チェック・ポイント・リサーチ・チームによる2025年3月10日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• 米テキサス州ミッション市は、市の部局が管理する保護された個人情報、医療記録、その他の重要なデータが流出する恐れのある深刻なサイバーセキュリティインシデントを受けて、地域非常事態宣言を発令しました。この非常事態宣言は、2025年2月28日にサイバー攻撃が確認された後、3月4日にノリー・ゴンザレス・ガルザ市長によって発令されました。市当局は、政府の機密データが漏洩する可能性を懸念しており、漏洩を食い止められない場合、個人情報の盗難、市サービスの中断、法的複雑化につながる可能性があるとしています。

• National Presto Industries社は、3月1日に始まったサイバー攻撃により、出荷、入荷、製造工程、およびバックオフィス機能に影響を及ぼすシステム障害が発生しました。この米企業は、システムが復旧するまでの間、重要な業務を維持するための臨時措置を実施しました。法執行機関に通知され、インシデント対応チームがインシデントの範囲を特定するためのフォレンジック分析を行っています。

• トロント動物園が2024年1月にランサムウェア攻撃を受け、2000年から2023年までの来園者の取引データが流出しました。盗まれたデータには、名前、住所、電話番号、電子メール、最近の取引のクレジットカード情報の一部が含まれています。Akiraランサムウェアグループが犯行声明を出し、機密契約書や個人ファイルを含む133GBのデータを盗み出したとしています。

Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware_Linux_Akira_C/D, Ransomware.Wins.Akira.G/H)]に対する防御機能を備えています。

• ロシア系ランサムウェア集団Qilinがウクライナ外務省に侵入し、私信や個人情報などのデータを盗んだとされています。Qilinはこのデータの一部はすでに売却されたと主張しています。ウクライナ外務省は侵入を認めていません。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware_Linux_Qilin_A; Ransomware.Win.Agenda; Ransomware.Wins.Qilin)]に対する防御機能を備えています。

• NTTコミュニケーションズ社は、同社の配給システムに不正アクセスするサイバー攻撃を受け、17,000人以上の顧客データが流出しました。この侵害は2月5日に発見され、顧客の氏名、契約番号、電話番号、電子メールアドレス、住所、サービス利用情報などが流出しました。犯行声明を出している脅威アクターはまだいません。

• 米インディアナ州のペン・ハリス・マディソン学区がランサムウェア攻撃を受けました。同学区によると、この攻撃により学校運営に混乱が生じたが、生徒の社会保障番号は流出しなかったといいます。

• ポーランドの宇宙機関POLSAはこのほど、サイバー攻撃の被害に遭ったことを発表しました。同機関のITインフラへの不正アクセスが検知され、影響を受けたシステムは保護されました。この事件は現在、侵入の背後にいる攻撃者を特定するために調査中です。

脆弱性及びパッチについて

• 重大な境界外書き込みの脆弱性（CVE-2025-22224）は、積極的に悪用されており、インターネットに公開された37,000台以上のVMware ESXiサーバに影響を及ぼしています。この欠陥により、VMゲスト上で管理者権限を持つローカル攻撃者がサンドボックスを回避し、VMXプロセスとしてホスト上でコードを実行することが可能になります。利用可能なパッチが存在し、CISAの既知の悪用される脆弱性（KEV）カタログにこの欠陥が含まれているにもかかわらず、かなりの数のサーバがパッチを適用されていないままです。

• Googleは2025年3月のAndroid Security Bulletinをリリースし、44件の不具合に対処しました。そのうち 2 件は、フレームワーク コンポーネントの権限昇格 (CVE-2024-43093) と、Linux カーネルの HID USB コンポーネントの権限昇格 (CVE-2024-50302) という、現在も悪用されている重大度の高い脆弱性です。

• CISAは、Cisco、日立ヴァンタラ、Microsoft、およびProgress WhatsUp Goldに影響する5つのセキュリティ欠陥をKEVカタログに追加しました。これらには、Cisco Small Business RVシリーズルータにおけるコマンドインジェクションの脆弱性（CVE-2023-20118）、日立ヴァンタラ Pentaho BA Serverにおける2つの欠陥（CVE-2022-43939、CVE-2022-43769）、Microsoft Windows Win32kにおける不適切なリソースシャットダウンの問題（CVE-2018-8639）、Progress WhatsUp Goldにおけるパストラバーサルの脆弱性（CVE-2024-4885）が含まれます。

  Check PointのIPSは、この脅威[Hitachi Vantara Pentaho Business Analytics Server Authentication Bypass (CVE-2022-43939), Hitachi Vantara Pentaho Business Analytics Server Remote Code Execution (CVE-2022-43769), Microsoft Win32k Elevation of Privilege (CVE-2018-8639), WhatsUp Gold Remote Code Execution (CVE-2024-4885)]に対する防御機能を備えています。

サイバー脅威インテリジェンスレポート

• FBIとCISAは、悪名高いランサムウェア「BianLian」を装ったグループによるデータ流出を脅す郵便詐欺キャンペーンについて警告しています。このキャンペーンは、物理的な手紙を使用し、企業幹部に対して25万ドルから50万ドルのビットコインを要求し、不正なデータアクセスを主張し、ランサムウェアのリークサイトでの暴露を脅しています。実際のBianLianとの関連は不明なままですが、脅威アクターは主に米国の医療業界の幹部を標的としています。

  Check PointのThreat Emulation,Harmony Endpointは、この脅威[Ransomware.Wins.BianLian.ta.*; Ransomware.Wins.BianLian; Backdoor.Wins.BianLian; HackTool.Wins.BianLian]に対する防御機能を備えています。

• 研究者は、全世界で100万台以上のデバイスに影響を及ぼしている大規模な不正広告キャンペーンを特定しました。この攻撃は、マルバタイジングのリダイレクタが埋め込まれた違法なストリーミング・ウェブサイトから発生し、ユーザを仲介サイトへと誘導し、その後、悪意のあるペイロードをホストするGitHub、Discord、Dropboxなどのプラットフォームへと誘導します。このキャンペーンは、巧妙なリダイレクトチェーンを採用し、Lumma StealerやDoeneriumを含む様々なマルウェアを利用しています。

• 研究者は、2023年から2024年にかけてMedusaランサムウェア攻撃が42％増加し、2025年初頭にはインシデントが倍増することを指摘しています。Medusaは、Spearwingとして追跡されているグループによってransomware-as-a-service（RaaS）として運営されており、二重の恐喝戦術を採用し、データを盗んで暗号化します。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Wins.MedusaLocker.ta.*; Ransomware.Wins.MedusaLocker.*; Trojan.WIN32.Medusalocker.*]に対する防御機能を備えています。