米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、Apple、Craft CMS、Laravel Livewireに影響を及ぼす計5つのセキュリティ脆弱性を、その「既知の悪用されている脆弱性(KEV)」カタログに新たに追加しました。連邦政府機関に対し、これらの脆弱性に対するパッチを2026年4月3日までに適用するよう緊急の指示が出されています。これらの脆弱性は既に悪用が確認されており、個人ユーザーから企業、さらには国家レベルのサイバー攻撃にまで利用されている深刻な状況が明らかになっています。
CISAの警告は、これらの脆弱性が単なる潜在的な脅威ではなく、実際に攻撃者によって利用されていることを意味します。特に、Apple製品のユーザー、Craft CMSやLaravel Livewireを利用する開発者や企業にとっては、迅速な対応が求められる喫緊の課題です。
CISAが警告する深刻な脆弱性の詳細
今回KEVカタログに追加された脆弱性は以下の5つです。これらは全て、攻撃者によって悪用されることで、深刻な情報漏洩やシステム乗っ取りにつながる可能性があります。
- CVE-2025-31277 (CVSSスコア: 8.8) – Apple WebKitのメモリ破損: 悪意を持って作成されたウェブコンテンツを処理する際に、メモリ破損を引き起こす可能性があります。これにより、攻撃者は任意のコードを実行したり、機密情報を窃取したりする可能性があります。この脆弱性は2025年7月に修正済みです。
- CVE-2025-43510 (CVSSスコア: 7.8) – Appleカーネルのメモリ破損: Appleのカーネルコンポーネントにおけるメモリ破損の脆弱性で、悪意のあるアプリケーションがプロセス間で共有されるメモリに予期せぬ変更を加えることを許します。この脆弱性は2025年12月に修正済みです。
- CVE-2025-43520 (CVSSスコア: 8.8) – Appleカーネルのメモリ破損: 上記と同様にAppleのカーネルコンポーネントにおけるメモリ破損の脆弱性ですが、悪意のあるアプリケーションが予期せぬシステム終了を引き起こしたり、カーネルメモリに書き込んだりする可能性があります。この脆弱性も2025年12月に修正済みです。
- CVE-2025-32432 (CVSSスコア: 10.0) – Craft CMSのコードインジェクション: リモートの攻撃者が任意のコードを実行できるコードインジェクションの脆弱性です。CVSSスコア10.0という最高評価が示す通り、極めて深刻な影響を及ぼす可能性があります。この脆弱性は2025年4月に修正済みです。
- CVE-2025-54068 (CVSSスコア: 9.8) – Laravel Livewireのコードインジェクション: 特定のシナリオにおいて、認証されていない攻撃者がリモートコマンド実行を達成できるコードインジェクションの脆弱性です。この脆弱性は2025年7月に修正済みです。
これらのApple関連の3つの脆弱性は、Google Threat Intelligence Group (GTIG)、iVerify、Lookoutからの報告によると、「DarkSword」と名付けられたiOSエクスプロイトキットによって悪用され、GHOSTBLADE、GHOSTKNIFE、GHOSTSABERといった様々なマルウェアファミリーを展開し、データ窃盗に利用されていました。
Craft CMSのCVE-2025-32432は、Orange Cyberdefense SensePostの報告によれば、2025年2月以降、未知の脅威アクターによってゼロデイ脆弱性として悪用されていました。その後、Mimo(別名Hezb)として追跡されている侵入グループもこの脆弱性を悪用し、暗号通貨マイナーや住宅用プロキシウェアを展開していることが確認されています。
Laravel LivewireのCVE-2025-54068は、Ctrl-Alt-Intel Threat Researchチームによって最近報告され、イラン政府支援のハッキンググループMuddyWater(別名Boggy Serpens)による攻撃の一部として悪用されていました。
悪用が確認された脅威アクターとその手口
今回のCISAの警告は、単に脆弱性が存在するというだけでなく、実際に攻撃者がそれらを悪用しているという事実に基づいています。特に注目すべきは、その背後にいる脅威アクターの多様性と高度な手口です。
iOSエクスプロイトキット「DarkSword」によるApple製品へのゼロデイ攻撃
Apple製品の3つの脆弱性は、Google Threat Intelligence Group (GTIG)、iVerify、Lookoutといったセキュリティ企業によって報告されたiOSエクスプロイトキット「DarkSword」によって悪用されていました。このキットは、これらの脆弱性を利用して、GHOSTBLADE、GHOSTKNIFE、GHOSTSABERといった複数のマルウェアファミリーをiPhoneなどのiOSデバイスに展開し、ユーザーの機密データを窃取することを目的としていました。このようなエクスプロイトキットの存在は、Apple製品が常に安全であるという認識を覆し、最新のセキュリティアップデートの適用がいかに重要であるかを浮き彫りにします。
Mimo(Hezb)によるCraft CMS脆弱性の悪用
Craft CMSのコードインジェクション脆弱性(CVE-2025-32432)は、当初、未知の脅威アクターによってゼロデイ攻撃として悪用されていました。その後、Mimo(別名Hezb)という侵入グループがこの脆弱性を利用し、暗号通貨マイナーや住宅用プロキシウェアを標的システムに展開していることが確認されています。暗号通貨マイナーは、感染したシステムの計算リソースを不正に利用して暗号通貨を採掘し、プロキシウェアは感染したデバイスを匿名通信の中継点として利用することで、他のサイバー犯罪活動を隠蔽するために使われます。これは、企業のサーバーやウェブサイトが、知らぬ間にサイバー犯罪のインフラとして利用されるリスクがあることを示しています。
