Medusaランサムウェアグループ「Storm-1175」がゼロデイ攻撃を多用——パッチより1週間早く悪用するその実態

「パッチより先に来る攻撃者」という現実

Microsoftが公開したレポートは、日本のIT現場にとっても他人事では済まされない内容だ。中国を拠点とする金銭目的のサイバー犯罪グループ「Storm-1175」が、Medusaランサムウェアを用いた高速攻撃を展開しており、一部のゼロデイ脆弱性をパッチ公開の1週間前から悪用していたことが確認されている。

「パッチを当てればいい」という発想が前提にしている「パッチが先に来る」という常識が、このグループには通用しない。防御側の想定を根本から見直す必要がある。

Storm-1175の攻撃手口——速さと多様性が武器

初期侵入から被害発生まで「最短24時間」

Microsoftによれば、Storm-1175は初期アクセスを確立してからデータ窃取・ランサムウェア展開まで、数日以内、場合によっては24時間以内に完了させる。この「高い作戦テンポ」が最大の特徴だ。

攻撃チェーンは以下のように進む：

• 初期アクセス: ゼロデイやNデイ（既知だが未パッチ）の脆弱性を悪用して境界設備に侵入
• 永続化: 新規ユーザーアカウントの作成、RMM（リモート監視管理）ソフトのインストール
• 横展開と情報収集: 資格情報の窃取、ネットワーク内部の探索
• 防御の無効化: セキュリティソフトを無効化
• 最終目的の達成: Medusaランサムウェアの投下とデータ流出

標的にされた製品リスト

2023年以降だけで、以下を含む10製品・16以上の脆弱性が悪用されている：

製品 CVE

Microsoft Exchange CVE-2023-21529

Ivanti Connect/Policy Secure CVE-2023-46805 / CVE-2024-21887

ConnectWise ScreenConnect CVE-2024-1709 / CVE-2024-1708

JetBrains TeamCity CVE-2024-27198 / CVE-2024-27199

SimpleHelp CVE-2024-57726 ほか

BeyondTrust CVE-2026-1731

SmarterMail CVE-2025-52691 / CVE-2026-23760

CrushFTP CVE-2025-31161

PaperCut CVE-2023-27350 / CVE-2023-27351

GoAnywhere MFT CVE-2025-10035

注目すべきは、Microsoft Exchangeも標的製品の一つだという点だ。日本企業でオンプレミスExchangeをまだ維持しているケースは少なくなく、特に注意が必要だ。

また、BeyondTrustやSimpleHelpなどの特権アクセス管理ツールやリモート監視ツールが攻撃対象になっていることは、皮肉な構図でもある。セキュリティや運用効率化のために入れたツールが、逆に侵入経路になりうる。

医療・教育・金融が重点標的

Microsoftは最近の侵害が「医療機関」に大きな影響を与えたと強調している。CISAもFBIと共同で、Medusaグループが米国内の300以上の重要インフラ組織に被害を与えたと警告している。業種を問わず、境界に露出した資産を持つ組織はすべてターゲットになりうる。

実務への影響——日本のエンジニア・IT管理者が今すぐやるべきこと

1. インターネット公開資産の「棚卸し」を今すぐやれ

Storm-1175が得意とするのは「露出した境界資産の特定」だ。攻撃者はスキャンツールで公開IPを継続的に探索しており、自組織の公開サービスが何かを把握していないことは致命的なリスクになる。Shodan的な視点で自分たちの外部からの見え方を確認する習慣をつけること。

2. RMMツールの利用実態を把握・監視する

Storm-1175はScreenConnect、SimpleHelp、BeyondTrustなどのRMM/特権管理ツールを悪用している。自組織で利用しているRMMツールの認証ログ・接続元IPを定期的に監視し、未承認の接続を検知できる体制を作ること。

3. パッチ適用は「速さ」より「確実性」——だがスピードも無視できない

ゼロデイ対応においてパッチ適用はもちろん重要だが、「パッチが来てから当てる」だけでは間に合わないケースが現実に存在する。WAFやIPS、マイクロセグメンテーションを組み合わせて、パッチ未適用期間のリスクを補完する多層防御が必要だ。

4. 「常時アクセス権」を見直せ——Just-In-Timeアクセスの導入

Storm-1175の攻撃チェーンは「資格情報の窃取→横展開」のパターンが典型的だ。特権アカウントに常時アクセス権を付与していると、一度侵入されたときの被害が爆発的に広がる。PIM（Privileged Identity Management）などを活用したJust-In-Timeアクセスの導入が、被害局所化に直結する。

5. ゼロトラストの前提でネットワークを設計する

「内側は安全」という境界防御モデルはこういった攻撃の前では意味をなさない。ネットワーク層・認証層・認可層の3層でそれぞれ独立した検証を行う構成が、被害の連鎖を止める。VPNだけに頼った境界防御からの脱却を、今こそ本気で検討すべきタイミングだ。

筆者の見解

このレポートが示しているのは、「攻撃者が防御側より早い」という構造的な非対称性だ。パッチ公開前から悪用するゼロデイ攻撃を前にして、「とりあえずパッチ当ててれば大丈夫」という旧来の考え方は完全に機能しなくなっている。

特に気になるのは、BeyondTrustやConnectWise ScreenConnectといったセキュリティ・運用ツールそのものが攻撃経路になっている点だ。「道具を持つこと」と「道具を安全に管理すること」は別の話であり、ツールを導入したら終わり、ではない。むしろツールが増えるほど攻撃面が広がるという逆説を、改めて認識する必要がある。

Microsoftがこのような分析レポートを積極的に公開しているのは評価したい。自社製品（Exchange）への攻撃が含まれていても隠さず開示している姿勢は、業界の透明性向上に貢献している。一方で、Exchangeのような長年使われ続けているオンプレミス製品における脆弱性が依然として悪用され続けている現実は、モダンなクラウドネイティブ構成への移行を遅らせているコスト・技術的負債の問題と表裏一体だ。移行を後押しするための現実的な支援をもっと強化してほしいというのが、率直な気持ちだ。

日本のIT現場では、オンプレミスとクラウドの「悪魔合体」的な混在環境が多い。こういった環境こそ、Storm-1175のような攻撃者に狙われやすい。「今動いているから大丈夫」という感覚が最も危険な油断だ。脅威インテリジェンスをもとに自組織の露出状況を継続的に把握し、Just-In-Timeアクセスとゼロトラスト原則を実践することが、現時点で最も堅実な対策だと考えている。

出典: この記事は Microsoft links Medusa ransomware affiliate to zero-day attacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。