2025年の夏は暑いだけではなく、容赦なかった。
ランサムウェアが病院を襲い、小売大手はデータ侵害に苦しみ、保険会社はフィッシング攻撃を受け、国家主体の攻撃者が破壊的なキャンペーンを展開しました。
ステルス性の高いPowerShellローダーからゼロデイのSharePoint脆弱性まで、攻撃者は防御側を翻弄し続けました。
本レポートでは、この夏に発生した最も影響の大きいインシデントと、次の波が来る前にセキュリティチームが取るべき対策を解説します。
夏が露呈した医療機関のランサムウェアリスクの高まり
病院はダウンタイムを許容できず、攻撃者もそれを知っています。
この夏、ランサムウェアグループは医療機関を標的にし、患者データの価値と診療の緊急性を悪用しました。
Interlockが米国医療業界への主要な脅威として浮上
2025年7月22日、CISA、FBI、HHSによる共同勧告で、Interlockが医療・公衆衛生(HPH)分野への主要な脅威として取り上げられました。同グループは2025年だけで14件のインシデントに関与し、そのうち3分の1が医療機関のみを標的にしています。
Interlockの特徴は、「FileFix」というPowerShellランチャーを使い、偽装ファイルパスの背後に悪意のあるスクリプトを隠す点です。これにより、ユーザーをFile Explorer経由でペイロード実行に誘導し、一般的なセキュリティ検知を回避します。
Rhysidaランサムウェアが米医療センターを再び標的に
2025年7月8日、Rhysidaランサムウェアグループが、フロリダ・ハンドセンターから医療画像、運転免許証、保険書類などの機微なデータを流出させたとされています。
このクリニックはPunta Gorda、Port Charlotte、Fort Myersの患者に対応しており、公開までに7日間の猶予しか与えられませんでした。
QilinがScattered Spiderの手法を再利用し医療機関への侵害を拡大
2025年6月、Qilinは最も活発なランサムウェアグループとなり、被害者は81件、そのうち52件が医療分野でした。
同グループは未修正のFortinet脆弱性(CVE-2024-21762およびCVE-2024-55591)を悪用し、アクセス権を取得、ランサムウェアを展開し、電子カルテや保険記録などの機密データを流出させました。
圧力を最大化するため、Qilinは暗号化だけでなく、「弁護士に連絡」機能や自動交渉ツールなど法的脅迫戦術も駆使し、迅速な支払いを促しました。
小売業界を襲ったサイバー犯罪の波で大手ブランドが被害
小売業界も2025年夏を席巻したサイバー攻撃の波から逃れられませんでした。
ルイ・ヴィトンの情報漏洩、四半期で3件目
2025年7月2日、ルイ・ヴィトンUKで顧客の連絡先情報や購入履歴が流出し、これはDiorとLV Koreaに続く3か月で3件目のLVMHブランドの情報漏洩となりました。
その数日後、7月10日に英国警察はM&S、Co-op、Harrodsへの大規模攻撃に関与したとされる4人を逮捕しました。
このグループは、ソーシャルエンジニアリングやDragonForceなどのランサムウェア運営者と協力することで知られる国内脅威アクターScattered Spiderに関連しているとされており、国内サイバー犯罪者の大手小売業者への影響拡大を示しています。
DragonForceが米小売チェーンBelkを攻撃
2025年5月7日から11日にかけて、大西洋の反対側、ノースカロライナ州の小売業者Belkがデータ侵害を受けました。
DragonForceが犯行声明を出し、顧客および従業員の名前、社会保障番号、メール、注文履歴、HRファイルなど156GBのデータを流出させたと発表。身代金交渉が決裂した後、これらはリークサイトに掲載されました。
DragonForceは2023年末に登場したランサムウェア・アズ・ア・サービスのカルテルで、2025年3月までに約136件の被害者をリストアップしており、その多くは米国および英国の小売業者です。
Scattered Spiderの戦術は小売から保険業界へシフト
Scattered Spider(UNC3944)は、英語を母国語とするサイバー犯罪集団で、アイデンティティ中心のソーシャルエンジニアリング、ボイスフィッシング、MFA疲労、ヘルプデスクなりすまし、タイポスクワットドメインを駆使し、2025年4月~5月に英国小売業者(M&S、Co-op、Harrods)を侵害しました。
2025年6月中旬、研究者はScattered Spider(UNC3944)が小売業から米国の保険会社への標的を移したと指摘しました。
-
Aflacは2025年6月12日に不正アクセスを検知・封じ込めました。顧客および従業員の個人情報(SSNや保険請求情報など)が侵害された可能性があります。
-
Erie InsuranceおよびPhiladelphia Insurance Companiesも6月初旬から中旬にかけて同様のサイバー障害を報告し、業務停止が発生しました。
