- 2025-04-30
株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的で毎月2回程度ニュースレターを発信させていただきます。今回が2025年4月第2回目のニュースレターとなります。
1.2025年第1四半期に159件のCVE悪用、内28%は公開後24時間以内に悪用
エクスプロイトインテリジェンス企業のVulnCheckのレポートによると、2025 年第 1 四半期には、159 件の CVE 識別子が悪用され、2024 年第 4 四半期の 151 件から増加した。 159件のうち45件(28%)は、CVE公開から1日以内に悪用されている。さらに14件の脆弱性は1か月以内に悪用され、さらに45件の脆弱性は1年以内に悪用されている。
悪用された脆弱性の対象としては、コンテンツ管理システム(CMS)が一番多く(22%)、次いでネットワークエッジデバイス(18%)、オペレーティングシステム(15%)、オープンソースソフトウェア、サーバーソフトウェアと順となっている。
悪用された主要ベンダーとその製品は、多い順にMicrosoft Windows (15件)、Broadcom VMware (6件)、Cyber PowerPanel (5件)、Litespeed Technologies (4件)、TOTOLINK Routers (4件)となっている。
Google 傘下の Mandiant が収集したデータによれば、エクスプロイトが 5 年連続で最も多く観察された初期感染方法であり、盗取された認証情報がフィッシングを上回り 2 番目に多く観察された初期アクセス方法となっていることも明らかになった。
●詳しくは:https://thehackernews.com/2025/04/159-cves-exploited-in-q1-2025-283.html
●目ポイント: 脆弱性の公開後の速やかな対応が求められるとともに、すぐの対応が難しい状況もあるため、ネットワーク内でのモニタリングが重要である。
2.コナカ 不正アクセスで15万人超の個人情報漏えい
4月24日に、紳士服大手コナカは、オーダー業態「DIFFERENCE」のサーバーに対する不正プログラムの行使により、サーバー内に保管されている個人情報が一部漏洩していることが判明したと公表した。「DIFFERENCE」のアプリにおいて顧客が利用している「オーダー詳細ダウンロード」サービスに対して、不正プログラムを用いた大量アクセスが開始され、4月22日にシステム管理会社が異常を検知、 個人情報が漏洩したとの報告を受け判明したものである。
15万人超の当該アプリの顧客情報(住所、氏名、電話番号)、注文情報が漏洩した。
●詳しくは: https://www.konaka.co.jp/ir/assets/2025/04/20250424_1.pdf
●目ポイント:大規模な情報漏洩であり、防御のためには継続的な脆弱性診断が重要である。
3. WooCommerceユーザーが偽パッチフィッシング攻撃の標的に
WooCommerce ユーザーを狙った大規模なフィッシングキャンペーンが発生している。このキャンペーンでは、偽のセキュリティ警告が表示され、「重要なパッチ」をダウンロードするよう促し、バックドアを仕掛けるものである。
IDNホモグラフ攻撃を使って公式WooCommerceウェブサイトを偽装したフィッシングウェブサイトにアクセスするよう勧める。フィッシングメールの受信者は、「パッチをダウンロード」リンクをクリックして、セキュリティ修プログラムをダウンロード・インストールするよう促され、クリックすると、「woocommėrce[.]com」(「e」の代わりに「ė」が使用されている点に注意)というドメインでホストされている偽のWooCommerceマーケットプレイスページにリダイレクトされ、そこから感染されたZIPアーカイブ(「authbypass-update-31297-id.zip」)をダウンロードするよう促される。
この攻撃の最終的な結果として、攻撃者は Web サイトをリモート制御できるようになり、スパムや怪しい広告を挿入したり、サイト訪問者を詐欺サイトにリダイレクトしたり、侵害されたサーバーをボットネットに組み込んで DDoS 攻撃を実行したり、恐喝計画の一環としてサーバーリソースを暗号化したりできるようになる。
●詳しくは:https://thehackernews.com/2025/04/woocommerce-users-targeted-by-fake.html
●目ポイント: WooCommerceは頻繁にアップデートがリリースされているので注意が必要である。
4.攻撃者は1か月でブランドを模倣した26,000以上のドメインを登録
デジタル詐欺戦術が大幅にエスカレートする中、サイバー攻撃者は、2025 年 3 月だけで、正当なブランドや政府サービスになりすますことを目的とした 26,000 以上のドメインを登録した。
これらの悪意のあるドメインは、高度なスミッシング(SMS フィッシング) キャンペーンのランディングページとして機能し、疑いを持たないユーザーが、正規のサービスへのリンクを装ったテキストメッセージを受信する。Palo Alto Networks の研究者は、これらの悪意のあるドメインの 75% 以上が同じレジストラ (香港に拠点を置く Dominet (HK) Limited) を共有していることを特定し、単一の脅威アクターまたは組織化されたグループによって組織化されたキャンペーンである可能性が高いことを示唆した。
四半期だけでこれらのドメインに対して 3,100 万件を超えるクエリが検出されるという驚くべき統計が明らかになり、攻撃者の手法が広範囲に有効であることが示された。
●詳しくは:https://cybersecuritynews.com/threat-actors-registered-26k-domains-mimic-brands/
●目ポイント: フィッシングの被害が急増している一端を示している。
5. IIJへの不正アクセス、「Active! mail」のバッファオーバーフローを利用
IIJは、4月22日にIIJセキュアMXサービスで利用していたクオリティア製のソフトウェアActive! mailのバッファオーバーフローの脆弱性を悪用されたことによるものであることを公表した。
IPAは、それに先立ち4月18日に当該脆弱性について、対策を公表した。今回の不正アクセス発生から発覚のタイミングでは未発見の脆弱性であった。
MXサービスで作成された電子メールのアカウント・パスワードの漏えいは、132契約、電子メールアカウント数約31万件、MXサービスと連携して動作するように設定されていた他社クラウドサービスの認証情報の漏えいは、488契約となっている。
●詳しくは:https://www.iij.ad.jp/news/pressrelease/2025/0422-2.html
https://www.ipa.go.jp/security/security-alert/2025/20250418-jvn.html
●目ポイント: ウェブアプリに対する定期的な脆弱性診断が求められる。
最後までお読みいただき、有難うございます。
【お問い合わせ窓口】
株式会社 サイバープロテック ニュース編集係
102-0074 東京都千代田区九段南1―5-6 りそな九段ビル5F
TEL 03-6262-0595