威脅概要
セキュリティの Landscape は、様々なセクターの組織に対して大きなリスクをもたらすいくつかの重要な脆弱性と高度な持続的脅威(APT)キャンペーンで現在も特徴付けられています。主要な脅威には:
- CVE-2026-24731, CVE-2026-25945, CVE-2026-20895, CVE-2026-22890: EV2GO ev2go.io システムに影響を与え、攻撃者がチャージングステーションを装い、セッションをハijackし、大規模なサービス拒否(DoS)攻撃を引き起こす可能性があります。これらの脆弱性は、エネルギーと輸送などの重要なインフラセクターに影響を与えています。
- CVE-2026-22719: VMware Aria Operations における高度なリモートコード実行(RCE)脆弱性で、未認証の攻撃者が任意のコマンドを実行できるように悪用されています。
- GRIDTIDE バックドア: UNC2814 APT グループが使用し、Google Sheets API を利用してコマンドおよびコントロール(C2)トラフィックを隠蔽し、データの漏洩を促進しています。
- RMS マルウェア: UAC-0050 が spear-phishing キャンペーンでヨーロッパの金融機関を標的として展開し、偽のドメインとローカルに存在するツール(LotL)技術を使用して永続性を確保しています。
攻撃手法分析
セキュリティ犯罪者は、システムを侵入し機密データを窃取するためにますます高度な手法を採用しています。以下は、最近の事案で観察された主要な攻撃ベクトルの分析です:
- 脆弱性活用: 攻撃者は EV2GO と VMware Aria Operations の既知の脆弱性を積極的に活用しており、脆弱性の迅速なパッチングがリスク軽減に重要であることを示しています。
- API の悪用: グリッドタイドバックドアはGoogle Sheets APIを利用してC2通信を行い、合法的なAPI呼び出しの間で悪意のあるトラフィックを検出するのが難しい状況を作り出しています。
- スpearフィッシングと社会的エンジニアリング: UAC-0050はウクライナの司法ドメインを模倣したフィッシングメールで高級法的相談役を標的とし、セキュリティ侵害における人間の要素を強調しました。
- ローカル利用(LotL): UNC2814とUAC-0050はLotL技術を使用して永続性を維持し、検出を回避します。例えば、システムサービスを作成し、合法的なツールであるリモートマニピュレーターシステム(RMS)を使用してリモートアクセスを行います。
- マルチレイヤード感染チェーン: 攻撃者は複雑な感染チェーンを展開しており、パスワード保護アーカイブとダブルエクステンション実行ファイルを含め、伝統的なアンチウィルスソリューションを回避します。
患者データリスク
クリティカルインフラストラクチャや医療機関に対するサイバーテロ攻撃の増加は、患者データプライバシーに大きなリスクをもたらします。患者記録はダークウェブ上で非常に敏感で価値のある情報であり、APTやサイバー犯罪者にとって主要なターゲットとなっています。具体的な脅威には:
- 未承認アクセス: EV2GOやVMwareシステムの脆弱性の悪用は、医療ネットワークに保存された患者データへの未承認アクセスを引き起こす可能性があります。
- データ漏洩: グリッドタイドやRMSマルウェアのようなAPTキャンペーンは、大量のデータ漏洩を引き起こし、個人の健康情報(PHI)を悪意のあるアクターに公開します。
- 金融詐欺: 盗まれた患者データは身元詐欺、保険詐欺、その他の金融犯罪に使用され、個人と医療機関に直接影響を及ぼします。
- 声誉损害:患者データの漏洩は、医療提供者に対する公衆の信頼を損ない、大きな Reputation 損害を引き起こす可能性があります。
医療データセキュリティリスクについての詳細は、当社の記事を参照してください医療データ安全リスク.
防衛戦略
組織は、これらの新しい脅威に対抗するため、積極的なアプローチをセキュリティに取り入れる必要があります。主要な防御措置には以下が含まれます
- 即時脆弱性パッチング:EV2GO および VMware Aria Operations の脆弱性用パッチをすぐに適用し、悪用を防ぐこと。
- ネットワークセグメンテーション:重要なシステムを隔離するためにネットワークセグメンテーションを実施し、攻撃面を削減し、攻撃者の水平移動を制限すること。
- エンゼルメールセキュリティ強化:スパムドメインを含むフィッシング試图を検出・ブロックする高度なメールフィルタリングソリューションを導入すること。
- API 監視:API トラフィックで異常なパターンを密に監視し、GRIDTIDE バックドアなどの悪意のある活動を示すものがあることを確認すること。
- 第三者リスク管理第三者ベンダーおよびそのソフトウェア(EV2GOやVMwareを含む)に関連するリスクを定期的に評価し、軽減する。
- 従業員教育定期的なサイバーセキュリティ意識トレーニングを実施し、従業員が潜在的なフィッシング攻撃や他の怪しい活動を識別し報告できるようにする。
- 事象対応計画セキュリティ侵害に対する迅速な検出、制御、復旧のための堅固な事象対応計画を策定し維持する。
キーな行動項目
これらの脅威を効果的に対処するため、組織は以下の行動を優先すべきである:
- 2026年3月24日までVMware Aria Operationsのパッチを適用する職務権限を有する機関は、RCE脆弱性(CVE-2026-22719)を軽減するためCISAの指示に準拠する。
- EV2GOシステムの露出を検討するEV2GOシステムの露出を評価し、潜在的なサービス拒否攻撃や偽装攻撃を防ぐ。
- メールフィッシング検出強化UAC-0050のようなフィッシング試みを検出・ブロックするための高度なメールセキュリティソリューションを導入する。
- アンチマルウェアソリューションの更新最新のマルウェア、包括的なGRIDTIDEやRMSベースの脅威を含むすべてのシステムが保護されていることを確認する。
- サイバーセキュリティリスク評価を実施する組織のインフラストラクチャにおける脆弱性を特定し、前もってリスクを軽減するための対策を講じる