チェック・ポイント・リサーチ（CPR）チームによる2025年12月8日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• 米ペンシルベニア大学とフェニックス大学は、攻撃者がOracle E-Business Suiteサーバのゼロデイ脆弱性を悪用したデータ侵害被害を受けました。ペンシルベニア大学では少なくとも1,488人、フェニックス大学では多数の学生、卒業生、寄付者、職員、教職員、従業員、サプライヤーが被害を受けました。Cl0pランサムウェア集団が、より広範なキャンペーンの一環として関与した可能性が高いと考えられます。

Check PointのIPSとThreat EmulationおよびHarmony Endpointは、この脅威[Oracle Concurrent Processing Remote Code Execution; Ransomware.Win.Clop; Ransomware.Wins.Clop; Ransomware.Wins.Clop.ta.*]に対する防御機能を備えています。

• 金融ソフトウェアプロバイダのMarquis Software Solutionsは、全米の74以上の銀行および信用組合に影響を与え、40万人以上の顧客の機密データを流出させたデータ侵害を公表しました。この攻撃は、SonicWallのファイアウォールの脆弱性を悪用してネットワークにアクセスしたAkiraランサムウェア集団によるものと考えられます。

  Check PointのThreat Emulationは、この脅威[Ransomware.Wins.Akira.ta.*; Ransomware.Wins.Akira]に対する防御機能を備えています。

• 米国製薬会社Inotivは、2025年8月に発生したランサムウェア攻撃について報告しました。Qilinランサムウェアグループが犯行声明を発表し、現職・元従業員とその家族を含む9,500人以上の個人情報を流出させました。

Check PointのThreat EmulationとHarmony Endpointは、この脅威に対する防御機能を備えています。

• 韓国の大手小売企業Coupangは、約3400万人の顧客の個人情報（氏名、電話番号、メールアドレスなど）が流出したデータ侵害を確認しました。今回の事件では、支払い情報やアカウントパスワードは漏洩していません。

• Android TV向けYouTubeアプリ「SmartTube」が攻撃の標的となり、開発者署名キーが侵害され、マルウェアを内包した悪意のある更新プログラムが配布されました。この事象はAndroid TV、Fire TV Stick、および類似デバイスのユーザに影響を与えました。

• ベルギーの郵便・小包配送サービス「Bpost」は、サードパーティの交換プラットフォームから合計約30.46GBに及ぶ5,140ファイルが流出するデータ侵害被害を受けました。盗まれたデータには、影響を受けた部門の顧客の一部に関する個人情報や企業情報が含まれていると報じられています。ランサムウェアグループ「TridentLocker」が今回の攻撃の犯行声明を出しました。

• カナダの無線通信事業者Freedom Mobileは、データ侵害事件を受け、顧客アカウント管理プラットフォームへの不正アクセスにより、氏名、住所、生年月日、電話番号、アカウント番号などの個人情報が盗まれました。同社は、影響を受けた顧客の正確な人数を明らかにしていません。

脆弱性及びパッチについて

• チェック・ポイントは、React 19.xおよびNext.js 15.x/16.xなどの関連サーバーサイドフレームワークに影響を与える重大なReact2Shell脆弱性（CVE-2025-55182）について詳細を明らかにしました。この脆弱性により、サーバのデコード処理を標的とした悪意のあるHTTPリクエストを介して、認証不要のリモートコード実行が可能となります。この脆弱性の悪用により攻撃者はアプリケーションサーバーを完全制御し、機密データを傍受、不正なトランザクションを注入、さらには企業環境へのさらなる侵入を企てることが可能です。

  Check PointのIPSは、この脅威[CVE-2025-55182]に対する防御機能を備えています。

• チェック・ポイント・リサーチは、OpenAI Codex CLIに存在する脆弱性を明らかにしました。この脆弱性により、攻撃者はユーザのプロンプトなしに実行される悪意のあるプロジェクトローカル設定ファイル（MCPエントリ）を介して、リモートコード実行を実現することが可能になります。OpenAIは自動実行リスクに対処するため、バージョン0.23.0でパッチをリリースしました。

• チェック・ポイント・リサーチは、Yearn FinanceのyETHプールにおける重大な脆弱性の詳細を公表しました。攻撃者はスマートコントラクトの欠陥を悪用し、ごくわずかな入金で数兆個単位のトークンを発行し、イーサリアムベースのDeFiプロトコルから約900万ドル相当の資産が盗まれました。

サイバー脅威インテリジェンスレポート

• チェック・ポイントは、数年にわたる「Salt Typhoon」サイバー諜報活動をまとめました。この活動では、世界中の80の通信事業者および米国州兵のネットワークが侵害され、SIMベースの認証情報窃取、ネットワークスキャン、Ivanti/PAN-OS/Ciscoの脆弱性（CVE）の悪用、GTP/GTPDOORの悪用を連鎖的に行い、機密通信データや設定データを外部に流出させました。

• 米国とカナダのサイバーセキュリティ機関は、中国関連のハッカーがVMware vSphere環境に侵入し長期アクセスを維持するために使用するステルス型バックドア「BRICKSTORM」の概要を明らかにしました。この攻撃は政府サービスやIT部門を標的とし、VMスナップショットを介して認証情報を窃取し、隠蔽されたマシンを作成していました。

• ShadyPanda脅威アクターは7年間にわたり、検証済みのChromeおよびEdge拡張機能を悪用したキャンペーンを展開し、430万台以上のデバイスをスパイウェアに感染させました。これにより、リモートコード実行、ペイロード配信、トラフィックリダイレクト、認証情報およびクッキーの窃取、ブラウザフィンガープリンティング、HTTPS認証情報の傍受、行動バイオメトリクスの情報漏洩を実行しました。

• 研究者らは、デジタルフォレンジックツール「Velociraptor」を悪用した攻撃キャンペーンを特定しました。このキャンペーンでは、企業環境内でステルス的なコマンドチャネルを確立し、持続性を維持するためにVelociraptorが武器化されていました。攻撃者は、Storm-2603に関連するCVE-2025-49706およびCVE-2025-49704を使用してSharePointの「ToolShell」チェーンを悪用し、確認された事例ではWarlockランサムウェアを配信しました。

• Albirioxは、マルウェア・アズ・ア・サービス（MaaS）として販売される新たなAndroid向けバンキング型トロイの木馬であり、VNCスタイルのリモート制御、アクセシビリティ機能の悪用、オーバーレイ、およびデバイス上での不正行為のためのブラックスクリーンマスキングを用いて、400以上の金融・暗号通貨アプリを標的としています。このマルウェアは、構造化されたJSONメッセージを使用した暗号化されていないTCP C2チャネルを介し、スミッシング、WhatsAppのルアー、ドロッパーを使った偽アプリによって拡散されます。