コンテンツにスキップするには Enter キーを押してください

⚡ 週間まとめ:SharePointゼロデイ、Chromeエクスプロイト、macOSスパイウェア、NVIDIAツールキットRCEなど

投稿日 2025年7月21日

Image

堅牢に守られた環境でさえ、攻撃者は侵入しています――派手なエクスプロイトではなく、弱い設定、古い暗号化、保護されていない信頼済みツールを静かに悪用しているのです。

これらの攻撃はゼロデイに依存しません。監視の隙間や「安全」と思い込んでいる部分をすり抜けて、気づかれずに動作します。かつては怪しく見えた挙動も、モジュール化された手法や通常の動作を模倣する自動化によって、今では周囲に溶け込んでいます。

本当に懸念すべきは?コントロールが単に脅かされているのではなく、静かに奪われていることです。今週のアップデートは、デフォルト設定、曖昧な信頼の境界、さらされたインフラが、日常的なシステムを侵入口に変えている現状を浮き彫りにしています。

⚡ 今週の脅威#

重大なSharePointゼロデイが積極的に悪用中(本日パッチ公開) — Microsoftは、世界中の数十の組織を侵害するために実際に悪用されているSharePoint Serverの2つのセキュリティ脆弱性に対応する修正を公開しました。週末に悪用の詳細が明らかになり、MicrosoftはCVE-2025-53770およびCVE-2025-53771に関するアドバイザリを発行。これらはCVE-2025-49704およびCVE-2025-49706として追跡されている他のSharePointの脆弱性のパッチ回避と評価されており、「ToolShell」と呼ばれるエクスプロイトチェーンを通じてオンプレミスのSharePointサーバーでリモートコード実行が可能になります。2つの脆弱性は今月初めのPatch Tuesdayアップデートで修正済みです。大規模な悪用活動の背後にいる人物は現時点で不明です。

🔔 主なニュース#

  • Google、積極的に悪用されているChrome脆弱性のパッチを公開 — Googleは、Chromeブラウザ(CVE-2025-6558)に存在し、実際に悪用されている重大な脆弱性を修正するパッチを公開しました。これは今年に入って5件目のゼロデイ悪用またはPoC実証例です。この脆弱性は、ANGLEおよびGPUコンポーネントにおける信頼できない入力の検証不備で、細工されたHTMLページによりサンドボックスエスケープが可能となります。WindowsとApple macOS向けにはバージョン138.0.7204.157/.158、Linux向けには138.0.7204.157で修正されています。
  • NVIDIA Container Toolkitの重大な脆弱性が公開 — NVIDIA Container Toolkit(CVE-2025-23266)に存在する重大な脆弱性が悪用されると、権限昇格によるコード実行が可能となります。「この脆弱性の悪用に成功すると、権限昇格、データ改ざん、情報漏洩、サービス拒否につながる可能性があります」とGPUメーカーは述べています。脆弱性を公開したWizによると、3行のエクスプロイトで同じハードウェア上の他の顧客の機密データや独自モデルへのアクセス・窃取・改ざんが容易に可能です。
  • 新たなCrushFTPのバグが攻撃対象に — CrushFTPは、ファイル転送ソフトウェア(CVE-2025-54309)の重大な脆弱性が実際に悪用されていることを明らかにしました。攻撃者はソースコードをリバースエンジニアリングし、最新バージョンにアップデートされていないデバイスを標的にしています。CrushFTP 10の10.8.5未満および11の11.3.4_23未満が影響を受けます。「攻撃ベクトルはHTTP(S)で、サーバーを悪用できました」とCrushFTPは述べています。以前のバグがこのエクスプロイトのように使われるとは認識していなかったとのことです。
  • Windows Server 2025のGolden dMSA攻撃でクロスドメイン攻撃が可能に — サイバーセキュリティ研究者は、Windows Server 2025で導入された委任型管理サービスアカウント(dMSA)に「重大な設計上の欠陥」があり、クロスドメインでの横移動やActive Directory全体への永続的アクセスが可能になることを明らかにしました。「パスワード生成計算に使われる構造体に予測可能な時間ベースの要素が含まれており、組み合わせはわずか1,024通り。ブルートフォースが容易です」とSemperisのAdi Malyanker氏は述べています。
  • Google Big Sleep AIエージェント、SQLiteの重大な脆弱性を悪用前に発見 — Googleが昨年DeepMindおよびGoogle Project Zeroと共同で立ち上げたAIエージェント「Big Sleep」が、攻撃者のみが知っていたゼロデイのSQLite脆弱性(CVE-2025-6965)を悪用寸前で発見しました。Googleは「AIエージェントが実際に野生での脆弱性悪用を阻止した初めての事例」と説明しています。
  • EoL SonicWall SMA 100デバイスが攻撃対象に — UNC6148とコードネームされた未知の侵入者が、完全にパッチ適用済みのEoL SonicWall Secure Mobile Access(SMA)100シリーズ機器を標的に、新しい永続的なバックドアおよびルートキット「OVERWATCH」を展開しています。キャンペーンの詳細は不明ですが、攻撃者は漏洩したローカル管理者資格情報を利用して初期アクセスを得ている模様です。OVERWATCHはログエントリを選択的に削除できるため、フォレンジック調査が困難です。感染デバイスにリバースシェルを展開したことからゼロデイの可能性も指摘されています。ネットワーク機器が依然として攻撃者の人気ターゲットであることを示しています。

