサービスとして提供する「RaaS(Ransomware as a Service)」の普及で攻撃者のすそ野が広がっていることが、被害件数の高止まりの背景にあると分析されています。
▌中小企業への影響
テレワーク用に導入したVPN機器やリモートデスクトップ(RDP)が侵入口になる事例が繰り返し報告されています。「設定したまま放置している」VPN装置が社内にある場合、ファームウェアの更新状況を至急確認する必要があります。一度ランサムウェアに感染すると業務データの暗号化・業務停止・身代金要求の三重苦に陥り、復旧に数週間から数か月を要するケースも珍しくありません。
▌推奨対応
- → VPN機器のファームウェアバージョンをメーカーサイトで確認し、最新版に更新する
- → RDPをインターネットに直接公開していないか確認する。公開している場合はVPN経由のみに制限する
- → バックアップをネットワークから切り離した状態(外付けHDD・オフラインクラウド等)で保管し、週次で更新する
- → 不審なメールの添付ファイルやURLを開かないよう、社内に改めて周知する
Movable Typeに緊急脆弱性、リモートからPerlコード実行の恐れ(CVE-2026-25776・CVE-2026-33088)
IPAとJPCERT/CCは2026年4月8日、CMS(コンテンツ管理システム)「Movable Type」に複数の脆弱性があるとして注意喚起を行いました(JVN#66473735)。
1つ目のCVE-2026-25776は、リスティングフレームワークのフィルタ処理に起因するコードインジェクション脆弱性で、CVSS v3基本値は9.8(緊急)です。悪用されると、リモートから任意のPerlコードを実行される恐れがあります。2つ目のCVE-2026-33088はSQLインジェクション脆弱性で、CVSS v3基本値は7.3(重要)です。管理画面のリスティングフレームワークまたはData APIを使用している環境が対象になります。
開発元のシックス・アパートは同日、修正版としてMovable Type 9.1.1 / 9.0.7 / 8.8.3 / 8.0.10 およびMovable Type Premium 9.1.1 / 9.0.7 / 2.15を公開しています。サポート終了済みのバージョンも影響を受けるため、該当する場合はサポート対象バージョンへの移行が必要です。
▌中小企業への影響
Movable Typeは国内の企業サイト・自治体サイトで広く使われているCMSです。自社のWebサイトやコーポレートサイトがMovable Typeで構築されている場合、CVSS 9.8の緊急脆弱性が放置されるとサイトの改ざんやサーバーの乗っ取りにつながります。Web制作会社に委託している場合は、委託先にパッチ適用状況を確認してください。
▌推奨対応(至急)
- → 自社サイトがMovable Typeで構築されているか確認する
- → Movable Typeのバージョンを確認し、修正版(9.1.1 / 9.0.7 / 8.8.3 / 8.0.10)へアップデートする
- → 外部の制作会社に運用を委託している場合は、パッチ適用の完了報告を依頼する
- → サポート終了バージョンを使用している場合は、サポート対象バージョンへの移行を計画する
バッファロー製ルーターなど46機種に深刻な脆弱性、7機種はサポート終了で更新不可
バッファローは2026年3月23日、同社のWi-Fiルーター・Wi-Fi中継機・VPNルーター・アクセスポイントなど計46製品に複数の脆弱性があると発表しました(JVN#83788689)。脆弱性は6種類にわたり、特に深刻なのはコードインジェクション(CVE-2026-32669、CVSS v4基本値8.7)と認証バイパス(CVE-2026-32678、CVSS v4基本値8.6)の2件です。
コードインジェクション脆弱性が悪用されると、製品上で任意のコードを実行される恐れがあります。認証バイパスの脆弱性では、攻撃者がルーターの重要な設定を不正に変更できる可能性があります。
46製品のうち39製品は対策済みファームウェアが提供されていますが、WZRシリーズなど7製品はサポートが終了しており更新版が提供されません。該当機種を使用している場合は使用中止と機器の買い替えが必要です。
▌中小企業への影響
バッファローは国内のオフィスや店舗で広く使われているルーターメーカーです。対象の46機種にはWi-Fi 6対応の比較的新しいモデルも含まれており、「うちは新しいルーターだから大丈夫」とは限りません。ルーターが乗っ取られると社内ネットワーク全体への不正アクセスの足がかりになるため、放置は危険です。
▌推奨対応
- → 社内で使用しているバッファロー製ルーターの型番を確認し、バッファローのセキュリティ情報ページで対象機種か照合する
- → 対象の場合は管理画面からファームウェアを最新版に更新する
- → WZRシリーズなどサポート終了機種を使用している場合は、速やかに後継機種へ買い替える
- → ルーターの管理画面パスワードが初期設定のままの場合は、あわせて変更する
F5 BIG-IP APMに緊急RCE脆弱性、実際の攻撃を確認済み(CVE-2025-53521)
JPCERT/CCは2026年3月29日、F5社のBIG-IP Access Policy Manager(APM)に存在する脆弱性CVE-2025-53521について注意喚起を行いました(at260007)。本脆弱性は当初2025年10月にDoS(サービス拒否)の脆弱性として公表されましたが、2026年3月27日にF5が評価を見直し、未認証のリモートコード実行(RCE)が可能な脆弱性に再分類されました。CVSS v3.1基本値は9.8(緊急)です。
米国のCISA(サイバーセキュリティ・社会基盤安全保障庁)は、実際の攻撃が確認されたとしてKEV(既知の悪用済み脆弱性)カタログに追加しました。攻撃者はこの脆弱性を悪用してWebシェルを設置していることが報告されています。
▌中小企業への影響
BIG-IPは大企業やデータセンターでの利用が中心ですが、IT管理を外部のマネージドサービスに委託している中小企業の場合、委託先がBIG-IPを使用しているケースがあります。自社で直接BIG-IPを運用していなくても、委託先のインフラが攻撃を受ければサービス停止や情報漏えいの影響を受ける可能性があります。
▌推奨対応
- → 自社でBIG-IP APMを運用している場合は、2025年10月公開のパッチが適用済みか至急確認する
- → IT基盤をマネージドサービス事業者に委託している場合は、BIG-IP APMの利用有無とパッチ適用状況を問い合わせる
- → パッチ適用が即座にできない場合は、F5のアドバイザリ(K000156741)に記載の緩和策を実施する
編集部まとめ
今号の4本に共通するキーワードは「放置された機器・ソフトウェアが攻撃の入口になる」という点です。ランサムウェア被害226件の6割超はVPN機器の脆弱性が原因であり、バッファロー製ルーターの脆弱性もファームウェア更新を怠った場合に悪用されます。Movable Typeの脆弱性はCVSS 9.8と極めて深刻で、Webサイト管理者は至急対応が必要です。
対策の優先順位は明確です。まず社内のVPN機器・ルーターのファームウェアを今週中に確認・更新すること。次に自社サイトがMovable Typeを使用しているなら修正版への更新を制作会社に依頼すること。この2つだけで今号で取り上げた脅威の大部分に対処できます。
参考情報
- 警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」(2026年3月10日公表)
- 警視庁「サイバー空間をめぐる脅威の情勢について」(2026年4月発表)
- IPA「『Movable Type』における複数の脆弱性について(JVN#66473735)」(2026年4月8日)
- シックス・アパート「Movable Type セキュリティアップデート」(2026年4月8日)
- バッファロー「一部ネットワーク商品における複数の脆弱性とその対処方法(JVN#83788689)」(2026年3月23日)
- JPCERT/CC「F5 BIG-IP Access Policy Managerの脆弱性(CVE-2025-53521)に関する注意喚起」at260007(2026年3月29日)
secure
