B
今週中
脅威アクターStorm-1175が、脆弱性の公開から24時間以内にMedusaランサムウェアを配備する極めて迅速な攻撃を展開しています
📌 一言でいうと
脅威アクターStorm-1175が、脆弱性の公開から24時間以内にMedusaランサムウェアを配備する極めて迅速な攻撃を展開しています。SAP NetWeaverやSmarterMailなどの境界資産の脆弱性を悪用し、短期間でデータの窃取と暗号化を完了させます。また、AnyDeskやRcloneなどの正規ツールを悪用して横展開やデータ転送を行い、ウイルス対策ソフトの除外設定を操作して検知を回避する傾向があります。
🏢影響範囲
英国、米国、オーストラリアの学校、法律事務所、病院などの組織。特にSAP NetWeaver、Papercut、JetBrains TeamCity、SmarterMailを利用している組織。
✅該当時の対応
1. 境界デバイスおよび公開サーバーのパッチ適用を最優先で実施し、公開から適用までの時間を最小限にすること。2. ウイルス対策ソフトの「改ざん防止(Tamper Protection)」機能を有効化すること。3. AnyDeskやConnectWiseなどのリモート管理ツールの利用制限と監視を強化すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Storm-1175によるMedusaランサムウェア攻撃への対応について
お疲れさまです。Storm-1175による極めて迅速な脆弱性悪用攻撃に関する情報共有です。
■ 概要
脅威アクターStorm-1175が、脆弱性公開後24時間以内にMedusaランサムウェアを配備する攻撃を展開しています。特に境界資産のN-day脆弱性を迅速に武器化し、短期間で全ネットワークの暗号化に至るケースが報告されています。
■ 影響範囲
- SAP NetWeaver (CVE-2025-31324)
- Papercut (CVE-2023-27351)
- JetBrains TeamCity (CVE-2024-27198)
- SmarterMail (CVE-2026-23760)
- その他、インターネットに公開されている脆弱な境界資産
■ 対応手順
1. 上記対象製品の最新パッチ適用状況を確認し、未適用の場合は即時アップデートを実施してください。
2. EDR/ウイルス対策ソフトの「改ざん防止」設定を有効にし、C:\ ドライブへの除外設定が不正に追加されていないか確認してください。
3. AnyDesk, ConnectWise ScreenConnect, Rclone等のツールが不審な通信を行っていないか監視を強化してください。
■ 参考情報
- Microsoft Threat Intelligence
対応優先度: 高
対応期限: 即時
お疲れさまです。Storm-1175による極めて迅速な脆弱性悪用攻撃に関する情報共有です。
■ 概要
脅威アクターStorm-1175が、脆弱性公開後24時間以内にMedusaランサムウェアを配備する攻撃を展開しています。特に境界資産のN-day脆弱性を迅速に武器化し、短期間で全ネットワークの暗号化に至るケースが報告されています。
■ 影響範囲
- SAP NetWeaver (CVE-2025-31324)
- Papercut (CVE-2023-27351)
- JetBrains TeamCity (CVE-2024-27198)
- SmarterMail (CVE-2026-23760)
- その他、インターネットに公開されている脆弱な境界資産
■ 対応手順
1. 上記対象製品の最新パッチ適用状況を確認し、未適用の場合は即時アップデートを実施してください。
2. EDR/ウイルス対策ソフトの「改ざん防止」設定を有効にし、C:\ ドライブへの除外設定が不正に追加されていないか確認してください。
3. AnyDesk, ConnectWise ScreenConnect, Rclone等のツールが不審な通信を行っていないか監視を強化してください。
■ 参考情報
- Microsoft Threat Intelligence
対応優先度: 高
対応期限: 即時
Subject: [Urgent] Response to Medusa Ransomware Deployment by Storm-1175
Dear Team,
This is a technical alert regarding the rapid exploitation activities of the threat actor Storm-1175.
■ Overview
Storm-1175 is deploying Medusa ransomware with unprecedented speed, often within 24 hours of a vulnerability being disclosed. They target edge assets to gain initial access and move quickly to data exfiltration and full-network encryption.
■ Affected Scope
- SAP NetWeaver (CVE-2025-31324)
- Papercut (CVE-2023-27351)
- JetBrains TeamCity (CVE-2024-27198)
- SmarterMail (CVE-2026-23760)
- Other internet-facing edge assets with known vulnerabilities
■ Mitigation Steps
1. Immediately audit and apply patches for the aforementioned software and all edge-facing systems.
2. Enable 'Tamper Protection' on antivirus/EDR solutions and audit exclusion lists for unauthorized additions to the C:\ drive.
3. Monitor for unauthorized use of remote management and data transfer tools such as AnyDesk, ConnectWise ScreenConnect, and Rclone.
■ Reference
- Microsoft Threat Intelligence
Priority: High
Deadline: Immediate
Dear Team,
This is a technical alert regarding the rapid exploitation activities of the threat actor Storm-1175.
■ Overview
Storm-1175 is deploying Medusa ransomware with unprecedented speed, often within 24 hours of a vulnerability being disclosed. They target edge assets to gain initial access and move quickly to data exfiltration and full-network encryption.
■ Affected Scope
- SAP NetWeaver (CVE-2025-31324)
- Papercut (CVE-2023-27351)
- JetBrains TeamCity (CVE-2024-27198)
- SmarterMail (CVE-2026-23760)
- Other internet-facing edge assets with known vulnerabilities
■ Mitigation Steps
1. Immediately audit and apply patches for the aforementioned software and all edge-facing systems.
2. Enable 'Tamper Protection' on antivirus/EDR solutions and audit exclusion lists for unauthorized additions to the C:\ drive.
3. Monitor for unauthorized use of remote management and data transfer tools such as AnyDesk, ConnectWise ScreenConnect, and Rclone.
■ Reference
- Microsoft Threat Intelligence
Priority: High
Deadline: Immediate