北朝鮮のLazarusグループ、攻撃にMedusaランサムウェアを使用

Lazarusグループ、中東・米国の医療機関に対する攻撃でMedusaランサムウェアを使用

The Hacker News – Feb 24, 2026

Broadcom傘下のシマンテックとCarbon Black Threat Hunter Teamの新たなレポートにより、北朝鮮との関連を疑われるLazarusグループ（別名Diamond Sleet、Pompilus）が攻撃でMedusaランサムウェアを使っていることが判明した。

Medusaはサイバー犯罪グループSpearwingが2023年に立ち上げたRaaS（ランサムウェア・アズ・ア・サービス）オペレーションで、これまで366件以上の攻撃に関与したと主張している。

シマンテックは、中東地域のある組織を狙った攻撃においてLazarusとみられる脅威アクターがMedusaを使用していた証拠を発見。その後、同じアクターが米国の医療機関に対しても攻撃を仕掛け、失敗に終わっていたことも確認したという。

同社がMedusaランサムウェアのリークサイトを分析した結果、2025年11月初旬以降に米国の4つの医療機関が狙われていたことが判明。被害者にはメンタルヘルス部門の非営利団体や自閉症児向け教育施設などが含まれ、すべての攻撃が北朝鮮工作員によるものなのか、あるいは一部にMedusaのアフィリエイトが関わっているのかどうかはわかっていない。身代金の平均要求額は26万米ドルと報告されている。

北朝鮮のハッカーグループがランサムウェアを使った事例は過去にも観測されており、2021年にはLazarusのサブクラスターAndariel（別名Stonefly）がSHATTEREDGLASS、Maui、H0lyGh0stといった特注ランサムウェアファミリーで韓国・日本・米国の複数組織を攻撃。同グループはまた、2024年10月にもPlayランサムウェアを使った攻撃に関与した可能性が報じられている。

関連記事：北朝鮮ハッカーMoonstone SleetがQilinランサムウェアのペイロードを展開するように：マイクロソフトが報告

VMware Aria Operationsの脆弱性でリモートコード実行を許す恐れ（CVE-2026-22719、CVE-2026-22720他）

SecurityWeek – February 24, 2026

Broadcomは24日、VMware Aria Operationsの脆弱性3件に対処するパッチをリリースした。

これらの脆弱性で特に注意が必要なのは、CVSSスコアで8.1と評価されたCVE-2026-22719。これは認証不要のコマンドインジェクションの脆弱性とされ、サポート支援での製品移行中にVMware Aria Operationsでリモートコード実行を許す恐れがあるという。

次に深刻度が高いCVE-2026-22720（CVSS 8.0）は、保存型クロスサイトスクリプティング（XSS）の脆弱性と説明された。この欠陥を悪用すると、権限を持つ攻撃者がカスタムベンチマークを作成できるようになり、スクリプトの挿入と管理操作の実行が可能になるようだ。

残り1件はCVE-2026-22721で、深刻度評価は中程度の6.2。これは権限昇格の脆弱性とされ、管理者権限の取得に悪用される可能性がある。これらのバグが実際に悪用されているかどうか、Broadcomのアドバイザリには何も記されていない。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

【最新版】インテリジェンス要件定義に関するガイドブック

地政学レポート

OSINT関連レポート

ディープ＆ダークウェブレポート