本レポートでは、2025年9月中に発生した観測情報と事案についてまとめています。
目次
DDoS攻撃の観測情報
本項では、IIJサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。
攻撃の検出件数
対象期間において、DDoS攻撃の検出件数を以下に示します。
今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は314件であり、1日あたりの平均件数は10.47件でした。期間中に観測された最も規模の大きな攻撃では、最大で約413万ppsのパケットによって41.80Gbpsの通信が発生しました。この攻撃は主にDNSプロトコルを用いたUDP Amplificationでした。また、当月最も長く継続した攻撃は41分にわたるもので、最大で3.74Gbpsの通信が発生しました。この攻撃も主にDNSプロトコルを用いたUDP Amplificationでした。
不正アクセス通信の観測情報
本項では、IIJサービスで検出した当月中の不正アクセス通信を取りまとめました。
IPS機器における攻撃検出
対象期間における、正規化した攻撃検出件数と攻撃種別トップ10の割合を以下に示します。攻撃検出件数の正規化は、対象期間において最も多く攻撃を検出した日付の件数を1としています。
対象期間において最も多く検出したのは、Realtek Jungle SDK Command Injection Vulnerability (CVE-2021-35394)であり、全体に占める割合は前月から1.02ポイント増の13.98%でした。当該シグネチャの検出割合増加は、検出数の増加によるものではなく、Zyxel Communications IKEv2 Notify Payload Remote Code Execution Vulnerability (CVE-2023-28771)の検出数の減少によるものです。
また、当月はIoTマルウェアであるRondoDoxへの感染を狙ったとみられる攻撃が、増加の傾向にあることを確認しました(図-4)。攻撃検出件数の正規化は、対象期間において最も多く攻撃を検出した月の件数を1としています。RondoDoxは2025年7月にFortinetから報告されたIoTマルウェアであり、攻撃通信をゲームプラットフォームやVPNからの通信に偽装する機能を持つなどの特徴があります 1。Fortinetの報告では、TBK製DVRの脆弱性(CVE-2024-3721)とFour-Faith製ルータの脆弱性(CVE-2024-12856)の悪用が報告されていますが、それらの脆弱性に対する攻撃だけでなく、2025年に公開されたMeteobridgeの脆弱性(CVE-2025-4008)やLinksys製ルータの脆弱性(CVE-2025-34037)を含む複数の脆弱性に対する攻撃を観測しています。調査時点では実際に検体を取得することができませんでしたが、当該マルウェアに感染した場合DDoS攻撃などに加担させられる恐れがあります。
マルウェア脅威の観測情報
本項では、IIJサービスで検出した当月中のマルウェア脅威を取りまとめました。
Webアクセス時における脅威検出
対象期間において、Webアクセス時に検出した脅威種別の割合を以下に示します。
対象期間中に最も多く検出したのはHEUR:Trojan.Script.Genericで、全体の71.23%を占めました。当該シグネチャでは、サポート詐欺を目的としたWebページやParrot TDSの特徴を持ったJavaScriptファイルを多く検出しています。
3位のHEUR:Trojan.Script.Iframerでは、2024年8月の観測と類似したJavaScriptコードを検出しています。検出したJavaScriptコードが実行されると、iframe要素を利用して悪意あるコンテンツが表示されます。表示されるコンテンツは、実在する海外のWebサイトを模倣した偽サイトへユーザを誘導する内容でした。
メール受信時における脅威検出
対象期間において、メール受信時に検出した脅威種別の割合を以下に示します。
当月最も多く検出したのはHEUR:Trojan.Script.Genericで、全体の20.03%を占めました。当該シグネチャでは、2025年5月に観測したものと同種のRAR形式の圧縮ファイルだけでなく、JavaScriptファイルを多く検出しました。JavaScriptファイルは、RAR形式の圧縮ファイルを解凍すると現れるファイルと同様で、実行すると最終的に情報窃取型マルウェアであるFormBookに感染します。
