ランサムウェア防御:ソースコード流出、患者情報の暴露、そして公共インフラの侵害
2025年10月前半、ゼロデイ脆弱性の悪用、ソースコードの窃取、医療分野での侵害、さらには水道事業体に対する攻撃者の踏査活動が確認されました。
まるで攻撃者がインフラを自分たちのもののように扱っているかのような状況です。
これは、防御側にとって強い警告です。攻撃者は境界防御をすり抜け、多くの人々が見落としがちなシステム内部でラテラルムーブメント(水平移動)を行っています。
対象となっているのは、医療機器、Salesforce環境、エンジニアリングコンソールなどです。
本ブログでは、ColorTokens Threat Advisoryチームから得られた最新の知見をもとに、マイクロセグメンテーションなどの技術がいかに攻撃の拡大を防ぐのかを解説します。
それでは、詳しく見ていきましょう。
Harvard大学:Oracleゼロデイで侵害被害
Clopランサムウェアグループが再び動きを見せました。
CVE-2025-61882と呼ばれるOracle E-Business Suiteの重大なゼロデイ脆弱性を悪用し、標準のHTTPアクセス経由でシステムを乗っ取ることが可能になります。
Clopはこの脆弱性を利用してHarvard Universityに侵入したと主張しています。
同大学は限定的なデータ流出を確認し、Oracleのパッチを適用しました。
Clopはこれまでもゼロデイ脆弱性を悪用して静かにデータを窃取する手口で知られています。
Oracleを利用している組織は、インスタンスの状態を確認し、マイクロセグメンテーションポリシーを適用してラテラルムーブメント(水平移動)を防ぐ必要があります。方向に移動しながら、デジタルの「王冠の宝石」へと忍び寄っていくのです。
SimonMed:120万人分の患者記録が流出
SimonMed Imagingは、120万件以上の患者記録が侵害されたことを報告しました。
この侵害は1週間にわたって検知されず、攻撃者は外部システムにアクセスし、個人識別情報を窃取しました。
SimonMedは影響を受けた個人に通知しましたが、本人確認情報の盗難防止サービスは提供していません。
これは、検知の遅れがいかに大きな代償を伴うかを示す明確な事例です。
ラテラルムーブメントは非常に速く進行します。内部システムがフラットで開放された状態では、攻撃者は価値のあるデータを見つけるまで自由に移動できます。
マイクロセグメンテーションを実装することでワークロードを分離し、1つのシステムが侵害されても他へ感染が広がることを防ぐことができます。、設定エクスポート、または認証情報の使用に異常がないか、直ちに確認する必要があります。
F5:ソースコードと脆弱性情報が流出
サイバー・セキュリティベンダーであるF5は、攻撃者が内部システムへの持続的なアクセスを獲得し、BIG-IPのソースコードの一部および未公開の脆弱性情報を窃取したことを確認しました。
現時点では実際の悪用は確認されていませんが、攻撃者はすでにF5システムの内部構造について深い知見を得たことになります。
米国Cybersecurity and Infrastructure Security Agency(CISA)は、各機関に対し、デプロイメントの確認、公開インターフェースの遮断、アップデートの適用を指示する緊急指令を発出しました。
ラテラルムーブメント(水平移動)を封じ込めていなければ、1台の露出したデバイスが攻撃者の踏み台になる可能性があります。
Allianz Life:Salesforceのサードパーティ経由で攻撃を受ける
Allianz Lifeは、150万人分の個人情報が影響を受ける侵害を公表しました。
攻撃者はソーシャルエンジニアリングを用いてサードパーティのCRM(Customer Relationship Management)システムにアクセスし、氏名、住所、社会保障番号(Social Security Number)を窃取しました。
このインシデントはShinyHuntersグループと関連しており、Salesforceの統合を狙ったより大規模なキャンペーンの一部とみられます。
現在、攻撃対象領域は、自社のシステムに限らず、すべてのベンダーやSaaSツールにも広がっています。
第三者アクセスをセグメント化していなければ、攻撃者にとって侵入経路を開放しているも同然です。
偽の「インフレ還付金」詐欺SMS、ニューヨーク州民を標的に
