米CISA、VMware ESXiの脆弱性がランサムウェア攻撃に悪用されていると警告（CVE-2025-22225）

米CISA、VMware ESXiの脆弱性がランサムウェア攻撃に悪用されていると警告（CVE-2025-22225）

BleepingComputer – February 4, 2026

米サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は4日、VMware ESXiに存在する深刻度の高い脆弱性（CVE-2025-22225）がランサムウェアグループによって悪用され始めていると警告した。ただし、現在進行中の攻撃については詳細を明らかにしていない。

このバグはESXiにおける任意ファイル書き込みの脆弱性と説明され、管理者またはroot権限を持つ攻撃者にサンドボックス回避を許すという。2025年3月に半導体大手のBroadcomがCVE-2025-22226（メモリリークの脆弱性）やCVE-2025-22224（TOCTOU脆弱性）と共に修正し、悪用が確認されたゼロデイ脆弱性に分類。VMware ESX各製品（VMware ESXi、Fusion、Cloud Foundation、vSphere、Workstation、Telco Cloud Platformなど）に影響を与えると発表していた。

また、CISAも同時期にCVE-2025-22225をKEV（悪用が確認された脆弱性）カタログに追加しており、拘束力のある運用指令（BOD）22-01で義務付けているように、米連邦政府機関に対して2025年3月25日までにシステムのセキュリティを確保するよう命じている。

上記3件の脆弱性はいずれも過去のゼロデイ攻撃に利用されており、サイバーセキュリティ企業Huntressから先月発表されたレポートによると、中国語を話す脅威アクターが遅くとも2024年2月以降に悪用し始めたようだ。VMware製品は機微性の高い企業データが保存されるエンタープライズシステムに広く導入されているため、ランサムウェアグループや国家支援型ハッカーに脆弱性を狙われることが多い。

中国系ハッカーグループのMustang Panda、偽の外交ブリーフィングで政府関係者をスパイ

HackRead – February 4, 2026

イスラエルのセキュリティ企業Dream Securityの研究者チームにより、中国系ハッカーグループ「Mustang Panda」（別名HoneyMyte）が米国政府や国際機関の関係者に扮し、偽造文書を用いて高官層に監視ツールをインストールさせていたことがわかった。

Hackread(.)comが独占的に入手したとされる詳細によると、2025年12月下旬から2026年1月中旬にかけて政府関係者や外交官を狙った標的型攻撃が行われたとのこと。この攻撃ではソフトウェアの脆弱性が悪用されず、偽メールという単純な手口で信頼を逆手に取ったようだ。被害者には一般的な外交文書に見せかけたEメールが送信され、件名にも政策の最新情報や内部ブリーフィングに関する文言が並んでいたとされる。これらの文書は米国が高官級会合後に共有する公式なサマリーを装ったもので、信頼できるものに見えるため、アジアや東ヨーロッパの当局者は疑うことなく開封したという。

実行犯として名前が挙がっているのは、中国との関連が疑われるMustang Pandaだ。2012年から活動している同グループは、このキャンペーンで監視ツール「PlugX」を、具体的には「DOPLUGS」と呼ばれるダウンローダー版を使用していた模様。このツールは密かなデータ収集を目的とし、侵入後にPowerShell（Windows の強力なバックグラウンドツール）を使い、より危険なツールをデバイスに送り込むと説明されている。

また、標準的なセキュリティチェックを逃れるために独自の暗号化ルーチンが使われたほか、DLL検索順序ハイジャックと呼ばれる手法で有害ファイルを読み込ませていたこともわかっている。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

【最新版】インテリジェンス要件定義に関するガイドブック

地政学レポート

OSINT関連レポート

ディープ＆ダークウェブレポート