← ブログに戻る
Security Briefing4分で読めます2026-04-25

セキュリティブリーフィング 2026年4月25日: Firestarter の永続化、Zimbra の露出、そして BlackFile のボイスフィッシング恐喝

今日の共通点はかなり厄介ですが明快です。境界機器、メールボックス、そしてヘルプデスクの信頼フローが、表面的な対処では止まらない形で悪用されています。


要点: 今朝すぐ注目すべき話は3つあります。パッチサイクルを越えて残るファイアウォールマルウェア、数千台の脆弱な公開サーバーを抱えるメール基盤、そして通常のサポート業務を侵入経路に変えるボイスフィッシング主導の恐喝グループです。


1. Firestarter は Cisco ファイアウォールのパッチ適用を偽りのゴールに変える

CISA と英国 NCSC は、Firestarter バックドアが Cisco Firepower と Secure Firewall デバイス上で、再起動、ファームウェア更新、セキュリティパッチ適用後も残り得ると警告しています。このマルウェアは Cisco が追跡するスパイ活動系アクターに関連づけられており、LINA プロセスにフックし、停止されても再インストールされ、細工された WebVPN トラフィックで起動できます。Cisco の推奨は率直で、修正版への更新は必要ですが、推奨されるクリーンアップは再イメージです。


2. 1万台超の公開 Zimbra サーバーが依然として危険圏内にある

Shadowserver によると、インターネットに露出した 10,500 台超の Zimbra Collaboration Suite サーバーが、CISA により実際の悪用が確認された XSS 脆弱性 CVE-2025-48700 の影響下にあります。この欠陥は複数の ZCS 系列に影響し、Classic UI で細工されたメールを開くだけで、未認証の攻撃者が被害者の Webmail セッションで JavaScript を実行できる可能性があります。Zimbra は過去にもメール窃取や国家支援型攻撃の踏み台になってきました。


3. BlackFile は偽ヘルプデスク電話が今でも企業を崩せることを示している

BlackFile は、小売とホスピタリティ業界を狙ったボイスフィッシング主導の恐喝攻撃急増と結び付けられています。攻撃者は IT サポートを装い、偽ログインページで資格情報とワンタイムコードを盗み、その後 MFA を回避するため自分たちの端末を登録します。さらに Salesforce や SharePoint から標準 API を使ってデータを持ち出し、機密ファイルを奪い、身代金要求やスワッティングで圧力を強めます。


セキュリティチームが今日やるべきこと

  1. Cisco ファイアウォールの侵害確認を行い、指標が出たら再イメージを計画する。
  2. Zimbra のパッチ適用を完了し、悪性メール起点のセッション悪用を調査する。
  3. ヘルプデスクの本人確認を強化し、とくにリモートサポートと MFA リセットを厳格化する。
  4. SaaS のエクスポート活動と端末登録イベントを見直し、BlackFile 型侵入の兆候を探す。

ソース


結論: 今日の共通点はかなり厄介ですが明快です。境界機器、メールボックス、そしてヘルプデスクの信頼フローが、表面的な対処では止まらない形で悪用されています。

信頼のほころびがインシデントになる前に見つける

KENSAI は、境界機器、メール基盤、ID フロー、クラウドツールにある露出した攻撃経路を可視化し、攻撃者が通常業務を侵入基盤へ変える前に対処できるよう支援します。

無料スキャン →

鋭くいてください。

🗡️ KENSAI セキュリティチーム