‎️‍🔥 注目のCVE#

ハッカーは新たに発見されたソフトウェアの脆弱性に素早く飛びつきます――時には数時間以内に。更新漏れや隠れたバグ、たった1件の未修正CVEでも深刻な被害の入り口となります。今週話題となっている高リスク脆弱性を以下にまとめました。リストを確認し、迅速にパッチを適用して一歩先を行きましょう。

今週のリストには――CVE-2025-53770, CVE-2025-53771(Microsoft SharePoint Server)、CVE-2025-37103(HPE Instant On Access Points)、CVE-2025-54309(CrushFTP)、CVE-2025-23266CVE-2025-23267(NVIDIA Container Toolkit)、CVE-2025-20337(Cisco Identity Services EngineおよびISE Passive Identity Connector)、CVE-2025-6558(Google Chrome)、CVE-2025-6965(SQLite)、CVE-2025-5333(Broadcom Symantec Endpoint Management Suite)、CVE-2025-6965(SQLite)、CVE-2025-48384(Git CLI)、CVE-2025-4919(Mozilla Firefox)、CVE-2025-53833(LaRecipe)、CVE-2025-53506(Apache Tomcat)、CVE-2025-41236(Broadcom VMware ESXi, Workstation, Fusion)、CVE-2025-27210, CVE-2025-27209(Node.js)、CVE-2025-53906(Vim)、CVE-2025-50067(Oracle Application Express)、CVE-2025-30751(Oracle Database)、CVE-2025-6230, CVE-2025-6231, CVE-2025-6232(Lenovo Vantage)、CVE-2024-13972, CVE-2025-7433, CVE-2025-7472(Sophos Intercept X for Windows)、CVE-2025-27212(Ubiquiti UniFi Access)、CVE-2025-4657(Lenovo Protection Driver)、CVE-2025-2500(Hitachi Energy Asset Suite)、CVE-2025-6023, CVE-2025-6197(Grafana)、CVE-2025-40776, CVE-2025-40777(BIND 9)、CVE-2025-33043, CVE-2025-2884, CVE-2025-3052(Gigabyte)、CVE-2025-31019(Password Policy Managerプラグイン)が含まれます。

