2025年7月 ランサムウェア攻撃および脅威のまとめ:知っておくべきすべての情報
過去2週間の間に、ColorTokens Threat Advisory Teamは、Windows、Office、SharePoint、IoTデバイス、広く使用されているセキュリティアプライアンスにおける重大なデータ侵害、ルートキット感染、および深刻な脆弱性を追跡しました。
このブログでは、何が起きたのか、誰が影響を受けたのか、そして身を守るためにできることについて解説します。
さっそく見ていきましょう。
1. Esse Healthのデータ侵害:26万3千件以上の患者記録が侵害される
医療分野は近年、サイバー攻撃の継続的な波に直面しています。
2025年4月、ミズーリ州セントルイスにある大手医師グループであるEsse Healthが侵害の被害を受け、ネットワークおよび電話システムがダウンしました。
6月までに業務は復旧しましたが、すでに被害は発生していました。
26万3,000人を超える患者に対し、個人情報および医療データがアクセスされ、盗まれた可能性があると通知されました。
今回の侵害では、氏名、生年月日、医療記録番号、保険情報といった機微な情報が流出しましたが、社会保障番号や電子医療記録(EMR)のデータは含まれていないと会社は述べています。
Esse Healthは、ランサムウェアが関与していたかどうかを明らかにしていませんが、数週間にわたる業務停止とデータの窃取という点から、多くの兆候がランサムウェア攻撃を示唆しています。
現在のところ、いかなるグループも犯行声明を出していません。
2. Windows、Office、SharePointに重大な脆弱性が発見される
7月のPatch Tuesday(Microsoftによる月例パッチ提供日)は、特にMicrosoft環境にとって重要なものでした。3件の重大なCVEが公表され、パッチが適用されました。
- CVE-2025-47981(CVSS 9.8):WindowsのSPNEGO拡張ネゴシエーション機構におけるヒープベースのバッファオーバーフローです。
これにより、攻撃者がネットワーク越しに任意のコードを実行できる可能性があります。
Windows 10(バージョン1607以降)およびすべてのサポート対象のWindows Serverバージョンに影響します。
- CVE-2025-49697(CVSS 8.4):Microsoft Officeにおけるリモートコード実行(RCE)の脆弱性で、プレビューパネルを通じて悪用されます。つまり、悪意あるファイルをプレビューするだけで、システムが侵害される可能性があります。
- CVE-2025-49704(CVSS 8.8):SharePointにおけるRCEの欠陥で、元はPwn2Ownの攻撃チェーンで悪用されました。
これら3件の脆弱性は、2025年7月のアップデートで修正されました。まだパッチを適用していない場合は、今すぐ実施してください。
マイクロセグメンテーションは、ネットワーク内部でのラテラルムーブメント(水平移動)を防ぐことで、脅威の封じ込めに役立ちます。
このアプローチについて理解を深めておきましょう。
3.SonicWallのSMAデバイスがOVERSTEPルートキットにより侵害される
今月のより高度な脅威のひとつとして、SonicWallのSMA 100シリーズアプライアンスが挙げられます。
これらのデバイスは、安全なリモートアクセスのために使用されていますが、UNC6148という脅威アクターに標的とされ、OVERSTEPと呼ばれるステルス性の高いバックドアルートキットが展開されました。
影響を受けたアプライアンスにはパッチが適用されていたものの、すでにサポート終了(End-of-Life)となっていたため、SonicWallはサポートしていませんでした。
攻撃者は以下の行為に成功しました:
- 認証情報の窃取
- OVERSTEPルートキットの展開
- 持続的なアクセスの維持
- アンチフォレンジック技術を使った活動の隠蔽
GoogleのThreat Intelligence Groupの研究者は、この攻撃がランサムウェア活動およびデータ恐喝と関連していると考えています。
憂慮すべきことに、攻撃者が初期シェルアクセスをどのように得たかはまだ解明されておらず、ゼロデイ脆弱性の可能性が示唆されています。
推奨事項:
すべての管理者パスワードを変更し、古いVPNトークンを無効にしてください
サポートが終了しているSMA 100シリーズデバイスは、直ちに撤去または交換してください
サポート対象の場合は、ファームウェアバージョン10.2.1.15-81svへパッチを適用してください
