2025.10.24

リスキャナ・レーダー

最新調査からの実践的な知見 - 第18号

それはコードの中でささやきのように始まった——OracleE-Business Suiteのゼロデイ脆弱性（CVE-2025-61882）が、誰も存在を知らなかった扉を開いたのだ。その暗い隙間に踏み込んだのは、熟練の泥棒のような自信を持つランサムウェア集団Clop。彼らはアメリカン航空の子会社である地域航空会社Envoy Airを標的に攻撃を仕掛けた。航空会社はデータ侵害を確認しており、限られたビジネス情報と商業連絡先の詳細が盗まれ、通常の企業記録がニュースになる事態となった。対応チームが動員される中、この事例は警鐘として読むべきもの——ゼロデイは理論上のリスクではなく、現実世界のスリラーで刻一刻と進行する脅威であり、EBSのすべての展開に対して即時のパッチ適用、監視、強化が求められる。

中国、米NSAによる国家時刻サービスセンターへの長期サイバー攻撃を非難（2022–2024）、重要インフラへの警戒を呼びかけ

2025年10月19–20日に発表された公式声明によれば、攻撃はセンター職員が使用する外国製携帯電話ブランドのメッセージサービスの脆弱性を突くことから始まり、機密情報の盗難に至ったとされる。

重要なポイント

1. 職員デバイス経由での重要インフラ露出: 報告された攻撃は、スタッフの携帯電話のメッセージやOS脆弱性を突くことで、機密システムへの足掛かりが得られることを示す（国家時刻サービスは通信、金融、ログ、認証など多くのネットワークに影響する）。対策としては、厳格なデバイス管理（敏感エリアでは個人/未知ブランド携帯を禁止）、堅牢化/管理されたエンドポイントの使用、複数の認証済み独立時刻ソース、時刻サーバーの一般ネットワークからの分離など。
2. サプライチェーンおよびベンダーソフトウェアのリスク: 外国製携帯やそのメッセージスタックを介した攻撃は、第三者コードやアップデート経路を攻撃ベクトルとして利用することを示す。対策には、モバイルアプリのホワイトリスト化と権限管理、モバイル脅威防御とEDRの導入、迅速なパッチ/ファームウェア更新、ベンダーのセキュリティ評価、ゼロトラストおよび最小権限ネットワーク分割の適用が含まれる。
3. 検知・対応・地政学的考慮の統合: 攻撃者の特定は困難で、開示には政治的影響が伴うため、組織はフォレンジック準備（詳細なログ、セキュアなテレメトリ）、時刻・同期異常の自動検知、定期的なインシデント演習、関連国家CERTやセクターパートナーとの情報共有を優先すべき。

Readmore

MSS、NSAによる中国国家時刻サービスセンターへの42ツール・多段階サイバー攻撃を非難

重要なポイント

1. 国家時刻インフラへの攻撃は影響が大きい: 国家時刻サービスセンターへの攻撃は通信、金融、ログ/フォレンジクス、同期クロックを必要とする分散システムに影響を与える。対策: 時刻サービスを重要インフラとして扱い（厳格なアクセス制御）、認証済み時刻プロトコル（NTS for NTP, secure PTP）を使用、GNSSアンチスプーフィングと複数独立時刻ソース、オフライン/エアギャップ検証を維持。
2. 多段階キャンペーンによる高度な持続的攻撃: 数十のツールを使用した報告は、攻撃者が足場を確立し横展開できることを示す。対策: 強力なネットワーク分割、ゼロトラスト原則、EDR/ネットワークテレメトリ、長期不変ログ、アクティブ脅威ハンティング、最小権限と多要素認証の適用。
3. 国家間の帰属主張が対応を複雑化: 起源に関係なく、防御側は回復力と協力を優先すべき。対策: インシデント対応計画、CSIRT/ISACとの連携、IOCやTTPの共有、テーブルトップ演習、サプライチェーン・ベンダーのセキュリティ強化、フォレンジックと迅速パッチ適用への投資。

Readmore

重大なDolbyデコーダ脆弱性（CVE-2025-54957） — AndroidデバイスでゼロクリックRCEを許可

重要なポイント

1. 深刻な影響: CVE-2025-54957はAndroid上のDolbyオーディオデコーダのゼロクリックRCE脆弱性で、ユーザー操作なしで攻撃可能。成功すればデバイス全体の侵害、永続的スパイウェア、資格情報窃盗、企業資源への横展開が可能。
2. 広範な攻撃面: 脆弱なDolbyデコーダを搭載するすべてのAndroidデバイスが対象。攻撃者は特別に細工したメディアペイロードをMMS、メッセージアプリ、Webコンテンツ、Bluetooth/ファイル転送経由で送り込むだけで自動的にデコードされ、数多くのデバイスが標的となる。
3. 即時対策: ベンダー/OSパッチを適用。未提供の場合は、メディア自動ダウンロード/自動再生の無効化、Dolbyコンポーネントの無効化またはアンインストール、MDMポリシーによる制限、侵害兆候の監視。高リスク環境では、パッチ適用確認までデバイス隔離や交換を検討。

Readmore

緊急警告: TikTokClickFix攻撃 —PowerShellソーシャルエンジニアリングによるWindowsユーザーへのInfostealerマルウェア配布