2位はHEUR:Hoax.Script.Scaremailで、全体の16.54%を占めました。前月と比較して45.51ポイント減少しており、これは、前月に比べて検出数が大きく減ったためです。当月では、「Payment from your account.」という件名のメールを多く検出しています。
また、当月は日本語件名のメールにおいて情報窃取型マルウェアであるSnake KeyloggerやFormBook、マルウェアのダウンローダであるGuLoaderに感染させることを狙ったファイルの添付を検知しています(表-1)。なお、以下は情報の一部であり、すべての脅威メールを網羅しているものではない点にご注意ください。
| 件名 | 添付ファイル名 | 感染するマルウェア |
|---|---|---|
| 見積もり依頼:KU250911 | 見積もり依頼:KU250911·pdf.zip | FormBook |
| 見積もり依頼: PUC250929 | 社会的要請 PUC250929·pdf.zip | FormBook |
| 見積依頼書 Q2509-00008 | 見積依頼書 Q2509-00008.zip | Snake Keylogger |
| 注文書 | D03868M079081.7z | GuLoader |
| 見積依頼 | 見積依頼09032025_pdf.r00 | GuLoader |
セキュリティイベントカレンダー
本項では、日本を中心に世界中で発生したセキュリティに関する出来事を取りまとめました。
| カテゴリ凡例 | |||||
|---|---|---|---|---|---|
| セキュリティ事件 | 脅威情報 | 脆弱性情報 | 観測情報 | その他 | |
| 日付 | カテゴリ | 概要 |
|---|---|---|
| 9月2日(火) | セキュリティ事件 | 小売業者は、同社のサーバが第三者による不正アクセスを受け、企業情報及び個人情報が流出した可能性があることを公表した。不正アクセスされた情報には、過去の仕入れ・販売・在庫データや配達業務の配達先の氏名・住所・電話番号などの顧客情報が含まれており、合計で最大45万件にのぼる。外部のセキュリティ専門機関による調査の結果、情報が流出した痕跡は確認されなかったとのこと。 |
| 9月2日(火) | 脆弱性情報 | Google社は、9月2日、9日、17日、23日、25日、30日にChromeに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
|
| 9月2日(火) | 脆弱性情報 | Google社は、Androidに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
|
| 9月3日(水) | 脆弱性情報 | Google社は、9月3日、10日、15日、18日、19日、26日、30日にChromeOSに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
|
| 9月8日(月) | セキュリティ事件 | セキュリティベンダーは、18種類の主要なnpmパッケージが改ざんされ、暗号資産を狙うマルウェアが仕込まれたことを発表した。改ざん後のコードは、ブラウザ上で暗号資産ウォレットの操作を乗っ取り、資金を攻撃者に送信させるもの。改ざんの原因は、メンテナに送られた二要素認証のリセットを装うフィッシングメールだったとのこと。 |
| 9月9日(火) | 脆弱性情報 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開した。
|
| 9月9日(火) | 脆弱性情報 | Adobe社は、Acrobatに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
|
| 9月9日(火) | 脆弱性情報 | Adobe社は、Adobe Commerce及びMagento Open Sourceにリモートコード実行の脆弱性(CVE-2025-54236)が存在することを公表した。当該脆弱性は入力値検証の不備(CWE-20)に起因しており、悪用されると攻撃者は認証なしで顧客アカウントを乗っ取り、任意コードを実行できる可能性がある。同社はセキュリティパッチ(APSB25-88)を公開しており、速やかな適用が推奨されている。
|
