週次サイバーセキュリティ脅威レポート（2025年3月24日版）”米４州の自治体でサイバー攻撃によるサービス停止発生　CPRによる今年３月に開始されたRaaSアフィリエイトプログラムに関すレポート　等

TakahiroS — Tue, 25 Mar 2025 03:27:56 GMT

チェック・ポイント・リサーチ・チームによる2025年3月24日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

米国4州の自治体がサイバー攻撃を受け、郡庁、裁判所、学校のサービスが停止しました。クリーブランド地方裁判所はQilinランサムウェアの攻撃を受け、従業員がオフラインになり、裁判が遅れました。ストラフォード郡、ペラム学区、ダービー警察も、特定の脅威アクターが主張していない、サービスの中断を報告しました。

Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Wins.Qilin]に対する防御機能を備えています。

ブロックチェーンゲームプラットフォームWEMIXは、サイバー攻撃により8,654,860トークン（約610万ドル相当）が盗まれたことを確認しました。この侵害は2025年2月28日に発生し、ブロックチェーンゲームプラットフォームのトークン保有者に影響を与え、金銭的損失を被る可能性があります。
ダークウェブ・フォーラムの脅威アクター「rose87168 」は、Oracle の Cloud SSO プラットフォームから 600 万件のレコードが侵害されたとされる攻撃の責任を主張しています。この侵害により、暗号化されたSSOパスワード、Java KeyStore（JKS）ファイル、およびその他の機密情報が流出し、14万以上の企業が影響が及ぶ可能性があります。Oracleは、公開された認証情報はOracle Cloud向けのものではなく、Oracle Cloud の顧客が侵害を受けたりデータを失ったりしたことはないと主張し、いかなる形であれ侵害されたことを否定しています。
米国の巨大精子バンク、California Cryobankが、氏名、銀行口座情報、社会保障番号、運転免許証番号、支払いカード情報、健康保険情報などの個人情報が流出するデータ漏洩の被害にあいました。この事件は数え切れない数の顧客に影響を与えた可能性があります。まだどの脅威アクターも犯行声明を出していません。
米アリゾナ州を拠点とするWestern Alliance銀行がデータ漏洩に見舞われ、約2万2千人分の機密個人情報および金融情報が流出しました。この情報漏洩は、2024年10月、サードパーティのファイル転送ソフトウェアに対するサイバー攻撃によって引き起こされ、氏名、社会保障番号、運転免許証の詳細、金融口座番号が漏洩しました。
スイスの通信ソリューション・プロバイダであるAscomは、同社のテクニカル・チケット・システムに影響を及ぼし、44 GB の企業データが流出するサイバー攻撃に見舞われました。流出した機密内部情報には、ソースコード、請求書、機密文書などが含まれています。Hellcatランサムウェアグループがこの攻撃の責任を主張しています。
米ペンシルベニア州教育協会（PSEA）は2024年7月、51万7000人以上の会員の機密情報が盗まれたデータ侵害を公表しました。盗まれたデータには、政府発行のID、社会保障番号、パスポートの詳細、財務情報などが含まれています。

脆弱性及びパッチについて

米サイバーセキュリティ機関CISAは、Nakivo Backup and Replicationに絶対パストラバーサルの脆弱性（CVE-2024-48248、CVSS 8.6）があり、攻撃者が任意のファイルを読み取ったり、設定ファイルや認証情報を含む機密データにアクセスできる可能性があると警告しています。この脆弱性を悪用されると、リモートでコードが実行され、企業環境がさらに危険にさらされる可能性があり、実際にそのような試みが確認されています。

Check PointのIPSは、この脅威[NAKIVO Arbitrary File Read (CVE-2024-48248)]に対する防御機能を備えています。
AMI 社の MegaRAC BMC ソフトウェアに、Redfish のようなリモート管理インタフェースを介した認証バイパスを可能にする、新たな重大な脆弱性（CVE-2024-54085）が発見されました。この脆弱性が悪用されると、サーバの遠隔操作、マルウェアの展開、ファームウェアの改ざん、ハードウェアのブ破損が生じる可能性があります。影響を受けるデバイスには、HPE Cray XD670、Asus RS720A-E11-RS24U、および ASRockRack が含まれます。
認証されたドメインユーザによるリモートコード実行を可能にする、Veeam Backup & Replication ソフトウェアの重大な脆弱性 (CVE-2025-23120) に対処するためのパッチがリリースされました。この脆弱性は、Veeam.Backup.EsxManager.xmlFrameworkDs や Veeam.Backup.Core.BackupSummary などのブロックされていないクラスを介して悪用される可能性があり、一貫性のないデシリアライゼーション処理に起因しています。

サイバー脅威インテリジェンスレポート

チェック・ポイント・リサーチは、VanHelsingRaaSと名付けられた新たなランサムウェア・アズ・ア・サービス（RaaS）のアフィリエイト・プログラムを発見しました。チェック・ポイント・リサーチは、Windowsを標的とした2種類のVanHelsingランサムウェアを発見しましたが、RaaSの広告に記載されているとおり、「Linux、BSD、ARM、およびESXiシステムを標的とした」ランサムウェアも提供しています。サイバー犯罪コミュニティに導入されてから2週間足らずで、このランサムウェアはすでに3人の既知の被害者に感染し、復号化と盗まれたデータの削除のために多額の身代金の支払いを要求しています。

Check PointのThreat EmulatioとHarmony Endpointは、この脅威に対する防御機能を備えています。
チェック・ポイントの研究者は、一般的なWebアプリケーション・ホスティング・サービスであるFirebaseを利用した巧妙なクレデンシャル・ハーベスティング（認証情報収集）攻撃について報告しました。この攻撃では、非常に説得力のあるプロフェッショナルなデザインのフィッシング・ウェブ・ページを作成し、有名なサービスになりすまします。
研究者は、RansomHubランサムウェア・アズ・ア・サービス（RaaS）事業の関連会社が、攻撃に「Betruger」と名付けられたカスタム開発のバックドアを利用していることを発見しました。この多機能マルウェアは、認証情報のダンプ、権限の昇格、ネットワークスキャン、キーロギング、スクリーンショットのキャプチャなど、さまざまな悪意のある活動を容易にします。このようなカスタムツールの採用は、ランサムウェアの準備中に複数のツールの使用を最小限に抑え、それによって検知される可能性を低くするという戦略的転換を意味します。

Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Wins.RansomHub.ta.*; Ransomware.Win.RansomHub]に対する防御機能を備えています。

topic 週次サイバーセキュリティ脅威レポート （2025年3月24日版）”米４州の自治体でサイバー攻撃によるサービス停止発生 CPRによる今年３月に開始されたRaaSアフィリエイトプログラムに関すレポート 等 in Japanese 日本語

週次サイバーセキュリティ脅威レポート （2025年3月24日版）”米４州の自治体でサイバー攻撃によるサービス停止発生 CPRによる今年３月に開始されたRaaSアフィリエイトプログラムに関すレポート 等

topic 週次サイバーセキュリティ脅威レポート（2025年3月24日版）”米４州の自治体でサイバー攻撃によるサービス停止発生　CPRによる今年３月に開始されたRaaSアフィリエイトプログラムに関すレポート　等 in Japanese 日本語

週次サイバーセキュリティ脅威レポート（2025年3月24日版）”米４州の自治体でサイバー攻撃によるサービス停止発生　CPRによる今年３月に開始されたRaaSアフィリエイトプログラムに関すレポート　等