重要なポイント

1. 攻撃ベクトル: TikTok上のソーシャルエンジニアリング（悪意あるリンク、コメント、DM）により、ユーザーにPowerShellコマンドを実行させ、Infostealerをダウンロード・実行させる。PowerShellは強力なネイティブツールのため、実行成功で資格情報窃盗や個人/金融データ流出、アカウント乗っ取り、横展開が可能。
2. 技術的対策: PowerShell使用の監視・制限（スクリプト実行の制限、Invoke-Expressionパターンブロック、ScriptBlock/Moduleログ）、アプリ制御、EDR/AV、DNS/URLフィルタリング、SIEMへのログ集約。
3. ユーザー/アカウント保護: コマンド実行の指示は高リスクと認識、MFA・最小権限の徹底、パスワードマネージャ利用、漏洩疑い後の資格情報更新、インシデント対応手順の整備。 

Readmore

緊急パッチ:ConnectWise Automateの重大脆弱性 — AiTMアップデート攻撃防止

重要なポイント

1. 影響とリスク: CVE-2025-11492およびCVE-2025-11493は、ConnectWise Automateのアップデート通信を中間者攻撃可能とし、管理下のエンドポイント全体を危険にさらす。
2. 即時対応: 緊急パッチ適用、アップデートトラフィックのブロック/隔離、自動更新停止、エージェントバージョン/整合性確認、資格情報回転、IOC調査。
3. 長期対策: 更新の暗号検証、強TLS・認証、管理基盤の分割、EDR監視、インシデント対応手順の整備、RMMプラットフォームの優先パッチ・セキュリティ評価。

 Readmore

Microsoft、Azure証明書悪用のVanilla Tempestランサムウェア攻撃をTeams標的に阻止

重要なポイント

1. クラウド証明書悪用: Azure証明書の悪用により、信頼済サービスを装った攻撃がTeamsを標的に。組織は証明書使用・アプリ登録を監視、ライフサイクル管理と迅速な証明書ローテーションが必要。
2. コラボレーションプラットフォーム標的: メッセージングやアプリ統合を通じ、ランサムウェア配布や資格情報流出が可能。最小権限の適用、OAuth権限制限、MFAと条件付きアクセス、古い認証フロー無効化で対策。
3. ベンダーの迅速対応の価値: Microsoftによる阻止は重要だが、ローカルでの詳細な検知・対応も不可欠。

 Readmore

Envoy Air、Oracle EBSゼロデイ攻撃によるデータ侵害を確認 — 顧客データは影響なし

重要なポイント

1. ゼロデイのリスク: CVE-2025-61882のような広く使われるエンタープライズアプリのゼロデイは、ビジネス情報や商業連絡先を盗み、詐欺やフィッシングの材料となり得る。
2. 迅速な内部対策の重要性: ネットワーク分割、最小権限、不要サービス停止、仮想パッチ/WAF、MFA、EDR、中央ログ管理で被害を最小化。バックアップとインシデント対応計画も必須。
3. サプライチェーンリスク: 子会社やベンダーも影響を受ける可能性。ベンダーセキュリティ要件の遵守、定期的なリスク評価、脅威インテリジェンス購読、迅速なパッチ適用と協調的脆弱性開示が推奨される。

 Readmore

緊急: WatchGuardFireware VPNの重大脆弱性（CVE-2025-9242） — 認証不要で遠隔操作可能

重要なポイント

1. 重大な深刻度: 認証不要でVPNデバイスを完全制御可能。内部リソースやVPNトラフィックに直接影響。
2. 広範な運用リスク: インターネット接続のVPN/ファイアウォール機器が即座に横展開、資格情報窃取、バックドア設置、データ流出、リモートアクセス障害の対象。
3. 優先対策: ベンダーパッチ適用、公開ポートのアクセス制限、脆弱サービス停止、管理者アクセス制御、MFA適用、侵害兆候監視・フォレンジック。

 Readmore

Europol、SIMCARTEL SIM-Boxネットワークを解体 — 大規模偽アカウント作成・サイバー犯罪支援

重要なポイント

1. SMS認証・電話番号評価の脆弱性: SIMボックスネットワークは大量の番号を供給し、SMS 2FAを回避して偽アカウント作成、アカウント乗っ取り、詐欺、スパムを実現。
2. 通信・経済リスク: 収益損失、音声/SMS詐欺、マネーロンダリング、制裁回避。SIM販売管理や国際ルーティングの緩さを突く。
3. 効果的な対策: SMS 2FAからの移行（U2F/WebAuthnやアプリOTP）、行動異常検知とレート制限、番号評価・デバイス指紋化、SIM販売KYC強化、SIMボックス検知、国際情報共有。

 Readmore

リスキャナについて

リスキャナは、サードパーティリスク管理（TPRM）の分野におけるリーディングカンパニーです。組織がデジタルサプライチェーン全体に潜むサイバーリスクを特定・評価・軽減できるよう支援しています。リスキャナ・プラットフォームは、リアルタイム脅威インテリジェンス、自動リスクスコアリング、継続的モニタリングを活用し、セキュリティチームが新興脅威への露出を最小化し、サイバー・レジリエンスを強化できるよう設計されています。

ご興味をお持ちのお客様へはシステムのデモやサンプルレポートのご提供等のご相談も承っておりますので、ご遠慮なくお申し付けください。

お問い合わせはこちらまで。