| 9月10日(水) | セキュリティ事件 | 毛織物メーカは、同社のサーバが第三者による不正アクセスを受け、社員や顧客の個人情報が漏えいしたことを公表した。本件は、ユーザ管理を行うサーバにおける管理権限IDによる不審なログインによって発覚し、社内の複数サーバに脅迫文書ファイルが保存されていた。また、窃取された個人情報がダークウェブ上において閲覧可能な状態になっていたとのこと。 |
| 9月16日(火) | 脆弱性情報 | Mozillaは、9月16日、30日にFirefox及びThunderbirdに存在する複数の脆弱性を修正したセキュリティアップデートを公開した。
|
| 9月17日(水) | 脆弱性情報 | SolarWinds社は、Web Help Deskに認証不要で悪用可能なリモートコード実行の脆弱性(CVE-2025-26399)が存在することを公表した。当該脆弱性はAjaxProxyの不正なデータ逆シリアル化に起因しており、過去に報告された脆弱性(CVE-2024-28988及びCVE-2024-28986)の修正パッチが不十分であったことで再度修正が必要となった。影響を受けるバージョンは12.8.7及びそれ以前のすべてのバージョンであり、同社は修正パッチとして12.8.7 HF1を提供している。 |
| 9月19日(金) | セキュリティ事件 | 航空関連サービス提供会社が提供するチェックインシステムがサイバー攻撃を受け、欧州の複数空港で大規模な遅延や欠航が発生した。攻撃により旅客処理システムが停止し、ヒースロー、ブリュッセル、ベルリンなどで数百便が影響を受けた。欧州連合サイバーセキュリティ機関(ENISA)は、この攻撃がランサムウェアによるものであると報道機関に対して電子メールで声明を発表した。 |
| 9月19日(金) | 脅威情報 | 総務省は、国勢調査を装った不審メールに関して注意喚起を公表した。これらのメールは、国勢調査の未回答の対応依頼などと偽り、情報をだまし取ろうとするものだったとのこと。国勢調査ではメールで回答を求めることはなく、不審メールには対応しないよう呼びかけている。
|
| 9月25日(木) | 脆弱性情報 | Cisco社は、Cisco Secure Firewall Adaptive Security Appliance(ASA)及びCisco Secure Firewall Threat Defense(FTD)に複数の脆弱性が存在することを公表した。同社は、リモートコード実行の脆弱性(CVE-2025-20333)と不正アクセスの脆弱性(CVE-2025-20362)を組み合わせた攻撃を確認しており、修正済みのバージョンへ更新することを強く推奨している。
|
| 9月25日(木) | 脆弱性情報 | Noma Security社は、AIエージェントプラットフォームのSalesforce Agentforceに「ForcedLeak」と名付けられた情報漏えいの脆弱性が存在することを発表した。当該脆弱性が悪用されることによって、プロンプトインジェクション攻撃で機密性の高い顧客情報が漏えいする恐れがある。Salesforce社はAgentforceの出力が信頼できないURLに送信されないようするパッチを公開しており、信頼できるURLのホワイトリストの適用を推奨している。
|
| 9月29日(月) | セキュリティ事件 | 国内飲料メーカグループは、サイバー攻撃の影響で国内のシステムに障害が発生したことを公表した。被害拡大防止のためシステムを遮断し、受注・出荷やコールセンター業務が停止した。これにより、顧客や取引先に影響が出ている。調査の結果、ランサムウェアによる攻撃であることが判明し、情報漏えいの可能性も確認されている。執筆時点においては、一部の出荷や製造が再開しており、復旧対応が進められている。 |
| 9月29日(月) | 脆弱性情報 | Apple社は、9月29日に複数の製品に存在する脆弱性に対するセキュリティアップデートを公開した。
|
おわりに
この観測レポートは、いまインターネットで起こっている攻撃などの状況をまとめて提示することで、読者の皆様がより良い対策を実施できることを目的としてまとめて公開しています。一部の攻撃について、特にお客様を特定できてしまうような情報については除外してまとめていますが、本レポートに記載の内容は多くのお客様における傾向から作成しています。対策の推進にご活用いただければ幸いです。
Notes:
- [1] Fortinet, Inc., RondoDox Unveiled: Breaking Down a New Botnet Threat,
2025/7/3 ↩
