チェック・ポイント・リサーチ（CPR）チームによる2025年9月29日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• シトロエン、フィアット、ジープ、クライスラー、プジョーなどを傘下に持つ自動車大手ステランティス社は、サードパーティのプラットフォームに不正アクセスされたことで、北米地域の顧客情報が漏洩するというデータ侵害事件が発生しました。脅威アクター「ShinyHunters」が犯行を主張し、Salesforceのデータベースから1800万件以上の顧客情報を盗み出したと主張しています。

• ボルボ・グループ北米は、人事管理ソフトウェアの提供元である外部企業Miljödataがランサムウェア攻撃の被害に遭い、従業員の個人情報が漏洩したことを確認しました。漏洩した情報には氏名と社会保障番号が含まれています。この攻撃はDataCarryランサムウェア・グループが実行したもので、同グループは犯行声明を発表し、窃取したデータを公開しました。

• 米オハイオ州ユニオン郡はランサムウェア攻撃を受け、氏名、社会保障番号、運転免許証番号、パスポート番号、金融口座情報、医療情報、指紋データなどの機密個人情報が盗まれました。攻撃者は2025年5月6日から5月18日にかけて郡のネットワークに不正アクセスした結果、45,487人の個人が被害に遭いました。

• ラスベガスに本拠を置くカジノ大手Boyd Gamingは、サイバー攻撃の被害に遭い、社内ITシステムから従業員情報および一部の顧客に関するデータが盗まれました。今回の事件象は事業運営や顧客向けシステムへの影響はなかったものの、機密性の高い従業員データが漏れた可能性があります。侵害されたデータの種類や規模に関する具体的な詳細は明らかにされていません。

• 韓国第5位のカード発行会社であるロッテカードでデータ漏洩が発生し、約300万人の顧客の個人情報が流出しました。漏洩した情報には、身分証明書番号、連絡先、カード番号や認証コードなどの機密性の高い金融データが含まれます。この漏洩は約2,700件のファイルに影響を及ぼし、そのうち暗号化されていたのはわずか56％でした。原因は決済サーバに存在していたパッチの適応されていない脆弱性に関連していました。

• 香港のコンビニエンスストアチェーン「サークルK」がサイバー攻撃を受け、約400店舗のネットワークが混乱し、電子決済、メール、ポイントシステムが機能不全となりました。顧客はほとんどのサービスを利用できませんでしたが、個人情報が漏洩したかどうかは確認されていません。

• 英国と海外に18カ所の保育施設を展開するKidoが、Radiantグループによるハッキング被害に遭い、児童や職員の機密記録を漏洩すると脅迫を受けました。攻撃者は約8,000人の児童と従業員の氏名、写真、住所、連絡先、安全対策メモなどのデータを盗んだと主張しました。証拠としてRadiantは身代金を要求しながら10人の児童の個人情報をオンラインで公開しました。ロンドン警視庁と英国のデータ規制当局が操作を行っていますが、逮捕者は出ておらず、さらなる情報流出の可能性も残されています。

脆弱性及びパッチについて

• SolarWinds Web Help Deskのバージョン12.8.7以前に存在する重大な脆弱性（CVE-2025-26399）に対する修正パッチが公開されました。この脆弱性は、AjaxProxyコンポーネントにおける安全でない逆シリアライズ処理によって引き起こされるもので、認証なしでリモートコードが実行できてしまうという危険性があります。これは、攻撃者が以前のパッチを回避してコマンドを実行していたCVE-2024-28986/28988に続く3つ目の修正となります。

• CiscoはASAおよびFTDソフトウェアにおいて、活発に悪用されている2つのゼロデイ脆弱性に対処しました。CVE-2025-20333は認証済みリモートコード実行を可能にし、CVE-2025-20362は制限されたエンドポイントへの非認証アクセスを可能にします。これらの脆弱性は既に標的攻撃に利用されていることが確認されています。関連する重大な問題であるCVE-2025-20363も認証なしでリモートコードを実行できてしまうものであり、この脆弱性を持つデバイスを標的とした大規模な攻撃キャンペーンが進行中です。

• OnePlus OxygenOSに新たに発見された脆弱性（CVE-2025-10184）により、インストール済みの任意のアプリが、READ_SMS権限やユーザーの操作を必要とせずに、通信プロバイダーの権限をバイパスすることで、SMS/MMSのデータとメタデータを読み取ることが可能になります。この脆弱性は、ServiceNumberProviderのupdateメソッドにおける盲目的なSQLインジェクションなど、無制限の読み書きアクセス権を持つプロバイダーが適切に保護されていないことに起因します。この脆弱性を悪用されると、暗黙のうちにメッセージデータが外部に流出したり、SMS認証方式の多要素認証が容易に回避されたりする可能性があります。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、イランの脅威アクター「Nimbus Manticore」による欧州の防衛・通信業界を標的とした攻撃キャンペーンを発見しました。同グループはスピアフィッシングや偽の人事ポータルを利用し、DLLサイドローディングチェーンやMiniJunk、MiniBrowseなどの難読化マルウェアを展開します。これらのツールには正規のデジタル署名が用いられており、高度な回避技術が組み込まれていることから、国家レベルの能力を有している可能性が高いと見られています。

•  チェック・ポイントは、2026 FIFAワールドカップを前にFIFAや開催都市、イベントブランドを模倣した4,300以上のドメインが登録されていることを明らかにしました。これらのドメインの登録は2025年8月と9月にピークを迎えています。GoDaddyやNamecheapなどのドメイン登録サービスに集中して行われたこれらのドメインは、偽チケット・偽配信・偽グッズ詐欺のために使用されており、共通のDNS設定とテンプレートが用いられています。

•  研究者らは、米国の法務関連企業、テクノロジ企業、SaaS企業を標的としたBRICKSTORMマルウェア攻撃が依然として継続中であると報告しています。その目的はスパイ活動とゼロデイ脆弱性攻撃の開発にあると指摘しています。攻撃手法にはGo言語を用いたプロキシバックドア、認証情報窃取（BRICKSTEAL）、VMware侵害が含まれています。

  Check PointのThreat EmulationとHarmony Endpoint、IPSおよびAntiBotブレードは、この脅威に対する防御機能を備えています。

• 研究者らは、Windows、Linux、ESXi向けのLockBit 5.0ランサムウェアの亜種を分析しました。これらはコードの難読化、DLLリフレクション、柔軟なコマンドラインオプションを利用しています。いずれのバージョンもロシア国内のシステムを攻撃対象外とし、ファイル拡張子をランダム化し、イベントログを消去し、物理環境と仮想環境の両方を標的とします。特にESXi向け亜種はVMwareを暗号化する機能を持つことから、LockBitが多プラットフォームに対応する方向に進化していることが示唆されます。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Win.LockBit; Ransomware.Wins.LockBit; Ransomware.Wins.Lockbit.ta.*]に対する防御機能を備えています。