攻撃者がニューヨーク州税務財務局(New York Department of Taxation and Finance)を装い、「インフレ還付金(Inflation Refund)」を謳った偽のメッセージを送りつけ、個人情報を盗み取る攻撃が確認されました。
これは典型的なスミッシング(SMSフィッシング)攻撃であり、政府ポータルに模した偽サイトに被害者を誘導し、機密情報を入力させる手口です。
公共機関や金融機関にとって、ユーザー教育とインシデント対応計画を再確認することが重要です。
OTシステム:水道事業体と気象観測装置が標的に
OT(Operational Technology)およびICS(Industrial Control Systems)領域で、深刻なインシデントが2件発生しました。
- TwoNetと呼ばれる親ロシア派の新しいグループが、水道事業体のハニーポットをデフォルトのHMI(Human-Machine Interface)認証情報で侵害し、SQL(Structured Query Language)クエリを実行してスキーマデータを抽出しました
- Meteobridgeの気象観測装置に存在するコマンドインジェクションの脆弱性(CVE-2025-4008)を悪用し、認証なしでリモートコード実行が可能となる攻撃も確認されました。
この脆弱性はCISAの「Known Exploited Vulnerabilities(既知の悪用脆弱性)」リストに追加されています
これらの事例は、ハクティビスト(政治的・社会的目的を持つ攻撃者)グループが重要インフラを狙う能力を高めていることを示しています。
OT環境におけるフラットネットワークは依然として高リスクです。セグメンテーションがなければ、1台の露出したデバイスが侵入の足掛かりになります。
攻撃者が一度内部に入れば、コントローラーの再プログラム、アラームの無効化、センサー情報の改ざんといった操作が可能となります。
セキュリティチームが今すぐ行うべきこと
どこから対策を始めればよいか迷っている場合は、以下のポイントに注力してください。
1.ラテラルムーブメント(水平移動)の封じ込め
ネットワークを評価し、マイクロセグメンテーションを適用してワークロードとデータを分離してください。
(Xshieldは、業務を中断させることなくマイクロセグメンテーションを実現します。)
2.影響度の高い脆弱性へのパッチ適用
CVE-2025-61882(Oracle)、CVE-2025-4008(Meteobridge)、CVE-2025-61927(Happy DOM)を優先的に対処してください。
3.サードパーティおよびクラウドツールの分離
SaaSやCRMシステムは信頼できない環境として扱い、適切にセグメント化してください。
4.公開されている管理パネルやHMIインターフェースの削除
攻撃面監視やペネトレーションテストを活用し、外部から可視化されている箇所を特定・除去してください。
5.スミッシング(SMSフィッシング)およびフィッシング対策のユーザー教育
特に、攻撃者が政府の給付金制度や還付金を装うケースに注意喚起を行ってください。
6.デセプション技術(欺瞞技術)の導入
OTネットワークにハニーポットを設置し、実システムが侵害される前に攻撃者の行動を把握してください。
侵害は自然に収束しない
攻撃者は侵入口で止まりません。侵入後、探索し、権限を昇格させ、情報を外部に流出させます。
環境が攻撃を封じ込める設計になっていなければ、被害は連鎖的に拡大します。
マイクロセグメンテーションは、ネットワーク内部での攻撃の連鎖を断ち切ることで、ランサムウェア対策に実効性をもたらします。
その詳細はぜひColorTokens(カラートークンズ)日本語公式サイトからお問い合わせください。
翻訳元記事
「Ransomware Protection: Source Code Stolen, Patients Exposed, and Utilities Breached」
公開日:2025/10/20
著者:Tanuj Mitra
※本記事では、アメリカのサイバーセキュリティ企業 ColorTokens(カラートークンズ)社が発信しているセキュリティ情報(英文)を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳し、要約して掲載しています
※記事は掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。上記の公開日をご参考ください
この記事の著者:電巧社セキュリティブログ編集部
