チェック・ポイント・リサーチ・チームによる2025年4月7日における週次のサイバーセキュリティ脅威レポートの抄訳です。
オリジナル英語版は、こちらを参照ください。
今週のTOP サイバー攻撃とセキュリティ侵害について
Check PointのThreat Emulationは、この脅威[Ransomware.Wins.INC]に対する防御機能を備えています。
-
米シアトル港は、2024年に発生したランサムウェア攻撃により、氏名、生年月日、社会保障番号、運転免許証番号、一部の医療情報など、約9万人分の個人情報が流出したことを明らかにしました。この情報流出は、従業員、請負業者、駐車場の記録のデータに影響を及ぼし、ワシントン州在住の約71,000人が影響を受けました。この攻撃はRhysidaランサムウェアの仕業とされています。
Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Win.Rhysida; Ransomware.Wins.Rhysida)]に対する防御機能を備えています。
-
米ミネソタ州の先住民族であるロウワー・スー族インディアン・コミュニティがランサムウェア攻撃の被害に遭い、医療、政府、カジノのシステムが広範囲にわたる混乱が生じました。この事件により、通信、デジタルゲーム、ホテル予約サービスに障害が発生しました。この攻撃はRansomHubギャングが犯行声明を出しています。
Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Wins.RansomHub.ta.*; Ransomware.Win.RansomHub)]に対する防御機能を備えています。
-
英国のRoyal Mailがデータ漏洩に遭い、氏名、住所、電話番号、荷物の詳細などの個人情報を含む293のフォルダと16,549のファイルが流出したとされています。この情報流出は、ドイツの物流管理サプライヤであるSpectos社を通じて発生し、GHNAハッキング・グループによって144GBのデータが売りに出されたと報告されています。
-
米国の歯科サービスプロバイダであるChord Specialty Dental Partners社がサイバー攻撃を受け、2024年8月19日から9月25日の間に複数の従業員の電子メールアカウントに不正アクセスが行われました。攻撃者は、氏名、生年月日、住所、銀行口座データ、運転免許証番号、社会保障番号、健康保険情報、医療記録などの機密情報にアクセスしました。
-
大手レンタカー会社Europcar Mobility Groupは、同社のGitLabリポジトリが侵害され、AndroidおよびiOSアプリケーションのソースコードとSQLバックアップが盗まれたとされるサイバー攻撃を確認しました。ダークウェブ・フォーラムのユーザは、9,000以上のSQLファイルと、名前や電子メールアドレスなどの個人データを含む269の.ENVファイルが流出し、5万から20万人の顧客に影響を与えたと主張しています。
脆弱性及びパッチについて
-
現在、Cisco Smart Licensing Utility の 2 つの脆弱性 (CVE-2024-20439 および CVE-2024-20440) が悪用されています。CVE-2024-20439 は、文書化されていない静的な管理者認証情報で、認証されていない攻撃者が CSLU API を介して完全な管理者権限を取得することを可能にします。一方、CVE-2024-20440 は、過剰なデバッグログの冗長性が原因で、細工された HTTP リクエストを介して API クレデンシャルが公開されます。どちらの欠陥もレーティング9.8で、システムの完全な侵害につながる可能性があります。
Check PointのIPSは、この脅威[Cisco Smart Licensing Utility Use of Hard-coded Credentials (CVE-2024-20439)]に対する防御機能を備えています。
-
Ivanti Connect Secure VPNアプライアンスのバージョン22.7R2.5およびそれ以前のバージョンに存在するバッファオーバーフローの欠陥であるCVE-2025-22457が、中国との関連が疑われるスパイ行為者であるUNC5221によって積極的に悪用されていることを、研究者らが発見しました。この脆弱性の悪用に成功すると、リモートでコードが実行され、マルウェアファミリ「TRAILBLAZE」や「BRUSHFIRE」、および以前に報告された「SPAWN」エコシステムが展開されます。
Check PointのIPSは、この脅威[Ivanti Buffer Overflow (CVE-2025-22457)]に対する防御機能を備えています。
-
Appleは、古いiOSおよびmacOSデバイスに影響を及ぼす3件のゼロデイ脆弱性(CVE-2025-24085、CVE-2025-24200、CVE-2025-24201)にパッチを修正しました。CVE-2025-24085はCore Mediaのuse-after-freeのバグ(CVSS 7.3)で、特権の昇格を可能にします。CVE-2025-24200はアクセシビリティ認証の欠陥(CVSS 4.6)で、USB Restricted Modeを無効にします。CVE-2025-24201はWebKitの境界外書き込み(CVSS 8.8)で、Web Contentサンドボックスからの脱出を可能にします。
サイバー脅威インテリジェンスレポート
-
チェック・ポイント・リサーチによると、悪意のある電子メールの添付ファイルの22%に使用されているPDFは、悪意のあるペイロードを隠すためにますます武器化されていることがわかりました。脅威アクターは、PDF 形式の複雑性を悪用し、無害なリダイレクト・サービスや QR コード、静的解析の回避といった難読化テクニックを駆使して、従来の検知メカニズムを回避して隠しリンクやコードを埋め込んでいます。
Check PointのThreat EmulationとHarmony Endpointは、この脅威[Miner.Win.Xmrig; Miner.Wins.Xmrig.ta.*]に対する防御機能を備えています。
-
研究者たちは、設定ミスで一般に公開された PostgreSQL サーバを標的としたファイルレス クリプトマイナーキャンペーンについて警告しています。Jinx-0126と名付けられたこの脅威アクターは、推測可能な脆弱な認証情報を悪用してXMRig-C3クリプトマイナをファイルレスで展開し、各被害者に固有のマイニングワーカーを割り当てます。
-
研究者は、BlackSuit ランサムウェア感染につながる悪意のある zoom インストーラについて報告しています。攻撃者は、攻撃者は、9 日間にわたって、ローダとマルウェア (d3f@ckloader、IDAT ローダ、SectopRAT、Cobalt Strike、Brute Ratel、QDoor) を使用してラテラルムーブメントを行い、データを盗み出し、ランサムウェアを展開しました。
-
研究者は、C CyberSource 決済ゲートウェイを介して WooCommerce ストアを狙ったカード攻撃を自動化する「disgrasya」という悪質な Python パッケージを PyPI 上で発見しました。バージョン7.36.9で導入され、34,000回以上ダウンロードされたこのパッケージは、正当なチェックアウト フローをシミュレートして盗まれたクレジットカードをテストし、自動詐欺を容易にします。
