はじめに
Googleの脅威インテリジェンスグループ(GTIG)は、Windows Server Update Service(WSUS)の重大な脆弱性を標的としたハッカーによる一連の攻撃を積極的に調査しています。この脆弱性(CVE-2025-59287)の概念実証が公開されて以来、脅威活動が活発化しています。
攻撃の詳細と脅威アクター
GTIGの研究者たちは、この脆弱性を悪用している新たな脅威アクターを「UNC6512」として追跡しており、複数の被害組織でその活動を確認しています。UNC6512は、標的システムへの初期アクセス後、侵害されたホストおよび関連環境で偵察活動を行い、影響を受けたホストからデータを流出させていることが報告されています。
Microsoftの対応とパッチの課題
Microsoftは、この脆弱性に対処するためのパッチを今月初めに発行しましたが、そのソフトウェアアップデートは効果が不十分であったことが判明しています。HawkTraceの研究者たちは、この脆弱性に関連する概念実証を公開しました。
セキュリティ企業の観測
複数のセキュリティ企業も、この脅威活動を観測しています。
- Huntress Labsは、先週後半に少なくとも4つの顧客環境で悪用活動を報告しました。
- Eye Securityの研究者たちは、エンドポイント検出および応答テレメトリーによって不審な活動を検知し、脅威が進行中であることを認識しました。彼らは概念実証を再現し、WSUSをインターネットに公開することのリスクについて様々なセキュリティパートナーや政府機関に警告しました。Eye Securityは、Huntressの情報との比較に基づき、複数の攻撃バリアントが存在すると考えています。
- Palo Alto Networks Unit 42の研究者たちは、悪意のあるPowerShellコマンドを使用して情報収集、内部ドメイン構造のマッピング、高価値ユーザーアカウントの検索が行われていることを確認しました。
- Shadowserverは、約2,800のインスタンスがこの脆弱性に晒されていると報告しましたが、具体的にどれだけの数が脆弱であるかはまだ調査中です。
CISAの警告と推奨事項
サイバーセキュリティ・インフラセキュリティ庁(CISA)は、この脆弱性を「既知の悪用されている脆弱性(KEV)」カタログに追加し、WSUSユーザーに対し、直ちにパッチを適用し、Microsoftからの緩和策ガイダンスに従うよう強く促しています。CISAは、連邦機関が影響を受けた証拠はないと述べていますが、外部組織には不審な活動を報告するよう求めています。
CISAのサイバーセキュリティ部門のエグゼクティブアシスタントディレクターであるニック・アンダーセン氏は、「サイバーセキュリティは静的なものではなく、絶え間ない調整、迅速な対応、そして共有された行動が重要である」と述べています。