December 16, 2025 – IoT OT Security News

LLM 時代のランサムウェア進化：AI 悪用による攻撃ライフサイクルの短縮など

LLM-Driven Automation: A New Catalyst for Ransomware and RaaS Ecosystems

2025/12/16 gbhackers — LLM のランサムウェア・エコシステムへの統合に関する包括的な評価を、SentinelLABS が発表した。現時点では、AI により戦術が根本的に変革された状況は確認されていないが、運用ライフサイクルは著しく加速していると、このレポートは結論付けている。この調査が示しているのは、測定可能なメトリクスである攻撃速度／攻撃量／多言語対応の向上が、低スキル攻撃者の参入障壁を引き下げると同時に、既存グループのワークフローを最適化することで、脅威環境を再形成している点である。

React2Shell を悪用する大規模な攻撃：KSwapDoor／ZnDoor などの Linux バックドアを拡散

React2Shell Vulnerability Actively Exploited to Deploy Linux Backdoors

2025/12/16 TheHackerNews — React2Shell (CVE-2025-55182 ) として知られるセキュリティ脆弱性を悪用する脅威アクターたちが、KSwapDoor／ZnDoor などのマルウェア・ファミリーを拡散していることを、Palo Alto Networks Unit 42 と NTT Security の調査結果が示している。Palo Alto Networks Unit 42 の Senior Manager of Threat Intel Research である Justin Moore は、「KSwapDoor は、ステルス性を念頭に設計された、リモート・アクセス・ツールである」と述べている。

ScreenConnect の脆弱性 CVE-2025-14265 が FIX：エクステンション検証の不備と情報漏洩

Critical ScreenConnect Vulnerability Let Attackers Expose Sensitive Configuration Data

2025/12/16 CyberSecurityNews — ConnectWise が公開したのは、ScreenConnect のセキュリティ・アップデートである。そこで修正された脆弱性 CVE-2025-14265 は、ScreenConnect サーバ・コンポーネントのみに影響するものであるが、悪用に成功した攻撃者は、機密情報／設定データを漏洩させ、信頼されていないエクステンションをインストールする可能性を得る。ただし、この脆弱性は、ホスト・クライアントおよびゲスト・クライアントには影響しない。脆弱性 CVE-2025-14265 は、エクステンションのインストール時における、コード整合性の不適切な検証に起因し、CWE-494 (整合性チェックなしのコード・ダウンロード) に分類される。

Red Hat OpenShift GitOps の脆弱性 CVE-2025-13888：ルートアクセス窃取の恐れ

OpenShift GitOps Vulnerability Allows Attackers to Escalate Privileges to Root

2025/12/16 gbhackers — Red Hat が公表したのは、OpenShift GitOps に存在する深刻なセキュリティ欠陥に関する情報である。この脆弱性 CVE-2025-13888 を悪用する認証済みのユーザーは、クラスターを完全に制御する可能性を得る。Red Hat は深刻度を Critical ではなく Important と評価しているが、名前空間の管理者を完全に信頼できない環境においては、技術的に深刻な影響を及ぼす。この脆弱性の悪用に成功した名前空間の管理者が、本来の範囲を超えて権限を昇格させ、システム全体へのルート・アクセスを取得する可能性がある。

Windows Admin Center の脆弱性 CVE-2025-64669：ローカル権限昇格の恐れ

Windows Admin Center Vulnerability (CVE-2025-64669) Let Attackers Escalate Privileges

2025/12/16 CyberSecurityNews — Windows Admin Center (WAC) バージョン 2.4.2.1 において、新たなローカル権限昇格の脆弱性 CVE-2025-64669 が発見された。この脆弱性が影響を及ぼす範囲は、WAC 2411 以下のバージョンを実行している全ての環境である。脆弱性 CVE-2025-64669 は、”WindowsAdminCenter” フォルダの不適切なアクセス権限に起因する (詳細なパスは後述)。このフォルダは、一般のユーザーによる書き込みが可能でありながら、昇格された権限で実行されるサービスで用いられるものだ。

FortiGate の深刻な脆弱性 CVE-2025-59718／59719：悪意の SAML によるSSO バイパスを確認

Critical FortiGate Devices SSO Vulnerabilities Actively Exploited in the Wild

2025/12/16 CyberSecurityNews — Fortinet が公開したのは、FortiGate アプライアンスおよび関連製品に存在する、深刻な認証バイパス脆弱性を狙った侵入活動が発生していることである。この脅威アクターは CVE-2025-59718／CVE-2025-59719 を悪用し、悪意の SAML メッセージを介して未認証の SSO (single sign-on) ログインを実行することで、攻撃者自身に対して管理者アクセスを許可している。2025年12月9日に Fortinet は、これらの脆弱性を PSIRT アドバイザリで公開している。その直後に Arctic Wolf は独自のセキュリティ情報を発表し、速やかなパッチ適用を促していた。