チェック・ポイント・リサーチ・チームによる2025年3月31日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• ニューヨーク大学（NYU）がサイバー攻撃を受け、名前、テストのスコア、専攻、郵便番号など300万人以上の志願者データが流出しました。ハッカーはNYUのウェブサイトをリダイレクトしてこの情報を表示させ、最高裁が2023年にアファーマティブ・アクション（積極的格差是正措置）に反対する判決を下したにもかかわらず、同大学が人種に配慮した入試方針を使い続けていることを主張しました。この情報流出には、1989年までさかのぼる入試データを含むダウンロード可能なファイルも含まれていました。

• クアラルンプール国際空港（KLIA）がサイバー攻撃の被害に遭い、入国審査システムが停止したため、入国者、出国者ともに大幅な遅れが生じました。この事件はチェックインカウンターにも影響を及ぼし、空港全体に長蛇の列を作ったと報じられています。当局は、ハッカーが1000万ドルの身代金の支払いを要求したことを確認しました。

• ウクライナの国営鉄道会社であるUkrzaliznytsiaが大規模なサイバー攻撃の標的になり、切符購入用モバイルアプリを含むオンラインサービスに障害が発生しました。この攻撃は列車のダイヤには影響を及ぼしませんでしたが、駅で実際に切符を購入しなければならなかった乗客には大きな不便をもたらしました。

• Walmart傘下の倉庫型スーパーマーケット・チェーンであるSam’s Clubが、サイバーセキュリティ上の問題が発生した可能性があるとして調査を行っています。ランサムウェア集団Clopは、ダークウェブのリークサイトにSam's Clubを掲載し、同社がセキュリティ上の懸念を無視していると主張しています。脅威アクターはまだ侵害の証拠を公表しておらず、Sam’s Clubは事件に関する具体的な詳細を明らかにしていません。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Win.Clop; Ransomware.Wins.Clop; Ransomware.Wins.Clop.ta.*)]に対する防御機能を備えています。

• 米ペンシルベニア州ユニオン郡がランサムウェア攻撃を受けたことを明らかにしました。同郡の声明によると、この攻撃で流出した情報には社会保障番号や運転免許証が含まれています。この攻撃に対する犯行声明を出しているランサムウェアのグループはまだいません。

• 米国のモビリティ・ソリューション会社Numotionがサイバー攻撃を受け、約50万人に影響を与えるデータ漏洩に見舞われました。2024 年 9 月 2 日から 2024 年 11 月 18 日の間に、フィッシングメールが成功し、権限のない第三者が同社の従業員の一部のメールアカウントにアクセスしました。

• Abracadabra Financeはサイバー攻撃を受け、約1300万ドル相当のデジタル通貨が盗まれました。この侵害は、同社の「大釜」と呼ばれる、ユーザが様々な暗号通貨を担保に借り入れできる隔離された融資市場の脆弱性に起因するものでした。同社はセキュリティ会社と協力してこの事件を調査しており、盗まれた資金を返すために攻撃者に20％のバグ報奨金を提供しています。

脆弱性及びパッチについて

• 研究者は、ForumTrollと名付けられたAPTグループによってGoogle Chromeのゼロデイ脆弱性チェーンが使用されていたことを明らかにしました。最初の脆弱性 (CVE-2025-2783) により、攻撃者は Google Chrome のサンドボックス保護を回避できましたが、この脆弱性はリモート コード実行を可能にする追加のエクスプロイトとともに実行されるように設計されていました。GoogleはCVE-2025-2783に対する修正プログラムをリリースしました。

• Veeam Backup & Replicationソフトウェアの重大な脆弱性(CVE-2025-23120)は、認証されたドメイン・ユーザによるリモート・コード実行を可能にするもので、最近パッチが適用されました。この脆弱性は一貫性のないデシリアライズ処理に起因しており、Veeam.Backup.EsxManager.xmlFrameworkDsやVeeam.Backup.Core.BackupSummaryなどのブロックされていないクラスを介して悪用されます。

• 研究者は、macOS上のSpeedify VPNにおける重大なコマンドインジェクションの脆弱性(CVE-2025-25364)について詳細に説明しています。XPC メッセージ内のユーザー制御フィールド (cmdPath および cmdBin) の適切な入力検証の欠如により、ローカル攻撃者に任意のコマンドを注入される可能性があります。この脆弱性の悪用に成功すると、特権の昇格やシステムの完全な侵害につながる可能性があります。この脆弱性は、Speedify VPN バージョン 15.4.1 で修正されています。

サイバー脅威インテリジェンスレポート

• 研究者は、アジアの大手通信プロバイダを標的とした中国系脅威アクターWeaver Antによるサイバースパイ活動について報告しています。このグループは、家庭用ルータを悪用し、ネットワークに侵入するために斬新なウェブシェルを展開し、継続的なアクセスと機密データの収集を狙いました。Weaver Antの手口には、ウェブシェルやトンネリング技術を活用し、侵害された環境内で持続性を維持することが含まれています。

• 研究者は、データ漏洩サイト（DLS）の設定ミスを悪用することで、BlackLockランサムウェアグループの重大な運用上のセキュリティ障害を発見しました。この欠陥により、内部コマンド、設定ファイル、および認証情報へのアクセスが可能となり、Eldoradoランサムウェアグループのリブランド版であるBlackLockが、テクノロジ、製造、建設、金融、および小売を含む様々なセクターにわたり、世界全体で46人の被害者を危険にさらしていることが明らかになりました。

• 研究者は、Microsoft Management Console（MMC）のゼロデイ脆弱性であるCVE-2025-26633を悪用した、ロシアに関連する脅威アクターWater Gamayunによるキャンペーンを検出しました。この脆弱性により、攻撃者は.mscファイルと多言語ユーザインターフェイスパス(MUIPath)を操作することで悪意のあるコードを実行することが可能となり、不正なコード実行やデータ流出が可能になります。Microsoftは、この脆弱性に対処するためのパッチをリリースしました。

• 米CISAは、1 月に公開された重大なバッファ オーバーフロー脆弱性である CVE-2025-0282 を介して Ivanti Connect Secure アプライアンスを標的とするバックドア マルウェア「Resurge」に関するマルウェア分析レポートを発表しました。Resurgeは、SSHトンネリング、Webシェル展開、ファイル操作などの機能をSpawnChimeraマルウェアと共有し、永続性を維持して検出を回避します。脅威アクターはこのマルウェアを使用して、特権の昇格、認証情報の取得、システムの完全性の操作を行うことができます。