2025年に発生したゼロデイ サイバー攻撃の事例と対策 資料 資料概要
本資料は、2025年に発生・公表された主要なゼロデイ(未知の脆弱性)悪用を伴うサイバー攻撃事例を整理し、メール基盤・業務アプリ(EBS)・資産管理・ファイル解凍・グループウェア・基幹(SAP)・ネットワーク機器など、企業の中核を支える製品/サービスが「初動で突かれる」現実をケーススタディとしてまとめたものです。
資料の内容
-
TOKAIコミュニケーションズ:法人向けメールサービス不正アクセス
─ スパム隔離/LDAP等を含むメール基盤への侵入痕跡 -
Ciscoメールセキュリティ(AsyncOS):CVE-2025-20393(Critical)
─ Quarantine機能の公開到達が成立条件となる未認証RCEと、修正版未提供局面でのアクセス遮断中心の緩和策(到達性の潰し込み) -
影響波及:静岡県・委託先各社での注意喚起
─ ヘッダ情報漏えい可能性を前提にした二次被害(なりすまし/フィッシング)への警戒強化と、即時アクション(PW変更、ログ点検、周知、訓練)の整理 -
Oracle EBS大規模キャンペーン(Cl0p/FIN11関連)
─ 経営層宛て恐喝メールとリークサイト掲載を伴うデータ恐喝型の動 -
サトー(海外グループ):委託先管理下Oracle EBSでの被害
─ MSP/クラウド委託先の管理領域でゼロデイが突かれた際の難しさと、委託先SLA明確化、委託先環境を含む監視・証跡監査の必要性 -
マツダ/キヤノン:Oracle EBS攻撃対象も防御成功
─ リークサイト掲載・限定影響など狙われたが抑えた事例から、迅速なパッチ適用と監視が被害極小化に効くことを示す好例 -
MOTEX LanScope:BRONZE BUTLER(Tick)によるゼロデイ悪用(CVE-2025-61932)
─ 管理サーバを奪取されると資産管理が踏み台化し得る点と、バックドア展開・AD偵察・外部サービスへの持ち出しを前提にした管理系サーバ防御/EDR/特権最小化 -
Active! mail/IIJ:ゼロデイ(CVE-2025-42599)で大規模流出
─ 未認証RCE(CVSS 9.8)で国内最大規模の影響が出得ること、流出アドレスを狙うフィッシング増加を踏まえた修正版ビルドへの即時更新とログ遡及調査 - WinRAR:CVE-2025-8088(RomCom配布)
─ ディレクトリトラバーサル→スタートアップフォルダ悪用でRCEに繋げる手口と、メール添付起点の標的型を想定した手動アップデート/不審ファイル監視 - 米政府機関への攻撃:SharePointゼロデイ悪用(ToolShell)
─ 複数CVE連鎖でWebシェル(spinstall0.aspx)設置、MachineKey窃取による永続化という侵入後の致命点と、パッチ・痕跡スキャン・鍵再生成・外部公開最小化 - 日鉄ソリューションズ:ゼロデイ攻撃による不正アクセス
─ 不審アクセス検知→隔離→調査の初動、漏えい可能性のある業務連絡情報、再構築・UEBA/EDR強化・当局報告など対応の要点 - SAP NetWeaver:ゼロデイ連携攻撃(CVE-2025-42999+31324)
─ 未認証ファイルアップロード+不安全デシリアライズの連鎖でWebシェル/攻撃ツール設置に至る構図と、SAP Note適用・Visual Composer無効化など攻撃面縮小の実務 - Fortinet FortiVoiceほか:CVE-2025-32756ゼロデイ悪用
─ 未認証RCEに加え、ログ消去・資格情報収集・マルウェア設置など侵害後行動を含めた観測と、暫定遮断(管理UI無効化)+アップグレード+IoC点検 -
共通リスクと横断対策のまとめ
─ 外部公開資産が最優先で狙われる現実、MSP/委託先管理領域の統制ギャップ、ゼロデイ対応の時間的猶予の消失を前提に、ASM/緊急パッチSLA(例:72時間以内)/WAF・CASB・EDR連携/バックアップ保護/ログ長期保全(最低1年)/サプライチェーン監査を効果順で整理。