チェック・ポイント・リサーチ・チームによる2025年1月27日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• ミサイルシステムと無人航空機を専門とする米国を拠点とするメーカーで、米軍と国防総省（DoD）の請負業者である Stark Aerospace が、INC ランサムウェア グループの標的になりました。攻撃者は、設計文書、ソース コード、さまざまな無人航空機のファームウェア、国防総省との契約、サプライ チェーン情報、会社のインストラクタの個人データなど、4 テラバイトのデータを盗み出したと主張しています。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Wins.INC.A]に対する防御機能を備えています

• 英国の通信会社TalkTalkが、氏名、電子メールアドレス、IPアドレス、電話番号などの顧客情報を流出させるデータ侵害に遭いました。「b0nd」という名の脅威アクターがハッキング・フォーラムで、約1880万人の現・元顧客に影響するデータを盗んだと主張しました。

• インドの多国籍銀行であるICICI銀行が、APT73またはEraleigとしても知られるBASHEランサムウェアグループによるサイバー攻撃の被害に遭ったとされています。同グループは銀行のデータベースに侵入したと主張し、2025年1月24日を最初の身代金要求期限に設定し、機密データを暴露すると脅しています。ICICI銀行は侵入を確認しておらず、ファイルの漏洩もないまま期限が1月31日に延期されたことで、主張の正当性が疑問視されています。

• シンガポールを拠点とする暗号通貨プラットフォームPhemexがサイバー攻撃を受け、ETH、Bitcoin、Binance Coinを含む6900万ドル以上のデジタル資産が盗まれました。同社は一部の業務を一時停止し、影響を受けたユーザへの補償プランを策定しながら、引き出しリクエストを手動で確認しています。

• 米国の大手ビジネス・サービス・プロバイダであり政府請負業者であるConduent社は、最近発生したサービス停止がサイバーセキュリティ・インシデントによるものであることを確認しました。この障害により、ウィスコンシン州児童家庭局を含む米国の複数の州の顧客が影響を受けました。

• ロシアの大手通信プロバイダー、Rostelecomは、ハッカー集団「サイレント・クロウ」が同社のデータを流出させたと主張したことを受けて、同社の請負業者の1社に対するサイバー攻撃の疑いで調査を行っています。流出した情報には、数千件の顧客の電子メールと電話番号が含まれていると報じられています。攻撃の標的となったこの請負業者はRostelecomの企業ウェブサイトと調達ポータルの保守を担当しています。初期の調査結果によると、機密性の高い個人情報の流出はなかったとみられています。

• 米ウェストバージニア州のハリソン郡学区がサイバー攻撃を受けたことを明らかにしました。同学区によると、攻撃を発見した時点でネットワークをシャットダウンしたといいます。同学区は、データが流出したかどうかについては明らかにしていません。

脆弱性及びパッチについて

• 米CISA と FBI は、Ivanti Cloud Service Appliance (CSA) の管理者バイパスの脆弱性 (CVE-2024-8963)、SQL インジェクションの脆弱性 (CVE-2024-9379)、リモートコード実行の脆弱性 (CVE-2024-8190 および CVE-2024-9380) の 4 つの脆弱性の悪用を確認しました。脅威アクターは、2つの異なるエクスプロイト・チェーンを利用して、初期アクセスを獲得し、リモート・コードを実行し、認証情報を流出させ、ウェブシェルを埋め込んでいました。影響を受けるバージョンは、Ivanti CSA 4.6 (end-of-life) およびそれ以前の 5.0.1 です。この脆弱性はゼロデイとして積極的に悪用され、CISAの既知の悪用された脆弱性カタログに追加されました。

  Check PointのIPSは、この脅威[Ivanti Cloud Services Appliance Path Traversal (CVE-2024-8963), Ivanti Cloud Services Appliance SQL Injection (CVE-2024-9379), Ivanti Cloud Services Appliance Command Injection (CVE-2024-8190), Ivanti Cloud Services Appliance Command Injection (CVE-2024-9380)]に対する防御機能を備えています。

• SonicWall は、SMA1000 Appliance Management Console (AMC) および Central Management Console (CMC) に重大なデシリアライゼーションの脆弱性 (CVE-2025-23006) を公開しました。この脆弱性により、リモートの認証されていない攻撃者に任意の OS コマンドを実行される可能性があります。この欠陥は、ファームウェアバージョン 12.4.3-02804 までのゼロデイ攻撃として悪用されていると報告されています。

• Oracleの2025年1月のクリティカル・パッチ・アップデートは、さまざまな製品にわたる520件の脆弱性に対処しています。このうち、55件の脆弱性のCVSS v3スコアは9.8で、14件は認証なしでリモートから悪用可能です。影響を受ける製品には、Oracle Database Server、Oracle Communications、Oracle Fusion Middlewareが含まれます。

サイバー脅威インテリジェンスレポート

• チェック・ポイントは、2024年第4四半期のブランド・フィッシング・レポートを発表し、フィッシング攻撃で最もなりすまされているブランドは依然としてマイクロソフトであり、その割合は非常に高いことを明らかにしました。注目すべきは、LinkedInがトップ10に再びランクインしたことで、ソーシャルメディア・プラットフォームを狙ったフィッシング・キャンペーンが再び増加していることが示されています。テクノロジ業界が最も模倣された業界であることに変わりはなく、ソーシャル・ネットワークと銀行がそれに続きます。

• FBIは、北朝鮮のIT労働者がリモートワークの機会を悪用してソースコードを盗み、雇用主を恐喝していることについて警告を発しました。このような国家に支援された人々は、独立した請負業者を装って企業を欺き、そのアクセス権を利用して情報を引き出しています。FBI は、これらの行為が北朝鮮政府の収入を増やすための大規模な取り組みの一部であると考えています。

• 研究者は、異なるブランド名で運営されているにもかかわらず、同一の悪質なペイロードを展開するランサムウェア関連会社HellcatとMorpheusを特定しました。両グループは、データの暗号化と流出のための洗練された技術を採用し、複数の業界にわたる組織を標的としています。今回の調査結果は、これらの関連会社がコードベースまたはツールキットを共有していることを示唆しています。

  Check PointのThreat Emulation とHarmony Endpointは、この脅威[RAT.Win.Morpheus.A, RAT.Win.Morpheus.B ]に対する防御機能を備えています。