JFK文書の機密解除がマルウェア拡散とフィッシングスキームに悪用される

nosa

2025.02.17

2月15〜17日：サイバーセキュリティ関連ニュース

JFK文書の機密解除がマルウェア拡散とフィッシングスキームに悪用される

HackRead – February 14, 2025

米国で機密解除されたジョン・F・ケネディ（JFK）元大統領、その実弟のロバート・F・ケネディ・ジュニア（RFK）元司法長官、マーティン・ルーサー・キング・ジュニア（MLK）牧師らの暗殺事件記録への関心の高さを利用し、マルウェア配布や偽サイト、脆弱性の悪用、フィッシングキャンペーンといった有害な活動が行われている可能性についてVeriti Researchが警告した。

Veriti Researchのレポートによると、これらのファイルに対するメディアの注目が高まるにつれ、有害活動に使われる可能性のあるオンラインインフラが急速に構築されているという。機密解除が発表された直後から、ケネディ元大統領の文書に関連する正規ソースを模倣した疑わしいドメインがいくつか登録されているようで、拡張子が異なる「thejfkfiles」と「rfkfiles」のバリエーションを含む以下のようなドメインが特定された（日付は登録日）。

hejfkfilescom（1月23日）
jfk-filescom（1月23日）
rfkfilescom（1月24日）
jfk-filesorg（1月25日）

登録のタイミングと命名規則から、Veriti Researchは各ドメインがフィッシングやマルウェア配信、ユーザー認証情報の窃取を目的としたソーシャルエンジニアリング攻撃に使用されている可能性が高いと指摘した。機密解除されたファイルにアクセスする際には、情報源を検証した上で、国立公文書館などの公式チャネルのみ利用するよう注意を呼びかけている。

パロアルト製ファイアウォールの脆弱性、公表翌日に悪用開始か（CVE-2025-0108）

SecurityWeek – February 14, 2025

パロアルトネットワークス製ファイアウォールに影響を与える認証バイパスの脆弱性（CVE-2025-0108）を悪用する試みは、この欠陥が公表された翌日から始まっているようだ。脅威インテリジェンス企業GreyNoiseが伝えている。

PAN-OSの脆弱性とされるこの欠陥は、認証されていない攻撃者がファイアウォールの管理インターフェースにアクセスし、特定のPHPスクリプトを実行できるようになるもの。サイバーセキュリティ企業Assetnoteが発見し、パロアルトネットワークスから12日にパッチと緩和策が発表されているが、GreyNoiseは翌13日には悪用試行が観測されたと報じた。GreyNoiseは14日朝までに、5件のユニークIPからエクスプロイトの試みが行われたことを確認している。

Assetnoteがパッチと緩和策のリリース直後にCVE-2025-0108の技術的詳細を公開したため、この脆弱性が武器化されやすくなった可能性もあるとみられていた。同社は11月に修正されたCVE-2024-9474およびCVE-2024-0012のパッチを検証する過程で、これらと同様の脆弱性クラスに属するCVE-2025-0108を発見したという。

パロアルトネットワークスのアドバイザリによると、CVE-2025-0108の悪用は依然として認識されておらず、この脆弱性は「深刻度が高い」ながらも緊急度は「中程度」と評価されている。