2025.10.21
リスキャナ・レーダー
最新調査からの実践的な知見 - 第17号
リスキャナ「セキュリティ最新情報」隔週ダイジェスト
Zimbra カレンダーのゼロデイ脆弱性
Zimbraにおけるステルス性の高いゼロデイ脆弱性 ― CVE-2025-27915 ― は、まるでサイバー・スリラーの冒頭のようです。たった一つの不正な .ics ファイルによって、本来は閉ざされているはずの扉が開かれてしまうのです。攻撃者はカレンダー添付ファイルを武器化し、境界防御をすり抜けてブラジル軍のシステム内部に侵入する足掛かりを得ました。日常的なカレンダー招待が秘密裏の侵入手段へと変貌し、わずかなファイルタイプの脆弱性が戦略的な影響をもたらし得ることを示しています。現在も進行中のこの攻撃は、明確な警鐘です。防御側は今すぐパッチ適用、脅威ハンティング、受信ボックスの強化を行わなければ、次の章はさらに深刻なものとなるでしょう。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
緊急:新たな「ソルト」手法により、Microsoft 365およびGoogle Workspaceのメールセキュリティを回避可能に
攻撃者は「ソルト(Salt)」を加えたスパムを使用し、Microsoft365およびGoogle Workspaceのメールセキュリティを突破
主なポイント:
• 攻撃手法とその影響:攻撃者はスパムメールに「ソルト」を加える手法を用いています。これは、ランダムな単語、ゼロ幅文字、HTMLコメント、ホモグリフ(類似文字)、改変URLなど、微小で一意の変化を挿入することで、Microsoft 365やGoogle Workspaceのシグネチャ・類似性ベースのフィルタをすり抜けるものです。その結果、検知漏れ(誤検知率の上昇)が発生し、標準的なフィルタリングを通過して悪意のあるメールがユーザーの受信箱に届く可能性が高まります。
• リスク:この回避技術により、フィッシング、認証情報の窃取、ビジネスメール詐欺、マルウェア配信などの成功率が上昇し、自動検知ワークフローが無効化されるおそれがあります。標準的なメール保護を備える組織であっても、ユーザー操作を誘発するタイプの標的型攻撃が増加する可能性があります。
• 対策:技術的対策(SPF/DKIM/DMARCの厳格設定「p=reject」、Safe Links/Safe Attachmentsなどの導入、URL書き換えとサンドボックス分析、ゼロ幅文字やUnicode文字に対する難読化チェック、上位の脅威防御)と、運用的対策(多要素認証(MFA)、条件付きアクセス、自動転送の無効化、異常検知、ソルト化コンテンツを検出するフィルタ、継続的なフィッシング訓練・模擬演習)を組み合わせて実施してください。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
緊急:BatShadowグループ、求職者およびデジタルマーケターを狙うGo言語製「Vampire Bot」マルウェアを展開
主なポイント:
• Go製Vampire Botによるステルス性と永続化リスクの増大:Goでコンパイルされたマルウェアは静的バイナリが大きく、クロスコンパイルが容易なため、シグネチャベースのアンチウイルスでは検知が困難です。さらに、難読化やC2(コマンド&コントロール)機能を内蔵していることが多く、感染したWindows端末は認証情報の窃取、アカウント乗っ取り、横展開、さらなるペイロード展開などに悪用されるおそれがあります。
• 攻撃対象(求職者・デジタルマーケター)への影響:同グループは「求人詐欺」「不正な添付ファイル/リンク」「採用関連の誘引」などのソーシャルエンジニアリングを用いており、権限の低いユーザーが侵入経路となりやすい構造です。マーケティング担当者が被害に遭うと、広告アカウント乗っ取り、不正出稿、ブランド毀損、マーケティング資産の窃取などが発生し得ます。
• 即時対策と検知の優先事項:多要素認証と最小権限アクセスの徹底、Goバイナリ特有の挙動(新規サービス登録、プロセス注入、C2通信など)を検出できるEDR導入、求人詐欺対策の訓練・フィルタリング、ネットワーク分離、異常な外部通信や広告アカウント活動の監視、IOC/脅威インテリジェンスの統合を推奨します。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ランサムウェア攻撃によりアサヒグループのデジタル受注システムが停止、日本全国でビール供給不足発生
主なポイント:
• 広範な運用リスクとサプライチェーンの脆弱性:主要メーカーのIT障害が全国的な供給不足を引き起こす事例となり、デジタル受発注・流通システムが「単一障害点」であることを示しました。対策として、安全在庫や代替供給先の確保、手動・アナログでの代替運用手段の準備、取引先を含めたレジリエンス計画と演習が求められます。
• ネットワーク・エンドポイント制御の不備によるランサムウェア拡大:ネットワーク分離の欠如、バックアップ管理の不備、検知遅延、OT/ICSインターフェースの管理不足などが攻撃の拡大を招きます。対策として、セグメンテーションの強化、改ざん不可能なバックアップの保持、迅速なパッチ適用、MFA導入、EDR/XDRによる継続的な監視が必要です。
• インシデント対応・ガバナンス・広報体制の統合:迅速な復旧と評判・法的リスクの最小化には、実践的なインシデント対応計画、明確なエスカレーションルート、危機広報・法務対応・顧客連携が不可欠です。定期的な机上演習、サプライヤー契約へのセキュリティ条項導入、サイバー保険見直しも有効です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
重大:BK Technologies社のシステム侵害により従業員データ流出 ― 公共安全通信を標的とした攻撃
主なポイント:
• 従業員データの流出がもたらす二重のリスク(プライバシーおよび運用):漏えいした個人情報は、なりすましや標的型フィッシングを誘発するだけでなく、攻撃者がIT環境へ侵入して公共安全通信システムに影響を及ぼすおそれがあります。対策として、従業員データを機密情報として厳格に暗号化し、最小権限アクセスを徹底、迅速な通知と被害者支援(クレジット監視・身元保護)を実施する必要があります。
• 公共安全サプライチェーン全体への波及リスク:ベンダーシステムの侵害は、緊急通信基盤への横展開や悪意ある更新配布につながる可能性があります。ベンダー環境へのゼロトラストアクセス、MFA・特権アクセスの最小化、契約におけるセキュリティ要件と第三者監査の定期実施が求められます。
• 検知・対応・復旧体制の重要性:迅速な封じ込め、フォレンジック調査、透明性ある情報開示により被害と法的リスクを最小化します。包括的なログ/SIEM運用、EDR導入、定期的な訓練・演習、改ざん不可能なバックアップの維持、再発防止策の実装が有効です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
DraftKingsアカウントの大規模侵害― 資格情報詰め込み攻撃により顧客データと資金が流出
主なポイント:
• 攻撃原因:資格情報詰め込みとパスワード再利用:他の侵害から流出した認証情報を使い、自動化ツールでDraftKingsアカウントを乗っ取る攻撃が行われました。再利用パスワードや漏えいリストの存在が攻撃の拡大を容易にしました。
• 実害:金銭被害・個人情報漏えい:多くのアカウントには支払い情報や自動入金設定が保存されており、不正賭けや出金が発生しました。加えて、個人情報漏えいにより詐欺・訴訟・評判損失などの二次被害も発生しています。
• 対策:フィッシング耐性の高いMFA導入、ボット対策・レート制限・デバイスフィンガープリントによる防御、パスワードリセットの強制、不審取引の監視、迅速なユーザー通知と返金対応、ユーザー教育(パスワードマネージャー・ユニークパスワードの使用)が有効です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
緊急警告:中国語圏のサイバー犯罪グループが世界中のIISサーバーを悪用し、認証情報を窃取・SEO操作を実施
主なポイント:
• 侵害されたIISサーバーの悪用:攻撃者はIISサーバーを利用してSEO詐欺や認証情報窃取を行っており、被害組織は検索エンジンでのブラックリスト化、顧客の詐欺サイト誘導、データ流出といった損害を被る可能性があります。
• 攻撃手法とリスク拡大:既知のIISやWebアプリの脆弱性、Webシェル、バックドア、コンテンツ改ざんなどを駆使し、長期的な潜伏・横展開を実現しています。
• 対策:IIS/WindowsおよびWebアプリのパッチ適用と堅牢化、管理者アカウントのMFA・最小権限化、EDR/WAFとファイル改ざん監視による検知、ログ分析と脅威ハンティングの実施、侵害時の認証情報ローテーションとクリーンバックアップ復元、SEOスパム除去のための検索エンジン連携を推奨します。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
重大:Zimbraのゼロデイ脆弱性(CVE-2025-27915)が悪用され、ブラジル軍システムへの侵入を確認
主なポイント:
• 脆弱性概要と影響範囲:CVE-2025-27915は細工されたICSカレンダーファイルによりZimbra環境を侵害可能とする重大なゼロデイ脆弱性です。攻撃が成功すると、メール/カレンダー基盤から企業システムへの初期侵入、横展開、データ窃取、長期的なスパイ活動が可能となります。特に軍や政府など高価値標的にとっては深刻な脅威です。
• 攻撃の特徴:悪意ある .ics ファイルはメールフィルタや利用者意識を回避しやすく、カレンダー招待として自動処理されるケースが多いため、検知されにくい点が特徴です。信頼されるワークフロー機能を狙った巧妙な手法です。
• 対策:ベンダーが提供するパッチを至急適用してください。即時対応が困難な場合は、ゲートウェイでの .ics ファイル遮断、自動カレンダー処理の無効化、メールサーバーの分離と最小権限設定、認証情報・鍵のローテーション、フォレンジックログ・監視強化、脅威情報共有を実施してください。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
重大警告:SORVEPOTELマルウェアがWhatsApp経由で自己拡散し、Windowsシステムを侵害
主なポイント:
• 急速な自己拡散とソーシャルエンジニアリング:SORVEPOTELはWhatsAppを悪用し(WhatsApp Webのセッション乗っ取り、悪意あるリンクや添付ファイル送信など)、感染端末から自動的に連絡先へ拡散します。1台の感染で全体へ広がる危険性が高いマルウェアです。
• 運用・データへの深刻な影響:感染後は永続化や認証情報の窃取、追加ペイロード実行、データ流出などを行い、組織内の横展開やアカウント乗っ取り、法的・評判リスクを引き起こします。
• 対策:WindowsおよびWhatsAppの最新版適用、MFA導入と不審なセッションの無効化、EDRやスクリプト遮断、アプリケーションホワイトリスト運用、非管理者ユーザーでのPowerShell制限、異常通信や大量メッセージ送信の監視、予期しないリンク・添付の開封回避訓練を徹底してください。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
大規模OAuthサプライチェーン侵害によりSalesforceの10億件超データ流出 ― Lapsus$類似グループがリークサイト開設
主なポイント:
• OAuthおよび外部連携のリスク:侵害または悪意あるOAuthアプリがユーザー認証を経ずに広範なデータアクセスを取得できるため、サプライチェーン攻撃の新たな経路となっています。OAuth連携や外部ベンダー統合は、コード依存関係と同様に厳重な監査が必要です。
• 被害規模と波及リスク:最大10億件のデータが流出し、個人情報の悪用によるフィッシング、アカウント乗っ取り、二次的な組織侵害などの連鎖的被害が想定されます。トークン悪用や権限継承による迅速な被害拡大も懸念されます。
• 防御策:最小権限設計、アプリ許可の精査、管理者承認ポリシーの導入、不要・危険なOAuth権限の定期棚卸し、条件付きアクセスとMFA、トークン利用監視、インシデント時のトークン・鍵ローテーションおよび迅速な関係者通知を推奨します。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
リスキャナについて
リスキャナは、サードパーティリスク管理(TPRM)の分野におけるリーディングカンパニーです。組織がデジタルサプライチェーン全体に潜むサイバーリスクを特定・評価・軽減できるよう支援しています。リスキャナ・プラットフォームは、リアルタイム脅威インテリジェンス、自動リスクスコアリング、継続的モニタリングを活用し、セキュリティチームが新興脅威への露出を最小化し、サイバー・レジリエンスを強化できるよう設計されています。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
まとめ
今回の第17号では、以下の重要なテーマが強調されました:
- 電子メール防御の進化と回避技術(ソルト・スパム)
- 新型マルウェア(Go製Vampire Bot)と社会工学による侵入
- 製造・インフラ分野を襲うランサムウェアの現実(Asahi, BK Technologies)
- LockBitの再興と国家級ターゲットへの攻撃継続
- ゼロデイ攻撃による日常ツールの悪用(Zimbra ICS)
これらの事例はすべて、サプライチェーン全体のリスクを統合的に監視・評価する必要性を示しています。
リスキャナはそのための「現実的で可視化された防御戦略」を提供しています。
ご興味をお持ちのお客様へはシステムのデモやサンプルレポートのご提供等のご相談も承っておりますので、ご遠慮なくお申し付けください。
お問い合わせはこちらまで。
