チェック・ポイント・リサーチ・チームによる2025年3月3日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• Orangeグループは、ルーマニア支社がHellCat ランサムウェア グループに関係するハッカーが 1 か月かけて 6.5 GB のデータを盗んだサイバー攻撃を受けたことを確認しました。この侵害により、38万件の電子メールアドレス、内部文書、ソースコード、請求書、契約書、支払いカードの詳細の一部が流出しました。一部のデータは古いもののようですが、Orange社は顧客業務に影響がないことを保証しており、事件を調査中です。

• Medusaランサムウェアグループは、英国のヘルスケアプロバイダHCRG Care Groupのネットワークから約50TBのデータを流出させ、ヘルスケアプロバイダのシステムを完全に制御していると主張しています。当初、Medusaは2.275TBのデータを盗んだと報告していましたが、その後、彼らは侵害がHCRGの2つのサブドメインに及ぶ大規模であったことを明らかにしました。攻撃の影響を軽視する HCRG の公式声明に対して、Medusa は同社を「嘘つき」とし、企業ネットワークの NTDS ログを含む広範なデータ盗難の証拠を示しました。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Wins.MedusaLocker.ta.*; Ransomware.Wins.MedusaLocker.*; Trojan.WIN32.Medusalocker.*]に対する防御機能を備えています。

• Qilinランサムウェアグループは、米国の大手メディア企業であるLee Enterprises社へのサイバー攻撃で業務を妨害し、350GBのデータを盗んだと犯行声明を出しました。盗まれたデータには、政府のIDスキャン、財務文書、契約書、秘密保持契約書などが含まれ、一部は流出しており、グループは身代金要求が満たされなければ、3月5日までに全てのデータを公開すると脅しています。Lee Enterprises社はこの攻撃を米証券取引委員会（SEC）に報告し、社内システム、クラウド・ストレージ、企業VPNへのアクセス喪失など、業務妨害の詳細を報告しました。

• テキサス州を拠点とするDM Clinical Researc社がサイバー攻撃の被害に遭い、個人情報や臨床データを含む160万件以上の機密記録が流出しました。この事件は、一般にアクセス可能なパスワードで保護されていないデータベースが誤って設定され、誰でもアクセス可能だったことが原因とされています。

• フィリピン陸軍は、ハッキング集団Exodus Securityが陸軍のシステムに侵入し、1万人の軍人の機密情報や個人情報にアクセスしたと主張したことを受け、サイバー攻撃を確認しました。軍は、侵入は食い止められ、データの盗難は確認されていないと述べているが、Exodus Securityは、氏名、住所、医療記録、財務情報を入手したと主張しています。

• 米クリーブランド市裁判所は、内部システムとソフトウェア・プラットフォームのシャットダウンを余儀なくされるサイバー事件に見舞われ、2月23日より閉鎖されています。当局は攻撃の内容や範囲を明らかにしていないが、サービスの安全確保と復旧に努めています。
  
  

脆弱性及びパッチについて

• MITRE Caldera に重大なリモートコード実行の脆弱性（CVE-2025-27364）が発見されました。この欠陥はサーバの動的エージェントコンパイル機能に存在し、特に Manx および Sandcat エージェントに影響します。この脆弱性を悪用すると、リモートの攻撃者は、これらのエージェントのコンパイルおよびダウンロードに使用されるサーバの API に細工したウェブ要求を送信することで、Caldera をホストするサーバ上で任意のコードを実行することができます。この脆弱性は、認証なしでトリガされる可能性があり、必要な依存関係（Go、Python、GCC）は通常デフォルトの設定で存在するため、特に懸念されます。

Check PointのIPSは、この脅威[MITRE Caldera Remote Code Execution (CVE-2025-27364)]に対する防御機能を備えています。

• 研究者は、SQLiteヒントデータベース機能を持つEximバージョン4.98に重大なSQLインジェクションの欠陥（CVE-2025-26794）を発見しました。攻撃者は、特別に細工された電子メールトランザクションを介して悪意のあるSQLコードを挿入することができ、不正アクセス、データ抽出、またはシステムの完全な侵害につながる可能性があります。

• Everest Forms プラグイン (3.0.9.4 までのバージョン) に、 認証されていないファイルのアップロード、読み込み、削除を許してしまう 重大な脆弱性 (CVE-2025-1128) に対するパッチがリリースされました。この問題が悪用されると、リモートでコードが実行され、サイトが乗っ取られ、任意のファイルが操作される可能性があります。この問題はバージョン 3.0.9.5 で解決されました。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、RogueKiller Antirootkitドライバとして知られる脆弱なTruesight.sysドライバ（バージョン2.0.2）の2,500以上の亜種を悪用した大規模なキャンペーンを発見しました。攻撃者は、Windowsポリシーの抜け穴を利用し、Microsoft Vulnerable Driver Blocklistのようなセキュリティ対策を回避して、このレガシー・ドライバを最新のOSバージョンにロードしました。攻撃者は、このドライバーをフィッシング手法で配布し、悪意のあるサンプルを正規のアプリケーションに偽装し、主に中国やその他のアジアの被害者を狙っていました。このキャンペーンの巧妙さは、用心深いセキュリティ対策とセキュリティ・ポリシーのタイムリーな更新の必要性を強調しています。

  Check PointのThreat Emulation,Harmony EndpointとIPSは、この脅威[Backdoor.Wins.Truesight.A, Gen.Rep.sys, Behavioral.Sideloading.p]に対する防御機能を備えています。

• チェック・ポイント・リサーチは、ハクティビスト・グループの進化を分析しました。ハクティビスト・グループは、ウェブサイトの改ざんやDDoS攻撃といった小規模なものから、国家による支援活動にも似た巧妙なものへと変遷しています。現在、研究者たちは、より精度の高いアトリビューションを実現するために、言語ベースの機械学習モデルと言語分析を採用しています。さまざまなハクティビスト・グループからの何千もの公開メッセージを調査することで、この最新のアプローチは、伝統的なサイバー脅威インテリジェンスを先進技術と統合し、主要なトピック、動機、潜在的なつながりを明らかにし、ハクティビスト・グループの帰属の精度を高めています。