📰 サイバー世界の話題#

  • ロシア人、オランダでデータ共有により3年の実刑判決 — ロッテルダム裁判所は、オランダの半導体製造装置メーカーASMLおよびNXPの機密情報をロシアの人物に共有し、国際制裁に違反したとして43歳のロシア人に3年の実刑判決を下しました。被告は2023年にファイルをコピーし、Signalアプリでロシアの人物に送信したことを認めています。被告名は非公開ですが、2025年2月のReuters報道によれば、ドイツ人アクシェノフでロシアFSB情報機関と接触があったとされています。2024年12月には知的財産窃盗および制裁違反で起訴されていました。
  • 英国NCSC、脆弱性リサーチイニシアチブを開始 — 英国国家サイバーセキュリティセンター(NCSC)は、外部サイバーセキュリティ専門家との関係強化を目的とした新たな脆弱性リサーチイニシアチブ(VRI)を発表しました。「VRIの使命は、英国の脆弱性リサーチ能力を強化することです」とNCSCは述べています。
  • Storm-1516、欧州で偽情報拡散 — クレムリン系偽情報グループStorm-1516は、実在のジャーナリストを装い、偽ニュースサイトでフランス、アルメニア、ドイツ、モルドバ、ノルウェーに偽情報を拡散しています。AIツールを活用した別の親ロシア偽情報キャンペーン「Operation Overload」も選挙や移民問題などで偽情報を拡散しています。
  • SLOW#TEMPESTキャンペーンの進化した手法を解説 — SLOW#TEMPESTと呼ばれるマルウェアキャンペーンの攻撃者は、DLLサイドローディングやCFG難読化、動的関数呼び出しを用いてコードを隠蔽しています。主な目的は、ターゲットマシンが6GB以上のRAMを持つ場合のみ、埋め込まれたペイロードをメモリ上で展開・実行することです。
  • Abacus Market、出口詐欺で閉鎖か — ダークネットマーケット「Abacus Market」が突然閉鎖され、インフラ全体が利用不能になりました。ユーザーからは出金問題の報告が相次いでいました。TRM Labsは出口詐欺の可能性を指摘しています。Abacus Marketは2021年9月に開設され、仮想通貨売上は3億~4億ドルと推定されています。
  • MITRE、暗号資産セキュリティ向けAADAPTを発表 — MITREは、デジタル金融システム(暗号資産など)の脆弱性に対応するサイバーセキュリティフレームワーク「AADAPT」を発表しました。MITRE ATT&CKフレームワークをモデルにしています。
  • 米元陸軍兵士、10社の通信会社ハッキングで有罪認める — 元米陸軍兵士Cameron John Wagenius(別名kiberphant0m、cyb3rph4nt0m)は、2023年4月~2024年12月に少なくとも10社の通信会社をハッキング・恐喝した罪を認めました。Telegramグループで盗んだ認証情報を共有し、被害企業を脅迫していました。
  • 悪用された署名付きドライバーの実態— 2020年以降、620本以上の署名付きドライバー、80の証明書、60のWHCPアカウントが攻撃キャンペーンに関連付けられています。大半は中国企業によるものです。カーネルレベルの攻撃は依然として魅力的な攻撃手法であり、署名インフラの使い回しも確認されています。
  • TeleMessage SGNLの脆弱性が悪用される — エンタープライズ向けメッセージングシステム「TeleMessage SGNL」に存在する脆弱性(CVE-2025-48927)が積極的に悪用されています。フランス、シンガポール、ドイツ、香港、インドから25のIPアドレスによる攻撃が確認され、米国、シンガポール、インド、メキシコ、ブラジルが標的です。
  • Microsoft、米国防クラウドの中国人技術者サポートを停止 — ProPublicaの調査報道を受け、Microsoftは中国拠点の技術者が米国防省向けAzureクラウドのサポートを行わないよう運用を変更しました。
  • 日本警察庁、Phobosおよび8Base向け無料復号ツール公開 — 日本の警察庁は、Phobosおよび8Baseランサムウェア被害組織向けに無料の復号ツールと英語ガイドを公開しました。今年2月にはPhobosランサムウェア使用のロシア人2名が摘発されています。
  • Android、Geminiがサードパーティアプリにアクセス可能に — Googleは、Gemini AIチャットボットが「Gemini Apps Activity」をオフにしていても、Android端末の他アプリ(電話、メッセージ等)と連携できるよう仕様を変更しました。会話内容は最大72時間保存されます。
  • EvilPanelフィッシングツールキットの詳細 — 新たなフィッシングツールキット「EvilPanel」が発見されました。Evilginxをベースにし、MFAバイパス攻撃をWebインターフェースで簡単に実行できます。
  • Katz StealerおよびOctalyn Stealerの詳細 — サイバー犯罪者が情報窃取マルウェア「Katz Stealer」を急速に採用しています。Chromiumのアプリ固有暗号化を突破し、継続的に被害者データを流出させます。Octalyn Stealerは教育ツールを装い、資格情報や暗号資産ウォレット情報を窃取します。
  • アルメニア、警察による顔認証技術の使用を可決 — アルメニア議会は、警察法改正により、顔認証付き監視カメラネットワークへの内務省のアクセスを認めました。8月9日施行予定ですが、法的保護やAI規制が不十分との指摘があります。
  • MaisonReceiptsを使った偽レシート詐欺 — 詐欺師はMaisonReceiptsなどのツールで、21以上の有名ブランドの偽レシートを複数通貨で作成しています。偽レシートはサブスクリプションサイトやSNS、暗号化メッセージングで販売されています。
  • PyPI、inbox.ruメールドメインをブロック — PyPIは、inbox.ruメールドメインによるスパムキャンペーンを受け、新規登録や追加メールアドレスでの使用を禁止しました。250以上の新規アカウント、1,500以上の新規プロジェクトが作成され、混乱やリソース悪用が発生していました。
  • Silver Foxアクター、マルウェア配布用偽サイトを作成 — Silver Foxと呼ばれる攻撃者は、2023年6月以降2,800以上のドメインを作成し、中国語話者を標的にマルウェアを配布しています。多くはアプリダウンロードサイトやアップデート通知を装っています。
  • Scattered Spiderメンバー、保釈で釈放 — 英国裁判所は、Scattered Spiderグループの4人を保釈で釈放しました。彼らは小売大手Marks & Spencer、Co-op、Harrodsへのハッキングなどで逮捕されていました。
  • アルメニア人、Ryukランサムウェア攻撃で起訴 — アルメニア人男性がウクライナから米国に引き渡され、2019年3月~2020年9月のRyukランサムウェア攻撃で起訴されました。被害者から1,610ビットコイン(当時1,500万ドル超)を受け取っていたとされています。
  • 2025年、暗号資産サービスから21.7億ドルが盗難 — ハッカーや詐欺師が今年上半期だけで21.7億ドル超の暗号資産を盗みました。北朝鮮によるBybitへの15億ドルのハッキングが大半を占めます。ウォレット侵害が最も高額な被害原因となっています。

