チェック・ポイント・リサーチ・チームによる2025年2月24日における週次のサイバーセキュリティ脅威レポートの抄訳です。
オリジナル英語版は、こちらを参照ください。
今週のTOP サイバー攻撃とセキュリティ侵害について
- チェック・ポイント・リサーチは、デジタル資産史上最大級の盗難事件である先日の ByBit ハッキングについて、暗号セキュリティへの影響、およびセキュリティに関する推奨事項を取り上げています。この事件では、ハッカーがオフラインのイーサリアムウォレットにアクセスし、15億ドル相当のデジタル資産を盗み出しました。この攻撃は、オフラインのコールドウォレットからウォームウォレットへの定期的な送金中に発生し、攻撃者はトランザクションを操作して資金を未知のアドレスに転送しました。ブロックチェーン分析会社は、この強盗は北朝鮮のLazarusグループによるものだと分析しています。
Check PointのThreat EmulationとHarmony Endpointは、この脅威[APT.Wins.Lazarus.*, APT.Win.Lazarus.*, APT.Wins.Lazarus.ta.*)]に対する防御機能を備えています
-
エクアドルの国民議会が、システムの混乱と機密データへのアクセスを狙った2度のサイバー攻撃を受けました。攻撃は同国の総選挙の1週間後に行われました。このインシデントの影響や背後にいる脅威アクターについての詳細は明らかにされていません。
-
オーストラリアの大手不妊治療サービス・プロバイダであるGenea社は、同社のデータへの不正アクセスにつながるサイバー攻撃を受けました。同社は現在、個人情報の流出の可能性を含め、アクセスされた情報の性質と範囲を調査中です。一部のシステムは予防措置としてオフラインになりましたが、Genea社は患者の治療への支障は最小限に抑えることを保証しています。
-
ドイツの治安当局は、同国の連邦選挙に影響を及ぼすことを目的としたロシアの偽情報キャンペーンを確認しました。このキャンペーンは「Storm-1516」というグループによるもので、「ドイツのための選択肢(AfD)」党を標的にした投票操作の様子を描いた偽の動画がソーシャルメディア上に出回っています。報告によると、AfDへの支持を増幅させるため、真偽不明のソーシャルメディアアカウントを使用した、より広範な取り組みが行われています。
-
ニューヨークを拠点とするベンチャー・キャピタルおよびプライベート・エクイティ企業のInsight Partnersは、2025年1月、ソーシャル・エンジニアリング攻撃により、同社の情報システムの一部に不正アクセスされるサイバー攻撃の被害にあいました。
-
VorwerkのサーモミックスレシピフォーラムRezeptwelt.deがデータ漏洩に見舞われ、330万人のユーザー記録が流出しました。外部のサービス・プロバイダが侵害したサーバから、氏名、住所、生年月日、電話番号、電子メール、料理の好みなどが流出しました。影響を受けたユーザは、チェコ共和国、スペイン、フランス、イタリア、ポーランド、ポルトガル、オーストラリアにまたがっています。
-
ロシアのマイクロファイナンス会社CarMoneyは、攻撃者が同社を閉鎖し、すべての負債を帳消しにすると偽ったスパムメッセージを顧客に送りつけ、すべてのシステムを停止させたサイバー攻撃を確認しました。親ウクライナのハッカー集団「ウクライナ・サイバー・アライアンス」が犯行声明を出しました。
脆弱性及びパッチについて
-
Microsoft Power Pages の重大度の高い特権昇格の脆弱性(CVE-2025-24989)は、パッチが適用される前に、ゼロデイとして積極的に悪用されていました。この脆弱性により、攻撃者は Power Pages を使用した一般向け Web サイトのアクセス制限を回避し、不正アクセスにつながる可能性があります。Microsoftは、サービスレベルでこの脆弱性に対処し、影響を受ける顧客に通知しました。
-
研究者は、Ivanti Endpoint Manager(EPM)の4つの重大な脆弱性に関する技術情報を共有しました。これらの脆弱性により認証されていない攻撃者がリレー攻撃のためにEPMマシンアカウントのクレデンシャルを強要することを可能にし、サーバーの侵害につながる可能性があります。これらの脆弱性(GetHashForFile の CVE-2024-10811、GetHashForSingleFile の CVE-2024-13161、GetHashForWildcard の CVE-2024-13160、および GetHashForWildcardRecursive の CVE-2024-13159)にはパッチが適用されています。
Check PointのIPSは、この脅威[Ivanti Endpoint Manager Path Traversal]に対する防御機能を備えています。
-
新たに確認されたコードインジェクションの脆弱性 (CVE-2025-23209) は、Craft CMS バージョン 4 および 5 に影響し、ユーザのセキュリティキーが侵害された場合にリモートでコードが実行される可能性があります。この脆弱性は現在パッチが適用されており、攻撃者は入力フィールドを操作し、悪意のあるコードをシステムに注入することが可能です。CISAは、悪用が確認されたため、この脆弱性をKnown Exploited Vulnerabilitiesカタログに追加しました。
サイバー脅威インテリジェンスレポート
-
チェック・ポイント・リサーチは、2024年5月にパッチが適用されたチェック・ポイントの脆弱性 CVE-2024-24919 を悪用し、ShadowPad マルウェアを展開する脅威活動クラスターについて詳しく説明しています。また、最初の感染に続いて NailaoLocker ランサムウェアが展開されるケースもありました。このキャンペーンは、2024年6月から2025年1月にかけて実施され、ヨーロッパ、アフリカ、アメリカ大陸の組織を標的としており、製造業が最も被害を受けました。
Check PointのThreat Emulation,Harmony EndpointとIPSは、この脅威[behavioral.win.dllsideloading.s , ransomware.win.honey; RAT.Wins.ShadowPad.ta.G; Check Point VPN Information Disclosure (CVE-2024-24919)]に対する防御機能を備えています。
-
チェック・ポイント・リサーチは、複数のサンドボックス・ソリューションのヒューマン・インタラクション・モジュールにおける統計的な異常を悪用することで、検知を回避する方法を発見しました。チェック・ポイント・リサーチは、マウスによる人間との対話をシミュレートする代替アルゴリズムを、その仕様、パラメータ、ソース・コード、および視覚的なデモンストレーションを含めて提供しています。このアプローチは、巧妙な回避技術に対するサンドボックス・エミュレーションの有効性を高めることを目的としています。
-
チェック・ポイントの調べによると、サイバー犯罪者は、偽の請求書やアカウントの有効化通知など、通常のフィッシング・メールの中に巧妙なURL操作のテクニックを仕込んでいます。その主な手口は、ウェブ・アドレスの「http://」と「@」の間にある「userinfo」部分を悪用し、悪意のあるURLを正規のものに見せかけるというものです。
