週次サイバーセキュリティ脅威レポート（2025年8月4日版）”米国の人気出会い系アプリから情報流出　CPRによるによる2025年Q2のランサムウェア動向分析　等

TakahiroS — Fri, 12 Sep 2025 03:58:27 GMT

チェック・ポイント・リサーチ・チームによる2025年8月4日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

ロシア最大の航空会社アエロフロートが、親ウクライナ派ハクティビストから攻撃を受け、深刻な飛行遅延と重大な技術的障害が発生しました。攻撃者は、飛行履歴、ワークステーションデータ、電話通話記録、従業員監視情報を含むデータベースを流出させたとし、7,000台のサーバから合計22TBを超えるデータを消去したと主張しています。
フランスの通信大手Orangeは、サイバー攻撃を受けて業務に支障をきたす事態が発生し、主にフランスの顧客および一部の企業向け・消費者向けサービスに影響を及ぼしました。顧客や会社のデータが流出された証拠は見つかっておらず、現在時点では漏洩したデータの範囲は不明です。
米国ミネソタ州セントポール市はサイバー攻撃を受け、オンライン決済が利用できなくなり、図書館やレクリエーションセンタが一時的に機能停止するなど、デジタルサービスや市の重要なシステムに広範囲にわたる混乱が生じました。緊急サービスには影響はありませんでしたが、31万1000人の住民が市のリソースへのアクセスに遅延や中断を経験しました。
人気のネットワークレベル広告ブロッカー「Pi-hole」で、データ侵害が発生し、WordPress寄付プラグイン「GiveWP」のセキュリティ脆弱性により寄付者の氏名とメールアドレスが漏洩しました。このインシデントは3万人近くの寄付者に影響を与えました。
Seychelles商業銀行は、データ侵害を受け、氏名、生年月日、電話番号、口座の種類、残高、政府関係者に関連する記録などの個人情報を含む2.2GB分の機密顧客情報が漏洩しました。。この攻撃は、個人口座と法人口座の両方、および従業員のデータに影響を及ぼしました。
ロシアの薬局チェーン「Stolichki」と「Neofarm」は、サイバー攻撃を受けたことを確認しました。この攻撃により、数百の店舗が閉鎖され、支払いシステム、薬の予約、顧客ロイヤリティプログラムが混乱し、ロシア全土で数千人の患者が薬へのアクセスに支障をきたしました。
出会い系安全アプリ「Tea」でデータ侵害が発生し、自撮り写真や政府発行の身分証明書、アプリに投稿された写真など約7万2000枚の画像や、会員間で交換された110万件のプライベートメッセージを含む別のデータベースなど、59GBを超える機密ユーザーデータが流出しました。
フランス国立自然史博物館は、同館の内部および共同研究システムに重大な障害を引き起こしたサイバー攻撃を確認しました。この攻撃は、科学データベースへのアクセスや進行中の研究に影響を及ぼし、特に国際的なプロジェクトや共同研究に大きな影響を与えました。

脆弱性及びパッチについて

研究者たちは、AI搭載の開発プラットフォーム「Base44」に重大な脆弱性を発見しました。この脆弱性により、公開されたエンドポイントを悪用することで、認証なしにプライベートアプリケーションへのアクセスが可能になっていました。この問題は、認証情報やSSO認証を要求せずに任意のapp_id値を受け入れるように不適切に保護されたAPIに起因していました。この脆弱性を悪用されると、攻撃者は人事データを取り扱う企業ツール、内部システム、または個人を特定可能な情報（PII）に不正アクセスする可能性がありました。
研究者たちは、SonicWall SMA100シリーズデバイスにおける3つの重大な脆弱性（CVE-2025-40596、CVE-2025-40597、およびCVE-2025-40598）に関する技術的分析を発表しました。これらの脆弱性は、スタックバッファオーバーフロー、ヒープオーバーフロー、および任意のメモリ書き込みを含むもので、すべて認証不要のHTTP POSTリクエストをCGIエンドポイントに送信することでトリガー可能です。これらの脆弱性を悪用されると、ルート権限でのリモートコード実行が可能になる可能性があります。

Check PointのIPSは、この脅威[SonicWall SMA100 Stack Overflow]に対する防御機能を備えています。

Enable Securityは、ngcp-rtpengineソフトウェアに重大な脆弱性（CVE-2025-53399）を特定しました。この脆弱性は、改ざんされたWebSocketメッセージを介して認証不要のリモートコード実行を可能にします。この問題は、制御プロトコルメッセージの処理における型混同に起因し、攻撃者が関数ポインターを上書きし、実行フローを乗っ取ることを可能にします。この脆弱性を悪用すると、rtpengineプロセスに対する完全な制御が可能となり、公開された概念実証（PoC）が利用可能です。

サイバー脅威インテリジェンスレポート

チェックポイント・リサーチは、2025年第2四半期のランサムウェア動向に関する包括的な分析を発表し、複数のランサムウェア・アズ・ア・サービス（RaaS）グループが活動停止に追い込まれた後のエコシステムの分断化、ランサムウェア運用におけるAIの運用的な活用、Dragon Forceのようなカルテルモデルの台頭などを指摘しました。Qilinランサムウェアは、新たな恐喝ツールと法的サービスを提供し第2四半期で首位を占め、グローバル・グループのようなグループはRaaS機能としてAIを活用した交渉サービスを提供しました。支払い率は、攻撃者への不信感の高まりと政策圧力により世界的に低下しましたが、ランサムウェアグループは現在、データ脅迫や革新的なレピュテーション攻撃に重点を置いています。
チェックポイント・リサーチは、最近のToolShellエクスプロイトに関連する脅威アクターの一つであるStorm-2603に焦点を当てた分析を実施しました。Storm-2603は、2025年上半期を通して、アジア太平洋地域の組織への攻撃と並行して、ラテンアメリカの組織を標的としていた可能性が高いとされています。Storm-2603は、攻撃者が社内で「ak47c2」と名付けたカスタムマルウェアのコマンド＆コントロールフレームワークを利用しており、HTTPベースおよびDNSベースのクライアントが含まれています。
チェックポイント・リサーチは、悪意のある広告を活用して暗号資産アプリケーションのユーザを標的とする新たな悪意のあるキャンペーン「JSCEAL」を発見しました。このキャンペーンでは、人気の暗号資産取引アプリを偽装した偽のアプリケーションが使用されており、2025年上半期だけで35,000件を超える悪意のある広告が配信され、EUだけで数百万回の表示回数を記録しています。JSCEALマルウェアは、高度な多層感染フローを通じて配信され、認証情報やウォレットなどの暗号資産関連データを盗み出すため、暗号資産アプリケーションのユーザにとって重大な脅威となっています。

topic 週次サイバーセキュリティ脅威レポート （2025年8月4日版）”米国の人気出会い系アプリから情報流出 CPRによるによる2025年Q2のランサムウェア動向分析 等 in Japanese 日本語

週次サイバーセキュリティ脅威レポート （2025年8月4日版）”米国の人気出会い系アプリから情報流出 CPRによるによる2025年Q2のランサムウェア動向分析 等

topic 週次サイバーセキュリティ脅威レポート（2025年8月4日版）”米国の人気出会い系アプリから情報流出　CPRによるによる2025年Q2のランサムウェア動向分析　等 in Japanese 日本語

週次サイバーセキュリティ脅威レポート（2025年8月4日版）”米国の人気出会い系アプリから情報流出　CPRによるによる2025年Q2のランサムウェア動向分析　等