ASUS、DSLシリーズ・ルーターに重大な認証バイパスの欠陥があると警告

News

2025.11.18

ASUS は、DSL シリーズのルーター数機種に影響を及ぼす重大な認証バイパスセキュリティの欠陥を修正する新しいファームウェアをリリースしました。

CVE-2025-59367として追跡されているこの脆弱性は、リモートの認証されていない攻撃者が、ユーザーの操作を必要としない複雑度の低い攻撃で、オンラインで公開されている未パッチのデバイスにログインすることを可能にします。

ASUSは、DSL-AC51、DSL-N16、およびDSL-AC750ルーターモデル向けに、この脆弱性に対処したファームウェアバージョン1.1.2.3_1010をリリースしました。

「ASUSは、「特定のDSLシリーズルーターに認証バイパスの脆弱性が確認されており、リモートの攻撃者が影響を受けるシステムに不正にアクセスできる可能性があります。

「ASUSでは、デバイスを確実に保護するために、最新のファームウェアにアップデートすることを推奨しています。ASUSのサポートページまたはASUS Networkingの製品ページから、お使いのデバイスの最新ファームウェア・バージョン1.1.2.3_1010をダウンロードしてインストールしてください。

台湾の電子機器メーカーは、影響を受けるルーターの3つのモデルについて言及しているだけだが、デバイスをすぐにアップデートできないユーザーや、ファームウェア・アップデートを受け取れない製造終了モデルを持っているユーザーに対する緩和策も提供している。

ルーターにパッチを当てることなく潜在的な攻撃をブロックするために、ユーザーは、WANからのリモートアクセス、ポート転送、DDNS、VPNサーバー、DMZ、ポートトリガー、FTPなど、インターネットからアクセス可能なサービスを無効にするようアドバイスされている。

ASUSはまた、ルーターの安全性を確保し、攻撃対象領域を減らすために、ルーターの管理ページやワイヤレスネットワークに複雑なパスワードを使用すること、セキュリティアップデートや新しいファームウェアを定期的に確認すること、認証情報の再利用を避けることなど、さらなる対策を講じることを推奨している。

攻撃者は通常、ルーターの欠陥を標的として、デバイスをボットネット・マルウェアに感染させ、それをDDoS攻撃に利用するため、できるだけ早く最新のファームウェアをインストールすることを強く推奨する。

例えば、CISAは6月、ASUS RT-AX55 (CVE-2023-39780)とASUS GT-AC2900 (CVE-2021-32030)ルーターに影響を与える2つの古いセキュリティ欠陥を、積極的に悪用される脆弱性のカタログに追加した。

サイバーセキュリティ企業GreyNoiseとフランスのサイバーセキュリティ企業Sekoiaが当時明らかにしたように、Vicious Trapとして追跡されている「十分な資金と高い能力を持つ敵対者」は、CVE-2023-39780とCVE-2021-32030を使用して、AyySSHushとして追跡されている新しいボットネットを構築することを目的とした攻撃で、数千台のASUSルータをバックドアにしました。

ASUSは4月、AiCloudサービスを有効にした幅広いモデルのルーターで、別の重大な認証バイパスの脆弱性（CVE-2025-2492 ）にパッチを適用した。

.ia_ad { background-color：#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border：1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }：0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding：display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color：#line-height: 1.4; font-family：margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color：#border：1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding：width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding：15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}

MCPのための7つのセキュリティ・ベスト・プラクティス

MCP（モデル・コンテキスト・プロトコル）がLLMをツールやデータに接続するための標準になるにつれて、セキュリティ・チームはこれらの新しいサービスを安全に保つために迅速に動いています。

この無料のチート・シートには、今日から使える7つのベスト・プラクティスがまとめられています。

精子提供大手のカリフォルニア・クライオバンクがデータ流出を警告、米国の精子提供大手カリフォルニア・クライオバンクは、顧客の個人情報が流出するデータ侵害に見舞われたと顧客に警告している。カリフォルニア・クライオバンクは、凍結ドナー精子や、卵子・胚保存などの特殊生殖サービスを提供するフルサービスの精子バンクである。同社は米国最大の精子バンクであり、全米50州と世界30カ国以上にサービスを提供している。カリフォルニア・クライオバンクは2024年4月21日にネットワーク上で不審な動きを検知し、ITネットワークからコンピュータを隔離しました。「調査を通じて、CCBは、権限のない第三者が当社のIT環境にアクセスし、2024年4月20日から2024年4月22日の間に特定のコンピュータ・システムで管理されているファイルにアクセスおよび/または取得した可能性があると判断しました。 “慎重を期して、CCBは事件の結果としてアクセスおよび／または取得された可能性のあるファイルの包括的な検索と見直しを行いました。” ほぼ1年にわたる調査の結果、この攻撃により、氏名、銀行口座、ルーティング番号、社会保障番号、運転免許証番号、支払いカード番号、健康保険情報など、顧客のさまざまな個人情報が流出したことが判明した。カリフォルニア・クライオバンクス社は、今回の情報流出で社会保障番号や運転免許証番号が流出した顧客に対し、1年間の無料クレジット・モニタリングを提供している。同社はデータ保護とシステム監視のため、さらなる安全策とセキュリティ対策を実施している。精子を提供する場合、一般的には匿名で行われ、ドナーにはID番号が割り当てられる。このドナーIDはドナーの精子を受け取った人と共有され、子供が18歳になったときに、実の父親についてより多くの情報を得ようとするときに使われる。ドナーID番号を含むドナー情報が今回の情報流出で盗まれたかどうかは不明であり、過去に匿名で精子を提供した人々にとっては重大なプライバシー問題となる。ドナー情報が流出したかどうかを確認するため、カリフォルニア・クライオバンクに問い合わせたが、現時点では電子メールに対する回答は得られていない。 .ia_ad { background-color：#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border：1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }：0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding：display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color：#line-height: 1.4; font-family：margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color：#border：1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding：10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding：15px; width: 100%; } .ia_button { width: 100%; } . 攻撃の93%を支えるMITRE ATT&CK©テクニックのトップ10 1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。レッドレポート2025を読む

MCPのための7つのセキュリティ・ベスト・プラクティス

Comments