製造業や流通業は要注意 老舗サイバー犯罪グループがゼロデイ脆弱性を悪用中：Cybersecurity Dive

2013年から活動しているサイバー犯罪組織「XE Group」は、クレジットカードスキミングといった犯罪で知られていたが、昨今はゼロデイ脆弱性を悪用し、製造業や流通業に攻撃を仕掛けているという。

[Rob Wright，Cybersecurity Dive]

　サイバーセキュリティ事業を営むIntezerとSolis Securityの研究者は、「XE Group」と呼ばれるサイバー犯罪組織があるゼロデイ脆弱（ぜいじゃく）性を攻撃に悪用しているという。このグループは2013年に初めて確認され、これまでクレジットカードのスキミングやパスワードの窃取を目的としたマルウェアに注力していた。

製造業や流通業を狙うサイバー犯罪グループが、ゼロデイ脆弱性を悪用

　研究者は、Advantiveが提供する倉庫管理ソフトウェアプラットフォーム「VeraCore」のゼロデイ脆弱性に対する2つの積極的な攻撃を発見した。XE Groupは、2020年にはVeraCoreの脆弱性を利用し、製造業および流通業のサプライチェーンを侵害していた。

　VeraCoreのゼロデイ脆弱性には、共通脆弱性評価システム（CVSS）におけるスコア9.9のアップロード検証の欠陥である重大な脆弱性「CVE-2024-57968」と（注1）、CVSSのスコア5.8のSQLインジェクションに関連する中程度の深刻度を持つ脆弱性「CVE-2025-25181」が含まれている（注2）。IntezerとSolisが共同で発表したブログ記事によると（注3）、XE Groupによる攻撃が2024年11月5日（現地時間、以下同）に確認された後に、これらの脆弱性が発見されたという。

　報告によると、攻撃者は倉庫管理システム「VeraCore」のソフトウェアをホストしている「Microsoft Internet Information Services」（IIS）のサーバを侵害した。さらにこのインシデントを分析した結果、当時は未発見だったSQLインジェクションのゼロデイ脆弱性を悪用する形で、IISのサーバが2020年1月に最初に侵害されていたことが判明した。

　XE GroupはカスタマイズされたWebShellを展開していた。研究者によると、これらは被害環境への持続的なアクセスを維持するだけでなく、SQLクエリの実行も可能な「非常に汎用性の高い」ツールであるという。侵害されたIISのサーバにおいて、XE Groupは4年前に設置したWebShellを再利用していた。

　サイバーセキュリティベンダーは、XE Groupが製造業や流通業のサプライチェーンを標的にしていると警告している。XE Groupはこれまで大規模なクレジットカードスキミングの活動で知られていたが、研究者によると、このグループは攻撃能力を強化しているという。

　ブログ記事では、次のように述べられている。

　「XE Groupがクレジットカードスキミングからゼロデイ脆弱性の悪用へと手法を進化させたことは、同グループの適応能力の高さと巧妙さを強調している。初期の設置から数年後にWebShellを再活性化させるなど、システムへの持続的なアクセスを維持できる能力は、長期的な目的に対する同グループの執着を浮き彫りにしている」

　研究者によると、Advantiveは「CVE-2024-57968」に対する一時的な修正をリリースし（注4）、VeraCoreのアップロード機能を削除した。しかし、「CVE-2025-25181」が修正済みかどうかは不明だ。

　「Cybersecurity Dive」による問い合わせに対し、Advantiveの広報担当者は次のような声明を発表した。

　「現時点では、VeraCoreのソフトウェアに対する積極的な脅威は確認されていない。当社は不正アクセスを防ぎ、最高水準のサイバーセキュリティを確保するために、セキュリティ対策を継続的に評価および強化している」

（注1）CVE-2024-57968 Detail（NIST）
（注2）CVE-2025-25181 Detail（NIST）
（注3）XE Group: From Credit Card Skimming to Exploiting Zero-Days（INTEZER）
（注4）CVE-2024-57968 Detail（NIST）

原文へのリンク