イラン政府系ハッキンググループMuddyWater(Boggy Serpens)の高度なサイバー攻撃
Laravel Livewireの脆弱性(CVE-2025-54068)は、イラン政府支援のハッキンググループMuddyWater(別名Boggy Serpens)によって悪用されました。Palo Alto Networks Unit 42が発表したレポートによると、このグループは中東および世界中の外交機関やエネルギー、海事、金融といった重要インフラを継続的に標的としています。
MuddyWaterの攻撃手法は、ソーシャルエンジニアリングを主要な特徴としつつも、その技術的能力を急速に向上させています。彼らは、長期的な永続性を確保するために、AI強化型マルウェアやアンチ分析技術を組み込んだ多様なツールセットを使用しています。このソーシャルエンジニアリングと急速に開発されるツールの組み合わせが、強力な脅威プロファイルを生み出しています。
大規模なソーシャルエンジニアリングキャンペーンを支援するため、MuddyWaterはカスタム構築されたウェブベースのオーケストレーションプラットフォームを使用しています。このツールにより、オペレーターは送信者IDとターゲットリストを細かく制御しながら、大量の電子メール配信を自動化できます。イラン情報治安省(MOIS)に帰属するとされるこのグループは、主にサイバースパイ活動に焦点を当てていますが、DarkBitランサムウェアのペルソナを採用して、イスラエル工科大学を標的とした破壊的な作戦にも関与しているとされています。
MuddyWaterの攻撃の特徴の一つは、スピアフィッシング攻撃において、政府機関や企業の公式アカウントを乗っ取り、信頼関係を悪用して評判ベースのブロックシステムを回避し、マルウェアを配信する手口です。2025年8月16日から2026年2月11日にかけて、アラブ首長国連邦の匿名の海洋・エネルギー企業を標的とした継続的なキャンペーンでは、4つの異なる攻撃波が実施され、GhostBackDoorやNuso(別名HTTP_VIP)を含む様々なマルウェアファミリーが展開されました。彼らのツールには、UDPGangsterやLampoRAT(別名CHAR)なども含まれています。
Unit 42は、「Boggy Serpensの最近の活動は、グループが確立された手法と運用永続性のための洗練されたメカニズムを統合し、成熟した脅威プロファイルを示している」と述べています。Rustのような現代的なコーディング言語やAI支援ワークフローを開発パイプラインに多様化することで、グループは高い運用テンポを維持するために必要な冗長性を確保するための並行トラックを作成しています。
ユーザーと企業が直面するリスクと緊急対策
今回のCISAの警告は、私たちが日常的に利用するテクノロジーが、いかに多様なサイバー脅威に晒されているかを改めて認識させるものです。これらの脆弱性が放置された場合、個人ユーザーは個人情報の窃盗、デバイスの乗っ取り、マルウェア感染による金銭的被害に遭う可能性があります。企業にとっては、機密データの漏洩、システム停止、事業継続性の危機、そしてブランドイメージの失墜といった壊滅的な影響が考えられます。
個人ユーザー向けの対策
Apple製品のユーザーは、常にOSやアプリケーションを最新の状態に保つことが最も重要です。Appleはこれらの脆弱性に対するパッチを既に提供しているため、速やかにアップデートを適用することで、既知の攻撃から身を守ることができます。不審なメールやウェブサイトには注意し、提供元が不明なアプリのインストールは避けるべきです。
企業・開発者向けの対策
Craft CMSやLaravel Livewireを使用している企業や開発者は、直ちに該当する脆弱性に対するパッチを適用する必要があります。これらの脆弱性はCVSSスコアが非常に高く、リモートからのコード実行を許すため、システムが完全に侵害されるリスクがあります。パッチ適用だけでなく、以下の対策も検討すべきです。
- セキュリティ監視の強化: サーバーやネットワークのログを定期的に監視し、異常なアクセスや挙動がないかを確認します。
- 侵入テストと脆弱性診断: 定期的にシステムの脆弱性診断や侵入テストを実施し、潜在的なリスクを特定し対処します。
- 従業員への注意喚起: ソーシャルエンジニアリングの手口やフィッシング詐欺について従業員に教育し、不審なリンクや添付ファイルを開かないよう徹底します。
- 多層防御の導入: ファイアウォール、IDS/IPS、エンドポイントセキュリティ、WAF(Web Application Firewall)など、複数のセキュリティ対策を組み合わせることで、攻撃に対する耐性を高めます。
- バックアップと復旧計画: 万が一の事態に備え、定期的なデータバックアップと迅速な復旧計画を策定しておくことが不可欠です。
今回の警告は、特にApple製品利用者、Craft CMSやLaravel Livewireの開発者、そして企業のセキュリティ担当者にとって、自社のシステムが最新の脅威に対して脆弱ではないかを確認し、適切な対策を講じるための重要な機会となります。
まとめ
CISAがApple、Craft CMS、Laravel Livewireの脆弱性をKEVカタログに追加し、緊急のパッチ適用を命じたことは、サイバーセキュリティの脅威が日々進化し、その深刻度を増している現実を浮き彫りにしています。これらの脆弱性は既に国家支援型ハッカーやサイバー犯罪グループによって悪用されており、データ窃盗やシステム乗っ取りといった重大な被害を引き起こす可能性があります。
現代のサイバー脅威は、AIを活用したマルウェアや高度なソーシャルエンジニアリングを組み合わせることで、その検出と防御をより困難にしています。個人ユーザーは常にデバイスとソフトウェアを最新の状態に保ち、不審な情報には警戒することが重要です。企業や開発者は、単なるパッチ適用に留まらず、多層的なセキュリティ対策と継続的な監視を通じて、進化する脅威からシステムとデータを守るための強固な体制を構築する必要があります。今回のCISAの警告を真摯に受け止め、セキュリティ対策の再評価と強化に努めることが、デジタル社会における安全を確保するための鍵となるでしょう。
情報元:The Hacker News