    • Image

  • 2024年、日本が北朝鮮と中国の標的に — 日本の組織は、北朝鮮の攻撃者によるBeaverTail、InvisibleFerret、RokRATなどのマルウェア配布や、中国のMustang Panda、Stone Panda、MirrorFace、Teleboyi、UNC5221などによるバックドア・トロイの木馬(ANEL、PlugXなど)の展開を受けています。
  • Rainbow Hyena、ロシア企業を標的に — Rainbow Hyenaと呼ばれる攻撃者が、ロシアの医療・IT企業を標的に、C++製カスタムバックドア「PhantomRemote」を配布しています。
  • ポスト量子暗号への移行は不均一 — インターネット上の1億8600万台のSSHサーバーのうち、約6%が量子耐性暗号を使用しています。大半のOpenSSHは2015~2022年リリースのバージョンで、量子耐性暗号に未対応です。
  • ブラジル警察、1億ドルサイバー窃盗でIT従業員を逮捕 — ブラジル当局は、銀行システムから1億ドル超を不正送金したサイバー攻撃に関連し、ソフトウェア企業C&MのIT従業員João Roqueを逮捕しました。彼は認証情報を約2,700ドルで売却していました。
  • イタリア警察、Diskstationランサムウェア集団を逮捕 — イタリア警察は、Synology NASを標的とするDiskStation Securityランサムウェアグループのリーダーとされる44歳のルーマニア人を逮捕しました。
  • Samsung、機密データ保存用KEEPを発表 — Samsungは、One UI 8搭載Galaxyスマートフォン向けに、量子耐性Wi-Fiやアプリ固有の暗号化ストレージKEEPを発表しました。KEEPは個人データエンジンやKnox Vaultと連携し、AI機能を端末上で実現します。
  • カンボジア、オンライン詐欺撲滅で1,000人超を逮捕 — カンボジア当局は、オンライン詐欺に関連して1,000人超を逮捕しました。首都プノンペンやシアヌークビルで200人超のベトナム人、27人の中国人、75人の台湾人、85人のカンボジア人などが拘束されています。

