今週のセキュリティニュース - 2025年4月25日

2025年4月18日、IPAは重要なセキュリティ情報として、スタックベースのバッファオーバーフローの脆弱性（CVE-2025-42599）を公開しました。

スタックベースのバッファオーバーフロー脆弱性とは、プログラムがスタックと呼ばれるメモリ領域にデータを書き込む際に、割り当てられた領域よりも多くのデータを書き込んでしまうことで発生するセキュリティ上の欠陥です。

IPAは、「本脆弱性を悪用された場合、遠隔の第三者によって細工されたリクエストを送信され、任意のコードを実行されたり、サービス運用妨害（DoS）状態を引き起こされたりする可能性があります。同脆弱性を悪用する攻撃がすでに確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、最新版にアップデートしてください。」と注意喚起を行っています。

2025年4月中旬、某私立大学がランサムウェアによるサイバー攻撃を受け、複数の拠点で学生が利用するシステム等が利用できなくなる被害が発生しました。

調査の結果、外部からの不正アクセスによるランサムウェア感染が原因と判明し、関連する全ての学校や複数の付属の病院などで、ネット接続の遮断や一部の授業を休講する措置が取られたとのことです。

また、警察も捜査を進めており、同法人はシステム復旧までの間は臨時サイトを公開し、復旧状況や新たな情報などを随時報告するとしています。

Rubrik Zero Labsが発表した報告書「The State of Data Security in 2025: A Distributed Crisis」によると、2024年にサイバー攻撃を受けたと回答したITおよびセキュリティ担当の幹部は全体の90%上りました。

主な攻撃手法はデータ漏洩（30%）、マルウェア感染（29%）、SaaSやクラウド関連の侵害（28%）などが挙げられました。

背景として、ハイブリッドクラウド環境やAI技術の導入拡大があり、90%の企業がハイブリッドクラウドを使用しています。その半数がクラウドを主要な業務環境としていますが、データ管理の複雑化が課題となっているとのことです。

米連邦捜査局（FBI）は、2024年に米国の重要インフラを標的としたランサムウェア攻撃の苦情が前年より9％増加したと発表しました。

FBIのインターネット犯罪苦情センター（IC3）に寄せられたランサムウェア関連の苦情のうち、約半数が重要インフラに関するもので、製造業、医療、政府機関、金融、IT分野が主な標的でした。

また2023年のサイバー犯罪による被害額は過去最高の166億ドルに達し、前年から33％の増加となりました。特に暗号通貨詐欺による被害は93億ドルと、2023年比で66％の大幅な増加が見られました。