- 2025-05-17
株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的で毎月2回程度ニュースレターを発信させていただきます。今回が2025年5月第1回目のニュースレターとなります。
1.コインベースの顧客データ盗取で2,000万ドルの身代金を要求
1億人以上の顧客を持つ暗号通貨取引所であるコインベースは、米国外の請負業者またはサポートスタッフの助けを借りて、サイバー犯罪者が顧客データを盗み、盗んだ情報を公開しないために2,000万ドルの身代金を要求されたことを明らかにした。
脅威アクターは、コインベースの顧客ベースの最大1%(約100万人)の個人を特定できる情報の組み合わせを盗むことに成功したが、顧客の秘密鍵やパスワードを盗むことはできず、コインベースPrimeのアカウントやホットウォレットまたはコールドウォレットにアクセスすることもできなかった。
しかし、コインベースは、その後のソーシャルエンジニアリング攻撃で攻撃者に資金を送るように騙された顧客への払い戻し、修復などのために「約1億8000万ドルから4億ドルの範囲」の損害になると推定している。
- 詳しくは:https://www.bleepingcomputer.com/news/security/coinbase-discloses-breach-faces-up-to-400-million-in-losses/
- 注目ポイント: 犯罪者が、直接暗号通貨を窃取するのではなく、顧客情報の盗取からのソーシャルエンジニアリング攻撃で多額の暗号通貨を窃取し、多額の身代金も請求するというのは驚きである。
2.PR TIMES、不正アクセスによる最大で90万件の個人情報漏洩の可能性
5月7日に, PR TIMEは,第三者によるサーバー内部への不正アクセスとサイバー攻撃が行われ、個人情報と発表前プレスリリース情報を中心とする保有情報が漏えいした可能性があることが判明したと公表した。PR TIMESの管理者画面へのアクセスの認証に普段使われていない社内管理の共有アカウントが使われていた。また、バックドアの存在やTelegram経由の通信が確認された。
情報漏洩の可能性があるものは、個人情報は最大で90万件超あり、企業ユーザー22万件超、メディアユーザー2万件超、個人ユーザー31万件超、インポートリスト(企業ユーザーが保有するプレスリリース送信先メディアの連絡先)33万件超などである。
- 詳しくは: https://prtimes.jp/main/html/rd/p/000001531.000000112.html
- 注目ポイント:管理者画面への共有アカウントの使用は避けるべきである。
3. 効果的なランサムウェア防御のための5つの重要な復旧戦略
ランサムウェア攻撃はこれまで以上に頻繁かつ広範囲に及ぶようになっている。ランサムウェア攻撃への強力な復旧戦略を構築することは、攻撃を防ごうとすることと同じくらい、あるいはそれ以上に重要である。以下のような5つの重要な復旧戦略は、ランサムウェアが突破した場合の最後の最も重要な防御線となり、攻撃から迅速に立ち直り、業務を再開し、身代金の支払を回避することを可能とする。
- 3-2-1-1-0バックアップルール (データのコピーを 3 つ保持し、それらを 2 つの異なるメディアに保存し、1 つのコピーをオフサイトに保持すること以外に、1 つの不変コピー (変更や削除ができないバックアップ)の保持, 0 は、テストされた復旧ポイントを使用して、復旧能力を検証)
- バックアップの継続的な自動化および監視
- バックアップインフラストラクチャへの不正アクセスや改ざんを防ぐための分離、厳密な制御
- 復元の定期的テスト
- バックアップレベルの可視性による脅威の早期検出
- 詳しくは:https://thehackernews.com/2025/05/top-5-bcdr-capabilities-for-ransomware-defense.html
- 注目ポイント:ランサムウェア攻撃への対策として、今まで以上のバックアップの統制強化が求められる。
4. 米国の鉄鋼大手ニューコアの生産がサイバー攻撃で中断
米国の鉄鋼大手ニューコアは,、5月14日にサイバー攻撃により生産が中断されたことを明らかにした。
このインシデントに対応して、同社は一部のシステムをオフラインにし、その他の封じ込め、修復、回復対策を実施した。
当該サイバーセキュリティインシデントはSECに報告された。
- 詳しくは:https://cybersecuritynews.com/threat-actors-registered-26k-domains-mimic-brands/
- 注目ポイント:製造拠点へのサイバーセキュリティリスクの高まりを受け、対策の強化が求められる。
5. 中国関係のAPTがSAP CVE-2025-31324を悪用、世界中の581の重要なシステムを侵害
SAP NetWeaverに影響を与える重大なセキュリティ上の欠陥(リモートコード実行(RCE)を可能にする認証されていないファイルアップロードの脆弱性であるCVE-2025-31324)を利用し、複数の中国国家関連の攻撃者が、重要なインフラストラクチャネットワークを標的にしている。
このキャンペーンのターゲットには、英国の天然ガス配給ネットワーク、水および統合廃棄物管理組織、米国の医療機器製造工場、石油・ガス探査および生産会社、投資戦略と金融規制を担当するサウジアラビアの政府省庁などが含まれている。
CVE-2025-31324の悪用に続いて、攻撃者は、感染したシステムへの永続的なリモートアクセスを維持し、任意のコマンドを実行するように設計された2つのWebシェルを展開し、システム上でいかなる種類の権限も持たずに、任意のコマンドをリモートで実行することができるようにするものである。
- 詳しくは:https://thehackernews.com/2025/05/china-linked-apts-exploit-sap-cve-2025.html
- 注目ポイント: SAP NetWeaver の悪用が活発に行われていることを踏まえ、SAP NetWeaver を利用している組織は、速やかにインスタンスの最新バージョンへの更新が推奨される。
最後までお読みいただき、有難うございます。
【お問い合わせ窓口】
株式会社 サイバープロテック ニュース編集係
102-0074 東京都千代田区九段南1―5-6 りそな九段ビル5F
TEL 03-6262-0595