4. Fortinet FortiWebがCVE-2025-25257により実際に悪用される
FortinetのFortiWeb WAFデバイスが、最近パッチが公開された脆弱性――CVE-2025-25257(事前認証不要のSQLインジェクションによるリモートコード実行脆弱性)を通じて、実際に悪用されています。
以下はそのタイムラインです:
- Fortinetがパッチをリリースしたのは7月8日
- 7月11日にパブリックエクスプロイトが共有される
- 7月14日までに、85台以上のFortiWebデバイスにWebシェルが感染
この悪用チェーンでは、細工されたHTTPリクエストを送信することで、Pythonのsite-packagesディレクトリに悪意ある.pthファイルをドロップし、CGIスクリプト経由でこれを実行することで完全なリモートコード実行が可能になります。
FortiWebのバージョン7.0.0から7.6.3を使用している場合は、システムが危険にさらされていると考えてください。
この攻撃は広範囲に及び、被害者の大半はアメリカに集中しています。
推奨事項:
- FortiWeb 7.6.4、7.4.8、7.2.11、または7.0.11へ今すぐアップグレードしてください
- 短期間でパッチの適用が困難な場合は、HTTP/HTTPSの管理インターフェースを無効にしてください
5. eSIMの脆弱性により数十億台のIoTデバイスが危険に
脆弱性が、世界中の数十億台のIoTデバイスに影響を及ぼす可能性があります。
この脆弱性はSecurity Explorationsによって発見されました。
攻撃者は、eSIM上に悪意あるアプレットをインストールし、モバイルオペレーターの認証情報を盗み取り、スパイ行為のためのバックドアを展開する可能性があります。
根本的な原因は、本来本番環境で使用されることを想定していなかった、古いGSMA TS.48のテストプロファイルにあります。
この攻撃には物理的なアクセスおよびいくつかの特定条件が必要ですが、その影響は非常に大きく、特に重要なIoTインフラにとっては深刻です。
推奨事項:
重要なサービスでは、SIMのみの認証方式から移行してください
eUICCモジュールにパッチを適用し、TS.48 v6.0以前を使用しないようにしてください
デバイスへの不正な物理アクセスを防止してください
侵害に備えるという考え方
病院からファイアウォール、Microsoft OfficeからIoTカードまで、7月の脅威状況は私たちにひとつのことを思い出させました――「あなたの最も弱いリンクは、パッチを当てず、退役させず、監視しなかったその部分」です。
しかし希望はあります。これらすべてのインシデントには教訓が含まれており、その多くは適切な制御によって防止または軽減できたものでした。
では、何をすべきでしょうか?
- ベンダーからのアドバイザリやCVE情報を常に最新の状態に保ってください
- サポートが終了しているデバイスは、今すぐ退役させてください
- 認証情報は頻繁に更新し、可能であれば自動化してください
- 「侵害を防ぐ」から「侵害を前提に備える」へと考え方を転換してください。侵害されることを想定し、事前に対応計画を立てておきましょう
セキュリティは静的ではありません。
脅威もまた変化し続けます。常に情報を入手し、そして何より、「侵害に備える」体制を整えてください。
このような脅威インテリジェンスをもっと知りたい方、または侵害に備えたサイバーセキュリティ戦略の構築に関して支援が必要な方は、ColorTokens(カラートークンズ)公式サイトからお問い合わせください。
LLMが進化を続ける中、新たに出現するセキュリティ課題に先手を打つことは、リスクを最小限に抑えながらその可能性を最大限に引き出すために不可欠です。
翻訳元記事
「July 2025 Ransomware Attacks and Threat Roundup: All You Need to Know」
最終更新日:2025/7/21
著者:ColorTokens Editorial Team
※本記事では、アメリカのサイバーセキュリティ企業 ColorTokens(カラートークンズ)社が発信しているセキュリティ情報(英文)を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳し、要約して掲載しています
※記事は掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。上記の最終更新日をご確認ください
この記事の著者:電巧社セキュリティブログ編集部
