今日の共通点はかなり厄介ですが明快です。境界機器、メールボックス、そしてヘルプデスクの信頼フローが、表面的な対処では止まらない形で悪用されています。
要点: 今朝すぐ注目すべき話は3つあります。パッチサイクルを越えて残るファイアウォールマルウェア、数千台の脆弱な公開サーバーを抱えるメール基盤、そして通常のサポート業務を侵入経路に変えるボイスフィッシング主導の恐喝グループです。
CISA と英国 NCSC は、Firestarter バックドアが Cisco Firepower と Secure Firewall デバイス上で、再起動、ファームウェア更新、セキュリティパッチ適用後も残り得ると警告しています。このマルウェアは Cisco が追跡するスパイ活動系アクターに関連づけられており、LINA プロセスにフックし、停止されても再インストールされ、細工された WebVPN トラフィックで起動できます。Cisco の推奨は率直で、修正版への更新は必要ですが、推奨されるクリーンアップは再イメージです。
Shadowserver によると、インターネットに露出した 10,500 台超の Zimbra Collaboration Suite サーバーが、CISA により実際の悪用が確認された XSS 脆弱性 CVE-2025-48700 の影響下にあります。この欠陥は複数の ZCS 系列に影響し、Classic UI で細工されたメールを開くだけで、未認証の攻撃者が被害者の Webmail セッションで JavaScript を実行できる可能性があります。Zimbra は過去にもメール窃取や国家支援型攻撃の踏み台になってきました。
BlackFile は、小売とホスピタリティ業界を狙ったボイスフィッシング主導の恐喝攻撃急増と結び付けられています。攻撃者は IT サポートを装い、偽ログインページで資格情報とワンタイムコードを盗み、その後 MFA を回避するため自分たちの端末を登録します。さらに Salesforce や SharePoint から標準 API を使ってデータを持ち出し、機密ファイルを奪い、身代金要求やスワッティングで圧力を強めます。
結論: 今日の共通点はかなり厄介ですが明快です。境界機器、メールボックス、そしてヘルプデスクの信頼フローが、表面的な対処では止まらない形で悪用されています。
KENSAI は、境界機器、メール基盤、ID フロー、クラウドツールにある露出した攻撃経路を可視化し、攻撃者が通常業務を侵入基盤へ変える前に対処できるよう支援します。
無料スキャン →鋭くいてください。
🗡️ KENSAI セキュリティチーム