セキュリティブリーフィング:2025 年 11 月

本文の内容は、2025年12月1日に Crystal Morin が投稿したブログ(https://www.sysdig.com/blog/security-briefing-november-2025)を元に日本語に翻訳・再構成した内容となっております。

‍

振り返って先を見据えて

11月は回想の月です——これまでの11か月を振り返り、これから起こることを見据えてこれまでに成し遂げてきたことを振り返る時期です。今月私たちは、「新しい」脅威が必ずしも新規とは限らないことを思い知らされます。脅威アクターは決して革新をやめることがなく、過去から蘇り再利用された形で現れることもあるのです。

11 月 5 日:3 つのコンテナエスケープ脆弱性

• CVE-2025-3113、CVE-2025-52565、CVE-2025-52881は、DockerやKubernetesなどの多くのプラットフォームで使用されているコンテナランタイムであるruncに影響を与えます。
• これらの脆弱性が悪用された場合、コンテナの分離をバイパスした後、ホストシステムへのルートアクセスが可能になります。
• runcの既知のバージョンはすべて2つの脆弱性の影響を受けるため、組織は直ちに更新することをお勧めします。
• Sysdigの対応: 11月6日には、すぐにアップデートできない場合の推奨される緩和策、そして Sysdig Secure の顧客および Falco ユーザー向けの検出方法を含む詳細なブログが公開されました。また、脅威に関する速報も顧客にメールで送信されました。

11 月 20 日:Linux カーネルの悪用 CVE-2024-1086

• Linuxカーネルに10年以上前から存在していた脆弱性が2024年1月に発見され、翌月にパッチが適用されました。
• 2025年10月31日、CISAはこの脆弱性がランサムウェアキャンペーンで積極的に悪用されていることを確認しました。
• この脆弱性により、攻撃者に完全な管理者権限を与えるroot権限が与えられ、セキュリティツールを無効にして他のシステムを侵害することが可能になります。
• 組織は、Linuxインフラストラクチャーへのパッチの適用を優先することが推奨されます。ただし、まだ公開されている可能性があるレガシーシステムやほとんど使用されないシステムを慎重にチェックしてください。
• Sysdigの対応: 私たちは、CVE-2024-1086 の技術分析を公開し、Sysdig Secure の顧客向けに検知ルールをリリースしました。

11月24日:Shai-Huludワームが帰ってきた

• Shai-Hulud は、9月15日に初めて出現したワーム（自己増殖型マルウェア）で、約200のパッケージに感染し、被害者のデータを GitHub 上に公開しました。
• このワームの改変版により、すぐに1,000近くのパッケージが侵害され、11月末にはGitHubで数万件の認証情報が漏洩しました。
• 組織は、侵害されたパッケージを直ちに取り除いてクリーンなバージョンに置き換え、NPM キャッシュをクリアし、認証情報をローテーションすることが推奨されます。さらに、新しく作成されたリポジトリや、ワークフローおよびコミット履歴への不正な変更を探索するために、脅威ハンティングを実施する必要があります。
• Sysdigの対応:同日に公開ブログと脅威速報がリリースされ、Sysdig Secure の顧客向けに、ワームの両バージョンに対する検知が提供されました。

その他の教育リソース

サイバーセキュリティコミュニティが最も得意としていることがあるとすれば、それは「絶え間ない改善」です。Sysdig 脅威リサーチチーム（TRT）は、すべての人にとってより安全な世界を実現するという理念に取り組み、協力を奨励しています。11月13日には、「リバースシェルのハンティング：Sysdig 脅威リサーチチーム はどのようにより賢い検知ルールを構築するのか」という新しい教育ブログを公開しました。このブログでは、Sysdig の脅威リサーチの一端を紹介し、業界の他者が検出能力を向上させるための新たな検知ルールを作成しています。攻撃者に一般的に利用される3種類のリバースシェルを例に、読者は正確で適応性のあるルールをどのように継続的に進化させていくかを学ぶことができます。

‍

ニュースでも

• 金融セクターのサプライチェーン侵害: 不動産金融会社 SitusAMC は、侵害が確認されてから10日後の11月22日に重大インシデントを公表しました。モルガン・スタンレー、JPモルガン・チェース、シティなどの大手金融機関には、不動産ローンおよび住宅ローン関連のデータが盗まれたことが通知されています。調査は本格的に進行中で、被害の全容はまだ明らかになっていません。
• 3,370万アカウントの個人情報が盗まれた: 韓国最大のオンライン小売業者 Coupang は、11月30日に不正なデータアクセスが発生したことを発表しました。このアクセスは6月末に始まったとみられ、11月18日に発見されました。韓国政府は、一部の情報源が示唆している内部関係者による脅威の可能性について調査を進めています。
• Microsoft のゼロデイが Patch Tuesday に公開：CVE-2025-62215 の CVSS スコアは悪用の複雑性から低いものの、この Windows カーネルの脆弱性は実際に悪用されており、直ちにパッチを適用する必要があります。レースコンディションに勝つことで、攻撃者はローカル権限を昇格させる可能性があります。
• Cyber Security and Resilience（CS&R）法案：11月12日に英国議会に提出されたこの法案は、2018年の既存の NIS 規則を拡張・現代化するものです。EU の NIS2 指令に類似しており、より広範な組織に対して強力なサイバーセキュリティ要件を課すことを目的としています。

‍

締めくくり

年末に向かう中で、セキュリティには休暇がないことが改めて明らかになっています。ここで取り上げた内容以外にも、11月には複数の侵害が発生し、ボットネットローダーやインフォスティーラーの急増も見られました。私たちのセキュリティコミュニティが持つレジリエンスと警戒心に、感謝の気持ちを持つ時間を取りましょう——毎日守ることを選んでいる人々に。

Sysdig は、私たち全体の取り組みがこれほど強い力を発揮できることに感謝しています。古い脅威が残り続ける一方で、ためらわずにインシデントへ飛び込むチームメイト、知見をオープンに公開するリサーチャー、そして夜通しパッチを当てるエンジニアもまた存在し続けています。この勢いを新しい年に持ち越していきましょう。

来月のまとめを待つ必要はありません！新たな脅威を先取りするために、Sysdig 脅威リサーチチーム からの最新のインサイトを常にチェックしてください。