チェック・ポイント・リサーチ・チームによる2025年5月26日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• 米ウィスコンシン州を拠点とするワイヤレス・プロバイダ、Cellcomは、2025年5月14日から音声およびSMSサービスが広範囲に停止するサイバー攻撃の影響を受けました。このインシデントにより、ウィスコンシン州およびミシガン州上部の顧客の通信が途絶え、通話やテキストメッセージの送信が不可能になりました。犯行声明を出している脅威者アクターはまだいません。

• Kettering Healthはサイバー攻撃の標的となり、米オハイオ州内の14の病院と120以上の外来施設でシステム全体の技術障害が発生しました。このインシデントにより、患者ケアシステムとコールセンターが混乱し、入院および外来処置の選択的措置が中止されました。攻撃者が残した身代金要求のメモから、このインシデントはInterlockランサムウェア・グループによるものであることが示唆されています。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Win.Interlock.*, Ransomware.Wins.InterLock.*]に対する防御機能を備えています。

• Cetus Protocolは、同社の分散型取引所プラットフォームから2億2300万ドルの暗号通貨が盗まれたサイバー攻撃を確認しました。攻撃者はソフトウェアパッケージの脆弱性を悪用し、資金の不正送金を実行しましたが、侵害された資産のうち1億6200万ドルの送金の一時停止に成功しています。

• 2025年5月、Google、Microsoft、Facebook、Appleを含むサービスの1億8400万件以上のログイン認証情報を含むセキュリティ保護がされていないElasticSearchデータベースが発見されました。この47GBのデータセットには、平文のユーザ名とパスワードが公開されており、米国、英国、イスラエル、中国などの国にまたがる少なくとも29の政府ドメインにリンクされた項目がありました。

• フランスのオー＝ド＝セーヌ県が大規模なサイバー攻撃を受け、同県のITシステムと通信手段が無期限停止に追い込まれました。この攻撃により、同県のネットワーク・アクセス、アプリケーション、内部通信システムは使用不能となりました。この攻撃がランサムウェアによるものなのか、DDoS攻撃によるものなのか現時点は不明です。

• Aria Foodsは、サイバー攻撃によりドイツのウパール乳製品工場で生産業務が中断されたことを確認しました。このインシデントにより、現地のITネットワークが混乱し、一時的に生産が停止し、製品納入の遅延やキャンセルの可能性が生じました。

• 英国の大手物流会社Peter Green Chilled社は、ランサムウェア攻撃により受注処理システムに障害が発生し、Aldi、Tesco、Sainsbury’ｓを含む英国の大手スーパーマーケットへの冷蔵品供給に影響が出たことを確認しました。同社の輸送業務に影響はなかったものの、サイバー攻撃によって受注処理能力に支障が生じ、商品が腐敗するリスクが生じました。

脆弱性及びパッチについて

• Mozillaは、Firefoxの2つの重大なゼロデイ脆弱性、CVE-2025-4918とCVE-2025-4919に対するパッチをリリースしました。CVE-2025-4918は、JavaScriptエンジンがPromiseオブジェクトを解決する際の境界外読み取り/書き込みの問題で、CVE-2025-4919は、配列インデックスの混乱によるJavaScriptオブジェクトの境界外アクセスに関するものです。

• Wordfence は、WordPress Motors テーマの重大な脆弱性 (CVE-2025-4322) にパッチを適用しました。この脆弱性により、認証されていない攻撃者が updatePassword() 関数を悪用することで特権を昇格させ、アカウントの完全な乗っ取りにつながる可能性があります。この脆弱性はCVSSスコア9.8と評価されており、不適切な権限チェックに起因しており、実際に悪用されている事例が確認されています。

  Check PointのIPSブレードは、この脅威[WordPress Motors Theme Privilege Escalation (CVE-2025-4322)]に対する防御機能を備えています。

• CVE-2025-34027 (CVSS 10.0) を含む Versa Concerto の重大な脆弱性の詳細が公開されました。この脆弱性は、認証されていない攻撃者が URL デコードの不整合とレースコンディションを悪用して悪意のあるファイルをアップロードし、ld.so.preload を介してリモートでコードを実行することを可能にします。もう一つの致命的な欠陥である CVE-2025-34028 (CVSS 9.1) は、URL エンコードされたパスの不適切な処理による認証回避を可能にし、保護されたエンドポイントへの不正アクセスを許します。

  Check PointのIPSブレードは、この脅威[Versa Concerto Authentication Bypass]に対する防御機能を備えています。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、人気のAIメディア生成プラットフォーム「Kling AI」になりすます世界的なマルウェアキャンペーンを発見しました。攻撃者は、偽のFacebookページや有料広告を作成し、Kling AIを模倣した不正なウェブサイトにユーザを誘い込み、AIコンテンツを生成するよう促していました。このサイトは、正規のメディアファイルを配信する代わりに、実際には悪意のある実行可能ファイルをダウンロードさせ、最終的に認証情報とセッショントークンを盗み出すように設計されたインフォスティーラをインストールさせていました。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威に対する防御機能を備えています。

• セキュリティ研究者は、Dero暗号通貨マイナーを実行する悪意のあるコンテナを展開するために、公開されているDocker Engine APIを悪用するクリプトジャッキングキャンペーンを特定しました。攻撃者は、「pause 」のような正規のコンテナを模倣したDockerイメージを利用し、ハードコードされたウォレットアドレスとマイニングプールのURLを持つUPXパックバイナリを埋め込み、検出を回避しています。

• 研究者は、一般的なソフトウェアのインストーラを装った悪意のあるページを介してBumblebeeマルウェアを配信するために使用されたBing SEOポイズニングキャンペーンを発見しました。攻撃者は、SEO技術を活用しZoom、Slack、Citrixのようなソフトウェアへの悪意のあるリンクを上位に表示させ、トラフィック分散システム（TDS）を介してユーザーをリダイレクトし、トロイの木馬化されたファイルをダウンロードさせました。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[Trojan-Downloader.Win.Bumblebee.*, Trojan-Downloader.Wins.Bumblebee.*]に対する防御機能を備えています。