🎥 サイバーセキュリティウェビナー#

  • オートフィルから警鐘へ:AI時代のアイデンティティ保護 — ログインは簡単になりましたが、信頼は難しくなりました。AIがデジタルアイデンティティを変革する中、ユーザーは自分のデータの使われ方や背後にいる人物に疑問を持っています。本セッションでは、主要ブランドがAI駆動のアイデンティティリスクにどう対処し、プライバシー重視の認証戦略で信頼を再構築しているかを紹介します。
  • 攻撃者はどう依存関係を乗っ取るか――DevSecOpsが今すべきこと — あなたのPython環境は静かに、内部から攻撃されています。2025年、リポジトリ乗っ取りや毒入りパッケージ、タイポスクワッティングは珍しくありません。このウェビナーでは、開発者やDevSecOpsリーダーがPythonサプライチェーンを守る方法を解説します。
  • AIコパイロットが攻撃者を招き入れているかも――アイデンティティ層を守る方法 — AIコパイロットは生産性を高めますが、攻撃者も同じ力でアイデンティティ境界を突破しています。API悪用や合成ログインなど、アイデンティティ層が攻撃されています。Oktaとともに、AI駆動ワークフローの保護、AI脅威の検知、アイデンティティを最強の防御線にする方法を学びましょう。
  • OSINTMap — 人気のOSINTリソースを素早く見つけて使える軽量ツールです。人物検索やドメイン調査、漏洩チェックなど、数百の調査リンクを1つのローカルダッシュボードに整理します。OSINT作業を行う人に最適で、すべてを一箇所にまとめて時間を節約できます。
  • NortixMail — オープンソースでセルフホスト型の使い捨てメールサーバーです。Dockerや手動で簡単に立ち上げられ、必要に応じて一時メールアドレスを生成し、Webインターフェースでメッセージを閲覧できます。メッセージはローカル保存でサードパーティサービス不要。テストやスパム回避、リスクのあるサインアップ時の保護に最適です。

免責事項:これらの新ツールは教育目的のみで提供されており、完全な監査はされていません。自己責任でご利用ください。コードを確認し、安全な環境でテストし、適切な対策を講じてください。

🔒 今週のヒント#

既知の脆弱性をスタック全体で自動マッピングしよう — 攻撃者はWindowsのスケジュールタスクを使ってシステム上で隠れ続けることがよくあります。中にはSD(セキュリティ記述子)やIndexなどのレジストリ値を削除し、タスクスケジューラやschtasks、Autorunsなどの一般的なツールから見えなくする手口も。これらの隠れたタスクはバックグラウンドで動作し、永続化やマルウェア配布に使われます。

可視タスクの確認には、Autoruns(Sysinternals製)やTaskSchedulerView(NirSoft製)などのツールが有効です。これらはアクティブなタスクを表示し、異常なものを発見できます。しかし隠れたタスクには、より深い調査が必要です。PowerShellでレジストリパスHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Treeをスキャンし、SD値が欠落しているタスクを探しましょう。

さらに高度な確認には、SysmonでTaskCacheレジストリの変更を監視したり、ProcMonでリアルタイムにレジストリアクティビティを追跡します。不審なタスク名や値の欠落、Indexが0のタスクなどに注目しましょう。また、イベントID4698(新規スケジュールタスク作成)でアラートを設定するのも有効です。

要するに、可視化ツールとレジストリチェックの両方を活用して隠れたスケジュールタスクを見つけましょう。定期的なスキャン、ベースライン比較、基本的なアラート設定で、脅威を早期に発見できます。

まとめ#

毎週明らかになるのは、攻撃者の高度化が例外ではなく「標準」になっているということです。AI駆動の偵察、認証情報の悪用、信号の模倣はもはや高度な手口ではなく、日常的なものになっています。

そしてセキュリティチーム間の連携の隙間が続く中、低レベルなノイズと重大な侵害の境界はますます曖昧になっています。その結果は、単なる迅速な侵害ではなく、信頼の深刻な侵食です。かつて強みだった「信頼」は、今や攻撃者に悪用される表面となっています。

翻訳元: https://thehackernews.com/2025/07/weekly-recap-sharepoint-0-day-chrome.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です