Last Updated on 2025-05-08 09:14 by admin
2025年5月8日、セキュリティ企業Symantec(ブロードコムの一部門)は、Playランサムウェアグループとしても知られるBalloonflyが、Microsoftが2025年4月8日にパッチを提供する前に、Windows Common Log File System(CLFS)ドライバの脆弱性(CVE-2025-29824)をゼロデイとして悪用していたと報告した。
この脆弱性はCVSSスコア7.8を持つ権限昇格の脆弱性で、攻撃者がシステムレベルの権限を獲得することを可能にする。Microsoftは当初、Storm-2460という脅威アクターグループがこの脆弱性を米国、ベネズエラ、スペイン、サウジアラビアの組織に対するランサムウェア攻撃で悪用していると特定していた。
Symantecの調査によると、Balloonflyは米国の組織に対する攻撃で、公開されているCisco ASAファイアウォールを介して初期アクセスを獲得した可能性がある。攻撃者はその後、ネットワーク内の別のWindowsマシンに移動し、Grixbaと呼ばれる情報窃取マルウェアとCVE-2025-29824のエクスプロイトを展開した。
Balloonflyは2022年6月から活動しているサイバー犯罪グループで、北米、南米、ヨーロッパの幅広いビジネスや重要インフラに影響を与えている。このグループは推定300の被害者を出しており、データを暗号化する前に機密データを流出させる二重恐喝戦術を採用している。
Microsoftは組織に対して、脅威アクターが初期アクセスを獲得した場合にランサムウェア攻撃に対する防御層を追加するため、この脆弱性に対するセキュリティアップデートの適用を優先するよう強く推奨している。
from:Play Ransomware Group Used Windows Zero-Day
【編集部解説】
今回のPlayランサムウェアグループによるWindowsゼロデイ脆弱性の悪用事例は、サイバーセキュリティの世界で重要な意味を持つ出来事です。複数の脅威アクターが同じ脆弱性を独立して発見し悪用していた事実は、高度な攻撃者の技術力と情報収集能力を示しています。
この事例で特に注目すべき点は、Microsoftが公式にパッチを提供する前に、少なくとも2つの異なるランサムウェアグループ(Storm-2460とBalloonfly)が同じ脆弱性を悪用していたことです。これは、ゼロデイ脆弱性の取引市場が活発化している証拠と言えるでしょう。
Balloonflyグループは2022年6月から活動を開始し、わずか3年足らずで約300の組織を攻撃したとされています。この数字は、現代のランサムウェア組織がいかに効率的に活動しているかを示しています。
特筆すべきは、Balloonflyが独自の情報窃取ツール「Grixba」を開発・使用している点です。これは単なるツールの使用者ではなく、高度な技術を持つ開発者が関与していることを示唆しています。
また、Balloonflyは当初クローズドな組織として活動していましたが、2023年11月頃からRaaS(Ransomware-as-a-Service)モデルへの移行が確認されています。これにより、より多くの攻撃者がPlayランサムウェアを利用できるようになり、攻撃の増加が懸念されます。
今回の事例から企業が学ぶべき教訓は、パッチ管理の重要性です。Microsoftは権限昇格の脆弱性に対するセキュリティアップデートの適用を優先するよう強く推奨しています。特に公開されているファイアウォールなどの境界防御システムは、初期侵入経路として狙われやすいため、常に最新の状態に保つことが重要です。
さらに、このような高度な攻撃に対しては、多層防御の考え方が不可欠です。単一のセキュリティ対策に依存するのではなく、ネットワークセグメンテーション、最小権限の原則、異常検知システムなど、複数の防御層を組み合わせることで、攻撃の成功確率を下げることができます。
企業のセキュリティ担当者は、こうした脅威アクターの戦術や手法(TTP)を理解し、自社環境での模擬攻撃(レッドチーム演習)を実施することで、実際の攻撃に備えることが重要です。
今後も高度なランサムウェア攻撃は続くと予想されますが、適切な対策と意識向上により、そのリスクを軽減することは可能です。テクノロジーの進化とともに、セキュリティ対策も進化させていくことが求められています。
【用語解説】
ゼロデイ脆弱性:
開発者がパッチを提供する前に発見され悪用される脆弱性。「ゼロデイ」とは、開発者が対応するための「0日間」しかないことを意味する。
Windows Common Log File System (CLFS):
Windowsのアプリケーションやサービスのログを管理するためのドライバ。多くのシステムプロセスが利用している重要なコンポーネントである。
権限昇格(Privilege Escalation):
通常の権限から管理者(SYSTEM)レベルの権限を不正に取得する攻撃手法。銀行の一般職員が突然頭取の権限を手に入れるようなものである。
Balloonfly/Play:
2022年6月から活動するランサムウェアグループ。PlayCryptとも呼ばれ、約300の組織を攻撃している。
二重恐喝(Double Extortion):
データを暗号化するだけでなく、事前に機密データを窃取し、身代金を支払わなければデータを公開すると脅す手法。
断続的暗号化(Intermittent Encryption):
ファイル全体ではなく一部分だけを暗号化する技術。検出回避と処理速度向上が目的である。
RaaS(Ransomware-as-a-Service):
ランサムウェアをサービスとして提供するビジネスモデル。技術がなくても攻撃を実行できるようになる。
【参考リンク】
CISA (米国サイバーセキュリティ・インフラストラクチャセキュリティ庁)(外部)
Playランサムウェアに関する共同サイバーセキュリティアドバイザリを提供している。
SentinelOne(外部)
Playランサムウェアの分析、検出、緩和策に関する詳細情報を提供している。
Check Point(外部)
Playランサムウェアグループの検出と保護に関する情報を提供している。
IPA (情報処理推進機構)(外部)
Microsoft製品の脆弱性対策について日本語で情報提供している。
【参考動画】
【編集部後記】
皆さんの組織では、Windows環境のパッチ管理はどのように行われていますか?今回のPlayランサムウェアの事例は、パッチ適用の優先順位付けの重要性を改めて示しています。権限昇格の脆弱性は「見えない侵入口」とも言えますが、どのような対策が効果的だと思われますか?また、セキュリティ担当者の方々は、こうした高度な脅威に対してどのような防御戦略を検討されているでしょうか。SNSでぜひ皆さんの知見や経験をシェアしていただければ幸いです。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
