Playランサムウェア、Windowsの共通ログファイルシステムにおける脆弱性をゼロデイ攻撃で悪用（CVE-2025-29824）

nosa

2025.05.08

5月8日：サイバーセキュリティ関連ニュース

Playランサムウェア、Windowsの共通ログファイルシステムにおける脆弱性をゼロデイ攻撃で悪用（CVE-2025-29824）

BleepingComputer – May 7, 2025

PlayランサムウェアグループがWindowsの共通ログファイルシステムに存在する深刻度の高い脆弱性（CVE-2025-29824）をゼロデイ攻撃で悪用し、SYSTEM権限を取得して侵入したシステムにマルウェアを展開していたようだ。

この脆弱性は限られた数の攻撃でのみ悪用されたと考えられており、マイクロソフトが4月の月例パッチで修正済み。同社が先月発表したところによると、米国の情報技術（IT）や不動産業界を始め、ベネズエラの金融業界、スペインのソフトウェア企業、サウジアラビアの小売業界などが標的にされている。

マイクロソフトは当初、これらの攻撃をRansomEXXランサムウェアグループと関連付け、その根拠としてPipeMagicバックドアがインストールされている点を挙げていたが、その後にシマンテックの脅威調査チームがPlayランサムウェア・アズ・ア・サービス（RaaS）攻撃に関連付ける証拠も発見。Playランサムウェア攻撃の背後に潜む攻撃者Balloonflyとの関連が指摘されるGrixbaインフォスティーラーの使用を突き止めたという。

Grixbaは2年前に初めて発見されたカスタムネットワークスキャン／情報窃取ツールで、Playランサムウェア（PlayCryptとも呼ばれる）のオペレーターは通常、侵害されたネットワーク内のユーザーとコンピューターを列挙するためにこれを使用している。また、Balloonflyは遅くとも2022年6月から活動しているサイバー犯罪グループで、Playランサムウェアを攻撃に使うことがわかっている。

Playランサムウェアグループは2022年6月に出現し、さまざまな業界の組織に対して二重恐喝攻撃を行ってきたことで知られている。2023年12月には米国のFBIとCISA、オーストラリアのサイバーセキュリティセンター（ACSC）から共同勧告が発表され、同グループが同年10月までに世界中で約300組織のネットワークに侵入したことが判明している。

欧州狙うDDoS攻撃が3月に88％増加、最大の標的はスペイン

Cybernews – 7 May 2025

Group-IBのレポートによると、ヨーロッパ諸国を狙った分散型サービス拒否（DDoS）攻撃やハクティビズム攻撃が3月に88％増加したという。

その大きな要因はスペインの数字で、3月には72件のDDoS攻撃が発生。これはわずか1件だった前月比で7,100％増となり、首相官邸のWebサイトやテクノロジー／防衛企業Indra、その他のWebサイトが主な標的になった。これに次ぐのは30件のフランス（前月比で131％増）で、さらにウクライナ（26件）とベルギー（11件）が続いている。

スペインへの攻撃には複数のグループが関与しており、 2024年10月に初めて出現したハクティビストグループMr.Hamzaは首相官邸Webサイトへの攻撃を実行したと発表。親ロシア派ハッカーグループTwoNetは、防衛・航空宇宙・テクノロジー企業のIndraを攻撃したと主張した。こうした攻撃の背後には政治的動機があるとみられ、ロシア政府と連携するハッカーグループNoName057(16)がウクライナ支援の報復としてスペイン政府を攻撃したケースもある。

一方、ランサムウェアの活動は横ばい状態のようで、3月にヨーロッパ全域で観測されたランサムウェアインシデントは前月比4％減の93件。また、企業アカウントの侵害検出数が最も多かったのはフランス、イタリア、スペインで、この3か国を合わせて前月比19％増となる約11万6,000件が報告されている。