概要

サイバーセキュリティ・インフラセキュリティ庁（CISA）は、デジタルフォレンジックおよびインシデント対応ツールであるRapid7 Velociraptorの重大な脆弱性（CVE-2025-6264）が、ランサムウェア攻撃で積極的に悪用されているとして警告を発しました。この脆弱性は、2025年10月14日にCISAの既知の悪用済み脆弱性カタログに追加され、連邦機関は11月4日までに必要なセキュリティ対策を講じるよう義務付けられています。

脆弱性の詳細とセキュリティへの影響

この脆弱性は、Rapid7 Velociraptorにおける不適切なデフォルトパーミッション（CWE-276）に起因します。この欠陥を悪用することで、攻撃者は侵害されたエンドポイント上で任意のコマンドを実行し、完全な制御を奪うことが可能になります。これにより、ランサムウェアペイロードの展開、機密データの窃取、永続的なバックドアの確立といった深刻な被害が発生する恐れがあります。

攻撃には、標的のエンドポイントからアーティファクトを収集するための初期アクセスが必要ですが、この初期アクセス要件は、現実世界での活発な悪用を阻止するには不十分であることが判明しています。

ランサムウェア攻撃における悪用の背景

セキュリティ研究者は、この脆弱性がセキュリティツール内に存在することが、検出を回避し、被害システムに対する制御を維持しようとするランサムウェア攻撃者にとって特に魅力的であると警告しています。CISAがこの脆弱性をランサムウェアキャンペーンで悪用されていると指定したことは、複数の脅威グループがこのエクスプロイトを攻撃チェーンに組み込んでいることを示唆しています。

ランサムウェア攻撃者は、防御を無効化し、ログを操作し、長期間にわたって検出されずに活動するために、セキュリティおよび監視ツール内の脆弱性を標的とすることがよくあります。Velociraptorの悪用は、攻撃者が組織が保護のために依存しているまさにそのツールを武器化するという、憂慮すべき傾向を示しています。

推奨される対策

Rapid7 Velociraptorを使用している連邦機関および民間組織は、この脆弱性に対処するために直ちに行動を起こす必要があります。CISAは、以下の対策を指示しています。

• ベンダーの指示に従ってセキュリティ対策を適用する。
• クラウドベースの展開については、Binding Operational Directive 22-01のガイダンスに従う。
• 利用可能な対策を実装できない組織は、適切なセキュリティ対策が展開されるまで製品の使用を中止する。
• セキュリティチームは、以前の悪用を示唆する侵害の兆候がないか、Velociraptorの展開を徹底的にレビューする。

元記事: https://gbhackers.com/cisa-alerts-on-rapid7-velociraptor-flaw/