はじめに
Googleの脅威インテリジェンスグループ(GTIG)は、Windows Server Update Service(WSUS)の重大な脆弱性(CVE-2025-59287)を悪用するハッカーに関連する一連の攻撃を積極的に調査しています。この脆弱性は、Microsoft製品のアップデート管理に広く使用されているWSUSに影響を与え、先週から脅威活動が活発化しています。
新たな脅威アクター「UNC6512」の出現
GTIGの研究者たちは、この悪用活動を「UNC6512」と追跡している新たな脅威アクターによるものと特定しました。このハッカーは、標的システムへの初期アクセス後、侵害されたホストおよび関連環境で偵察活動を行い、影響を受けたホストからデータを窃取していることが確認されています。
脆弱性の詳細と対応
- CVE-2025-59287: WSUSにおける信頼できないデータに関する脆弱性です。
- Microsoftの対応: Microsoftは今月初めにこの脆弱性に対処するためのパッチをリリースしましたが、その後の報告によると、パッチは効果的ではなかったとされています。
- PoCの公開: HawkTraceの研究者たちは、この脆弱性に関連する概念実証(PoC)を公開しています。
複数のセキュリティ企業による観測
複数のセキュリティ企業がこの悪用活動を報告しています。
- Huntress Labs: 先週後半に少なくとも4つの顧客環境で悪用活動を報告しました。
- Eye Security: エンドポイント検出および応答(EDR)テレメトリーによって不審な活動を検知し、PoCの再現に成功。複数のバリアントがこの脆弱性を標的にしている可能性があると指摘しています。
- Palo Alto Networks Unit 42: 悪意のあるPowerShellコマンドを使用した悪用を確認しており、これらのコマンドは情報収集、内部ドメイン構造のマッピング、高価値ユーザーアカウントの検索に使用されています。
広範な影響とCISAの警告
Shadowserverの報告によると、約2,800のWSUSインスタンスがこの脆弱性に晒されている可能性があります。サイバーセキュリティ・インフラセキュリティ庁(CISA)は、この脆弱性を「既知の悪用されている脆弱性」カタログに追加し、WSUSユーザーに対し、直ちにパッチを適用し、Microsoftの緩和策ガイダンスに従うよう強く促しています。
CISAは、連邦機関が影響を受けた証拠はないと述べていますが、外部組織に対しては不審な活動を報告するよう求めています。CISAのサイバーセキュリティ部門のエグゼクティブアシスタントディレクターであるニック・アンダーセン氏は、「サイバーセキュリティは静的なものではなく、絶え間ない連携、迅速な対応、そして共有された行動が重要です」とコメントしています。