チェック・ポイント・リサーチ・チームによる2025年7月28日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• 米国エネルギー省とその傘下の国家核安全保障局（NNSA）が、MicrosoftのSharePointの脆弱性を悪用した攻撃により侵害されたと報じられています。この侵害は、CVE-2025-53770を標的とした政府機関を対象とした広範なスパイ活動の一環と関連付けられています。NNSAにおける侵入の程度とデータ漏洩の規模は不明です。

• アメリカの大手テクノロジー企業Dellは、顧客ソリューションセンタの製品デモプラットフォームへの不正アクセスを伴うサイバー攻撃を確認しました。攻撃者は、主に合成データ、公開されているデータ、またはDellのシステムデータを含む1.3TBのデータを不正に取得しました。この攻撃は、最近「Hunters International」から「World Leaks」に名称を変更した脅威グループによって実行されました。

• 保険会社のAllianz Lifeは、クラウドベースのCRMシステムが侵害されたことにより、140万人の顧客、金融専門家、および一部の従業員の個人を特定できる情報が漏洩するデータ漏洩事件が発生しました。この漏洩事件は、ShinyHuntersグループによるものとされ、ソーシャルエンジニアリング手法を用いて機密データにアクセスしたことが原因とされています。

• インドの暗号資産企業CoinDCXは、同社の内部運営口座から4400万ドル相当の暗号資産が盗まれたサイバー攻撃を確認しました。このインシデントは顧客のウォレットやユーザーデータには影響を及ぼさず、盗まれたのは同社の内部準備金として保有されていたUSDCとUSDTのステーブルコインのみでした。盗まれた資金は、それぞれ2,760万ドルと1,620万ドルを保有するウォレットから盗まれました。現時点では、脅威アクターからの犯行声明は出ていません。

• ドイツのAMEOS病院ネットワークを標的としたサイバー攻撃により、複数の病院施設が影響を受けました。AMEOSは、機密医療データが流出されたかどうかを確認していませんが、データ保護監督機関を含む当局は現在、漏洩の規模を調査中です。

• リッチモンド放射線科医協会は、機密情報への不正アクセスを伴うデータ漏洩が発生したことを確認しました。この攻撃により、約140万人の個人および医療データ（保護対象の健康情報を含む）が漏洩し、社会保障番号も含まれていました。現時点では、この攻撃の責任を主張する脅威アクターは存在しません。

• フランス国営雇用機関のFrance Travailは、攻撃者が侵害されたパートナーアカウント経由で同機関のKairos研修プラットフォームにアクセスし、約34万人の求職者に影響を与えるデータ侵害が発生したと報告しました。漏洩したデータには、氏名、連絡先、France Travail IDが含まれています。

• フランスの防衛企業Navalグループは、ハッカーが潜水艦とフリゲート艦に関する機密データ（ソースコードを含む）を盗んだと主張する件について調査を進めています。この脅威アクターは30GBのデータを漏洩させたと主張し、最大1TBのデータを保持していると主張しています。Navalグループはシステムへの侵入や身代金要求を否定し、当局と協力して主張の真偽を確認しています。

脆弱性及びパッチについて

• チェックポイント・リサーチは、オンプレミスのMicrosoft SharePointサーバに影響を与える重大なゼロデイ遠隔コード実行脆弱性（CVE-2025-53770）を利用した広範な悪用について報告しました。この脆弱性は、データのシリアライズ化とデシリアライズ化に関連する問題に起因しています。7月24日、チェックポイント・リサーチは、CVEの広範な悪用を確認し、世界中で300を超える組織に対し、4,600件を超える侵害試行が確認されました。当初の悪用は、主に政府機関、ソフトウェア、通信業界を標的としていましたが、現在は金融サービス、ビジネスサービス、消費財業界も標的となっています。

  Check PointのIPSは、この脅威[(Microsoft SharePoint Server Insecure Deserialization (CVE-2025-49704, CVE-2025-49704), Microsoft SharePoint Server Authentication Bypass (CVE-2025-49706, CVE-2025-53771)]に対する防御機能を備えています。

• Ciscoは、Identity Services Engine （ISE）に存在する重大なリモートコード実行の脆弱性（CVE-2025-20281、CVE-2025-20282、CVE-2025-20337）に対するパッチをリリースしました。この脆弱性により、認証されていない攻撃者が改ざんされたメッセージを介してリモートから任意のコードを実行することが可能です。Ciscoは回避策はなく、パッチを適用せずに放置すると深刻なリスクをもたらす可能性があることを指摘し、早急なアップデートを強く推奨しています。

• Sophosは、深刻度が中から重大までの5件の脆弱性（CVE-2025-6704、CVE-2025-7624、CVE-2025-7382、CVE-2024-13974、CVE-2024-13973）に対するパッチをリリースしました。これらの脆弱性には、Secure PDF eXchangeにおける任意のファイル書き込み脆弱性、レガシーSMTPプロキシにおけるSQLインジェクション脆弱性、WebAdminにおけるコマンドインジェクションとSQLインジェクション脆弱性（コード実行の可能性あり）、およびUp2Dateコンポーネントにおけるビジネスロジック脆弱性（リモートコード実行の可能性あり）が含まれます。 

サイバー脅威インテリジェンスレポート

• チェックポイント・リサーチは、2025年第2四半期（Q2）のフィッシング攻撃において、攻撃者が主にテクノロジー業界を装っていたことを明らかにしました。Microsoftがブランド偽装試みの25％を占め、次いでGoogle（11％）、Apple（9％）、Sportify（6％）が続きました。Sportifyは2019年以来初めてトップ10に再浮上しました。報告書では、Spotifyのログインページを模倣した大規模な認証情報収集キャンペーンや、個人データを悪用して信憑性を高めるため、700件を超えるBookingをテーマにした偽ドメインの急増が詳細に説明されています。

• 研究者たちは、2025年5月のインフラが閉鎖された後、より巧妙な回避手法を駆使して急速に再出現した情報窃取型マルウェア「Lumma Stealer」の復活を分析しました。彼らは、オペレータがCloudflareの悪用からロシア系の代替ホスティングプロバイダへの移行を詳細に説明し、配信方法の多様化として、偽のクラックソフト、AI生成コンテンツを含むGitHubリポジトリ、偽のCAPTCHA（ClickFixキャンペーン）を実装した侵害されたウェブサイト、およびソーシャルメディアを通じた配布を含む手法を採用したと指摘しています。 

• 研究者たちは、中東のAndroidユーザを標的とした攻撃で利用された新たなイラン製スパイウェア「DCHsy」を発見しました。このスパイウェアは、位置情報、通話履歴、マイクの録音データなど、機密情報を収集する機能を備えています。