これらの侵入はScattered Spiderの既知の戦術プロファイルと一致しますが、ランサムウェアは展開されず、システムは稼働を維持していました。
国家支援・地政学的サイバー活動
この夏のサイバー脅威は金銭目的だけではありませんでした。
国家ハッカーやハクティビストも、混乱する地政学的情勢を利用して攻撃を仕掛けました。
-
2025年6月14~17日:親イスラエルのハクティビストグループPredatory SparrowがイランのBank Sepahを攻撃し、銀行サービスを妨害。その後Nobitexを侵害し、約9,000万ドル相当の暗号資産をバーンウォレットに送信して消失させました。
-
2025年6月30日:米国国土安全保障省とCISAが、米国および欧州の重要インフラを標的としたイランによるサイバー報復の差し迫った危険を警告する共同アラートを発表しました。
これらの事例は、サイバー紛争が今や地政学的緊張の最前線の延長であり、その影響が国境や業界を超えて波及しうることを強く示しています。
注目を集めた主要な脆弱性
この夏、複数のMicrosoft SharePoint脆弱性が、ToolShellと呼ばれる大規模なサイバースパイ活動で悪用されました。
-
CVE-2025-53770は、認証されていない攻撃者が脆弱なオンプレミスSharePointサーバー上で任意のコードを実行できる重大なリモートコード実行の脆弱性です。攻撃者はこれを利用してWebシェルを展開し、資格情報を盗み、企業ネットワーク内を横断しました。CISAは2025年7月20日にこのバグをKEVカタログに追加しました。
-
CVE-2025-49704およびCVE-2025-49706も、連鎖攻撃で悪用された後、7月22日にKEVに追加されました。この2つは認証バイパスとコードインジェクションを可能にし、以前の修正が適用されていても未修正のSharePointシステムを攻撃できます。
ToolShellキャンペーンは、米国、欧州、中東の政府機関、エネルギー企業、通信事業者などを標的としました。
セキュリティ研究者によると、攻撃者はMicrosoftの7月Patch Tuesdayの修正をリバースエンジニアリングし、CVE-2025-53770で使われたバイパスを開発した可能性が高いとのことです。
サイバーセキュリティの夏の山火事から得るべき教訓
病院から小売大手、保険会社、国家まで、この季節は最も堅牢な環境ですら隙を露呈しました。
セキュリティチームが次に取るべき行動は以下の通りです。
命がかかっているつもりでパッチを適用しましょう。特に重要分野ではそれが現実です。
CISA KEVエントリや重大度の高いCVEから始めましょう。しかし、それだけで終わらず、自分たちが攻撃者の標的になりうるかという難しい問いも投げかけてください。
各CVEが自社環境で実際に悪用可能か検証しましょう。
スコアだけでなく、エクスプロイトチェーンに注目してください。攻撃者はそこを狙っています。
アイデンティティを新たな境界線として強化しましょう。
この夏はマルウェアよりもソーシャルエンジニアリングが効果的でした。MFA疲労攻撃を防ぎ、ヘルプデスクの認証を強化し、特権アクセスを制限しましょう。
人材教育を徹底しましょう。人が侵害の起点でした。
Scattered SpiderなどはCVEを悪用したのではなく、人を悪用しました。定期的な訓練、フィッシングシナリオの更新、ハイリスク職種への現実的な誘導対策を実施してください。
初期侵入後の動きに注意を払いましょう。
InterlockやQilinのような脅威アクターは、ランサムウェアをばらまくだけでなく、横展開し、データを準備し、検知を回避しました。PowerShellの悪用、資格情報の窃取、ステルスな情報流出などの技術に対する行動監視を導入しましょう。
レガシーシステムや見落とされがちなインフラを無視しないでください。
レガシーシステムや見落とされがちなインフラを無視しないでください。ToolShellキャンペーンは未修正のオンプレミスSharePointサーバー、多くはサポート切れや古いバージョンを悪用しました。
古いオンプレSharePointやアプライアンス、監視されていないレガシー機器など、アップグレードできないものは分離し、パッチできないものは監視し、放置してきたものは入れ替えましょう。
本記事で紹介した攻撃をシミュレーションし、Picus Security Validation Platformを使って実際のサイバー攻撃に対するセキュリティ対策の有効性を検証することを強く推奨します。
また、Medusa、Rhysida、Black Bastaなど、数百種類のマルウェアやエクスプロイトキャンペーンに対する防御も、Picus Platformの14日間無料トライアルで数分以内にテスト可能です。
スポンサー:Picus Securityによる執筆。