Microsoftは、Storm-1175と呼ばれる中国拠点とされる攻撃者が、ゼロデイと既知脆弱性を組み合わせて公開資産へ高速侵入し、短期間でデータ窃取からMedusaランサムウェア展開まで進めていると報告しました。とくに医療、教育、金融、プロフェッショナルサービス分野で影響が大きく、境界に公開されたシステムの管理不備が重大な侵入口になっている点が注目されます。
The Hacker News:China-Linked Storm-1175 Exploits Zero-Days to Rapidly Deploy Medusa Ransomware
この記事のポイント
影響のあるシステム
- インターネットに公開されたWeb-facing資産
- Microsoft Exchange Server(CVE-2023-21529)
- PaperCut(CVE-2023-27351、CVE-2023-27350)
- Ivanti Connect Secure / Policy Secure(CVE-2023-46805、CVE-2024-21887)
- ConnectWise ScreenConnect(CVE-2024-1708、CVE-2024-1709)
- JetBrains TeamCity(CVE-2024-27198、CVE-2024-27199)
- SimpleHelp(CVE-2024-57726、CVE-2024-57727、CVE-2024-57728)
- CrushFTP(CVE-2025-31161)
- Fortra GoAnywhere MFT(CVE-2025-10035)
- SmarterTools SmarterMail(CVE-2025-52691、CVE-2026-23760)
- BeyondTrust(CVE-2026-1731)
- 脆弱なOracle WebLogicインスタンスを含むLinux環境
推奨される対策
- 公開中の境界資産を棚卸しし、対象製品の修正適用状況を緊急確認する
- ゼロデイだけでなく、公開直後のN-day脆弱性にも即応できる運用体制を整える
- RMMツールやWebシェルの不審な設置、新規ユーザー作成、横展開の兆候を重点監視する
- PowerShell、PsExec、Impacket、Mimikatz、PDQ Deployなどの利用状況を検証する
- Microsoft Defenderの除外設定変更やWindows Firewall変更、RDP有効化を監査する
- BandizipやRcloneによる不審な収集・外部送信の有無を確認する
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- ゼロデイ:公表前、または公表と同時期に修正や防御が十分行き渡っていない脆弱性です。
- N-day:すでに公表済みだが、まだ多くの環境で未修正のまま残っている脆弱性です。
- RMM:Remote Monitoring and Managementの略で、遠隔保守や運用管理に使われる正規ツールです。攻撃者に悪用されることがあります。
- Webシェル:Webサーバー上に設置される不正な遠隔操作用スクリプトです。
- LOLBins:Living-off-the-Land Binariesの略で、OSに元からある正規ツールを攻撃に流用する手法です。
- Medusaランサムウェア:侵入後にデータ窃取と暗号化を組み合わせて脅迫を行うランサムウェアとして知られています。
Storm-1175の脅威は「侵入できる資産をすぐ探し、すぐ使う」速度にあります
今回の報告で目立つのは、Storm-1175が単に多くの脆弱性を知っているだけでなく、公開された境界資産を見つけて短時間で侵入につなげる運用速度です。Microsoftは、この攻撃者がゼロデイとN-day脆弱性の両方を使い分け、インターネットに公開されたシステムへ侵入した後、数日以内、場合によっては24時間以内にデータ持ち出しからMedusaランサムウェア展開まで進めると説明しています。狙われた分野としては、オーストラリア、英国、米国の医療、教育、プロフェッショナルサービス、金融が挙げられており、とくに医療機関への影響が大きかったとされています。ここで重要なのは、攻撃の成功要因が高度なマルウェアだけではなく、外部公開された資産の把握と、修正の遅れが生む短い空白期間を正確に突いている点です。公開直後の脆弱性情報をきっかけに一気に侵入されるため、従来の定期パッチ運用だけでは追いつかない可能性があります。
侵入後は認証情報の奪取、横展開、防御機能の弱体化を急速に進める流れです
記事によれば、Storm-1175は初期侵入後に新しいユーザーアカウントを作成し、Webシェルや正規のRMMソフトを設置して持続性を確保しながら、認証情報の窃取と横展開を進めるとされています。さらに、ランサムウェア投下前にはセキュリティ製品の正常動作を妨害する行動も取ると報告されています。観測された具体的な手口としては、PowerShellやPsExecなどのLOLBins、Impacketによる横展開、PDQ Deployerによるペイロード配送、Windows Firewallポリシー変更によるRDP有効化、ImpacketとMimikatzによる認証情報ダンプ、Microsoft Defender Antivirusの除外設定追加、Bandizipによるデータ収集、Rcloneによる外部送信が挙げられています。これらは特別に目新しい専用ツールばかりではなく、管理用途にも見える正規ツールや既知の攻撃者向けツールが混在している点が厄介です。防御側から見ると、単独の不正ファイル検知だけでなく、設定変更、管理ツール利用、認証情報アクセス、外部送信までを連続した挙動として捉える必要があります。
注目すべきは、ゼロデイだけでなく「修正待ち・未適用」の期間が主戦場になっていることです
Storm-1175は2023年以降、16件を超える脆弱性悪用に関与したとされ、対象製品はExchange、PaperCut、Ivanti、ScreenConnect、TeamCity、SimpleHelp、CrushFTP、GoAnywhere MFT、SmarterMail、BeyondTrustなど広範囲に及びます。記事では、CVE-2025-10035とCVE-2026-23760が、公表前にゼロデイとして悪用されたと説明されています。一方で、Microsoftが強調しているのは、公開済みの脆弱性についても、開示から修正適用までの短い隙を素早く突く点です。つまり、組織側が「ゼロデイでなければ少し余裕がある」と考えてしまうと危険だということです。また、2024年後半以降はLinux環境も標的になっており、複数組織のOracle WebLogicインスタンスが狙われたとされていますが、その際に使われた脆弱性自体は未特定のままです。日本企業でも、特定ベンダー製品だけに注目するのではなく、公開中のWeb資産全体を対象に、開示直後の脆弱性を短時間で評価・隔離・修正できる体制が問われます。
国内組織が直ちに確認すべきなのは、公開資産、RMM運用、そして防御設定変更の痕跡です
今回の報告から日本の組織が実務的に学べるのは、初期侵入の防止だけでなく、その後の数時間から数日の挙動を可視化することの重要性です。まず確認したいのは、外部公開中のExchange、Ivanti、ScreenConnect、TeamCity、GoAnywhere、SmarterMail、BeyondTrustなどが残っていないか、そして修正適用が遅れていないかです。そのうえで、AnyDesk、Atera、MeshAgent、ConnectWise ScreenConnect、SimpleHelpのようなRMMが正規用途を超えて使われていないかも見直す必要があります。記事では、こうしたRMMが暗号化された信頼済み通信に紛れやすく、検知を難しくする「二重用途の基盤」になっている点が示されています。加えて、Defender除外、Firewall変更、RDP有効化、新規アカウント作成、BandizipやRclone実行などは、ランサムウェア投下前の重要なシグナルになり得ます。侵入を完全に防げない前提に立つなら、こうした変化をどれだけ早く拾えるかが被害規模を左右します。
