チェック・ポイント・リサーチ（CPR）チームによる2025年9月15日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• パナマ経済財務省（MEF）がランサムウェア攻撃を受け、電子メール、財務文書、予算詳細を含む1.5TBを超えるデータが盗まれました。侵害された情報には、パナマの財政運営・管理に関連する機密性の高い機関記録が含まれています。この攻撃はINC Ransomグループによって犯行声明が出されました。

  Check PointのThreat Emulationは、この脅威[Ransomware.Wins.INC]に対する防御機能を備えています。

• ベトナム国家信用情報センター（CIC）はデータ侵害を受け、主要なベトナム金融機関に関連する機密個人情報が盗難・漏洩しました。漏洩した記録には連絡先情報や決済IDなどの個人を特定できる情報が含まれています。この攻撃はShinyHuntersという脅威アクターによって犯行声明が出されました。

• アメリカの家具メーカーLovesacはデータ侵害を受け、社内システムへの不正アクセスにより、未確認人数の氏名などの個人情報が漏洩しました。攻撃は2025年2月12日から3月3日にかけて発生し、RansomHubランサムウェア集団が後に犯行声明を発表し、身代金が支払われない場合、盗んだデータを流出させると脅迫しています。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[)]に対する防御機能を備えています。

• 米国で7500万人以上の患者に血液を提供する大手独立系血液センターであるニューヨーク血液センターは、患者と従業員のデータ（氏名、健康情報、社会保障番号、政府発行の身分証明書、金融口座の詳細など）が盗まれたランサムウェア攻撃を確認しました。このインシデントは数千人に影響を与え、テキサス州では1万人以上が被害を受けました。

•  ストリーミングプラットフォームのPlexは、データ侵害の被害に遭い、データベースの一つから顧客認証データ（メールアドレス、ユーザ名、安全にハッシュ化されたパスワードを含む）が盗まれました。この侵害により顧客データの一部がが漏洩しましたが、支払いカード情報は含まれておらず、影響を受けたユーザー数や記録の正確な規模は明らかにされていません。

• 英国の鉄道事業者ロンドン・ノース・イースタン鉄道（LNER）は、第三者のサプライヤーのセキュリティ侵害により、顧客の連絡先情報および過去の乗車履歴情報への不正アクセスが発生したデータ侵害を公表しました。銀行口座情報、支払いカード情報、パスワードデータは影響を受けておらず、チケット販売および列車運行にも影響はありませんでした。

• ブラジルのデートアプリ「Sapphos」は、APIのIDOR（不安全な直接オブジェクト参照）脆弱性を悪用した不正アクセスにより、機密性の高いユーザデータが流出するデータ侵害被害を受けました。約1万7千人のユーザーが影響を受け、個人情報が漏洩しました。

脆弱性及びパッチについて

• Microsoftの2025年9月パッチチューズデーレポートでは、既に公開されている2件のゼロデイ脆弱性を含む81件の​​脆弱性が修正されています。CVE-2025-55234は、リレー攻撃によって悪用される可能性のあるWindows SMBサーバーの権限昇格脆弱性であり、CVE-2024-21907は、例外条件の不適切な処理によってSQL Serverに影響を与えるNewtonsoft.Jsonのサービス拒否リスクです。

•  CVE-2024-40766は、SonicWall SSL VPNアプライアンス（第5～7世代、SonicOS 7.0.1-5035およびそれ以前）における重大な不正アクセス制御の脆弱性（CVSS 9.3）であり、攻撃者がアクセス制御を迂回し、場合によってはファイアウォールをクラッシュさせることを可能にします。この脆弱性は実環境で積極的に悪用されており、Akiraランサムウェアのオペレータによる攻撃も確認されています。特に、移行時の設定で認証情報のリセットが行われていない場合にインシデントが発生しています。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Wins.Akira.ta.*; Ransomware.Wins.Akira; Trojan.Wins.Akira.ta.*; Trojan.Wins.Akira; Trojan.Win.Akira)]に対する防御機能を備えています。

• Cursor AIエディタに存在する脆弱性により、Workspace Trustが無効化された状態でリポジトリを開くと、.vscode/tasks.jsonを介した任意コード実行が可能となります。悪用されると開発者環境が侵害され、認証情報やAPIキーが漏洩するほか、サプライチェーン攻撃を可能にする恐れがあります。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは2025年8月の世界的なサイバー脅威を分析し、農業分野へのサイバー攻撃が前年比101％急増したことを明らかにしました。教育、通信、政府分野への攻撃も増加していることも明らかになりました。米国では攻撃が前年比20％増加、アフリカでは週間攻撃率が最高を記録。ランサムウェアは前年比14％増加し、製造・ビジネスサービス分野を標的としたQilinとAkiraがその筆頭となっています。

• チェック・ポイント・リサーチは、ファイル暗号化とデータ窃取による二重恐喝を目的とした、Goベースのオープンソースランサムウェアを使用する新たな恐喝グループ「Yurei」を特定しました。このマルウェアは、Windowsシャドウコピーを完全に削除できないといった欠陥を残しており、PowerShellの壁紙コマンドを再利用しています。Yureiの活動はモロッコとの関連を示す証拠があり、コードの痕跡からSatanLockv2などの以前のファミリーとの関連性が示唆されています。

Check PointのThreat EmulationとHarmony Endpointは、この脅威に対する防御機能を備えています。

• 研究者らは、WhiteCobraグループによる継続的な攻撃キャンペーンを明らかにしました。同グループはVS Code、Cursor、Windsurfの各マーケットプレイスに24の悪意あるVSIX拡張機能を大量に投入し、暗号通貨を盗み出そうとしています。これらの拡張機能は偽のブランドを使用し、ダウンロード操作を仕掛けることで、Windows向けにLummaStealerを、macOS向けに未確認のマルウェアを配布しています。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[InfoStealer.Win.Lumma; InfoStealer.Wins.Lumma; InfoStealer.Wins.Lumma.ta.*; Trojan.Wins.Lumma.ta.*)]に対する防御機能を備えています。

• 研究者らは、2025年8月にハニーポットを通じて観測された、感染能力が拡張された、公開されているDocker APIを標的とする新たなマルウェアの亜種を発見しました。このバージョンは外部APIアクセスを遮断し、従来使用されていたツールを含むより広範な機能を備えたバイナリを展開します。