2025Q1 サイバー攻撃関連

ここでは実際に2025Q1に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

マルウェア・ランサムウェアに関する記事もこちらに統合しました（ランサムウェア攻撃という様に、最近では不可分になってきたため）

2024Q4 サイバー攻撃関連2024Q4はこちら
2024Q2 サイバー攻撃関連2024Q3はこちら

2024Q2 サイバー攻撃関連2024Q2はこちら

2024Q1サイバー攻撃関連トピックはこちら

2023Q4サイバー攻撃関連トピックはこちら

2024Q2 マルウェア・ランサムウェア(Malware/Ransomware) 情報

2024Q1 マルウェア・ランサムウェア(Malware/Ransomware) 情報はこちら

2023Q3 マルウェア・ランサムウェア情報はこちら

脅威動向に関する情報はこちら（外部サイト）もご参照下さい

2025/03/07

米国司法省・シークレットサービス・FBI・Europolの共同捜査でロシアの暗号資産交換所「Garantex」の差し押さえ

• Europolの記事はこちら
• ロシアに対する制裁（16番目）として、Garantexを差し押さえた模様です。

AkraランサムウェアグループがWebカメラbotネットを用いてEDRを迂回

• S-RMの記事より
• Akiraランサムウェアグループが標的を攻撃する際に、標的と同じネットワークにあるWebカメラを使用することでEDRを迂回する行動に出ていることがわかりました。
• 面白い記事ですので、あとで紹介したいと思います。

2025/03/06

BianLianに「なりすました」脅迫が見つかる

• GUIDEPOINT Securityの調査報告より
• Bianlian Ransomware Groupになりすまして企業ITネットワークを侵害・機密データを盗み出しビットコインを支払うように脅迫文を送っている攻撃者がいるようです。BianLian Ransomware Groupのノートを模倣してメールを出しているようです。身代金の要求は250,000ドルから350,000ドルの範囲の範囲であることが観察されています。
• GUIDEPOINT Securityの調査によるとBianLianランサムウェアグループとは相違があるとのことで、「強い確信で別グループ」としています。
  

2025/03/05

TATAテクノロジーへの侵害についてHunters Internationalランサムウェアグループが攻撃を主張

• bleepingcomputerより
• 1月のTATAへの攻撃に関して、Hunters Internationalランサムウェアグループが攻撃を主張しています。

Rublik Inc.(クラウドセキュリティ企業）がログサーバの侵害により認証キーを変更

• bleepingcomputerより
• Rubrikは先月、ログサーバーの1つが侵害されたため、リークした可能性がある認証キーをRotationしたと明らかにしました
• Rubrikは、データ保護、バックアップ、回復を専門とするサイバーセキュリティ会社であり、22を超えるグローバルオフィスに3,000人以上の従業員がいます。同社には、AMD、Adobe、Pepsico、Home Depot、Allstate、Sephora、GSK、Honda、Harvard University、Trellixなどの有名な企業など、世界中に6,000人以上の顧客がいます。

2025/03/03

DeepSeekのトレーニングデータに12,000の「生きている」APIキー・パスワードが使用されている

• Truffle Securityのブログより
• Truffle SecurityがDeepSeekのようなLLMをトレーニングするために使用される大規模なデータセット「Common Crawl」を調査したところ、12,000のハードコーディングされたライブAPIキーとパスワードを見つけた模様です。

QilinランサムウェアグループがアメリカのLee Enterpriseを攻撃

• bleepingcomputerより
• Qilinランサムウェアグループが2/3のLee Enterpriseへの攻撃を主張しています。Lee Enterprisesは、77以上の毎日の新聞、350の出版物、デジタルメディアプラットフォーム、マーケティングサービスを所有および運営している米国に拠点を置くメディア企業です。

2025/02/28

EncryptHub(LARVA-208)の情報公開

• Catalystのブログより
• スピアフィッシング攻撃を行う脅威アクター、Larva-208に関する情報がまとまっています。

2025/02/26

Orangeグループがサイバー攻撃を認める

• bleepingcomputerより
• フランスの大手通信事業者およびデジタルサービスプロバイダーであるOrange Groupのシステムが脅威アクターに攻撃され、従業員データを使用して数千の内部ドキュメントが盗まれました。

2025/02/25

ボットネットによるM365への大量のパスワードスプレー攻撃

• SecurityScorecardより
• SecurityScoreCardのレポートによると、攻撃者はInfostealerマルウェアによって盗まれたCredentialを使用して、大規模にアカウントをターゲットにしている模様です。中国の脅威アクターにも結び付けられているようです。

OpenAIが中国のアカウントをBanした模様

• OpenAIのPDFより
• OpenAIが中国のアカウントをBanした模様です。後で目を通すために備忘録的に保存しておきます。

2025/02/20

CISA＋FBIが「Ghost」ランサムウェアグループに関するアドバイザリ

• CISAの記事より
• #StopRansomwareはこちら
• CISA+FBI+MS-ISACがGhostランサムウェアグループに関するアドバイザリを出しています。
• こちらは別の記事でまとめる予定です。

2025/02/19

SystemBCがLinuxを標的に

• Polyswarmより
• SystemBCというRAT(Remote Access Trojan)がWindowsに加えてLinuxも標的にし始めたとのレポートです。
• SystemBCは、過去に有名なランサムウェアグループで使用されており、脅威アクターがランサムウェアペイロードを実行する前に被害者ネットワークへのアクセスを維持するために使用しています。また、IAB（初期アクセスブローカー）も使用しているとのことで、注意が必要です。

2025/02/13

新しいランサムウェアグループ「Sarcoma」が台湾のUnimicronを標的に

• bleepingcomputerより
• 「Sarcoma」という名前の比較的新しいランサムウェアグループが台湾のUnimicron印刷回路板（PCB）メーカーに対して377GBのファイル・文書を持っていると主張し脅迫を行っている模様です。

Youtubeでマスク化されているメールアドレスが見えるというAPIの脆弱性が発覚。すでに修正済み

• こちらのサイトに情報が載っています。

2025/02/12

Evasive PandaがNetwork DeviceにSSHバックドアを使用。Fortinetも警告

• PolySwarmのブログより
• Evasive Panda(中国が背後におりBronze HighlandおよびDaggerflyとしても知られている)という脅威アクターが、SSHバックドアを使用してネットワークデバイスをターゲットにしたことが観察されました。 Elf/sshdinjector.a！trとして検出されたバックドアは、ネットワークアプライアンスでSSH Daemonをハイジャックするために使用されます。
• Fortinetの記事はこちらになります。

2025/02/11

8baseが摘発された模様

• bleepingcomputerより
• Phobosランサムウェアグループ摘発のために世界の法執行機関で連携が行われ、タイのプーケットで4人のハッカーが逮捕され、8BaseのダークWebサイトが差し押さえられた模様です。
• こちらは別の記事でまとめます。

2025/02/07

ASP.NETに公開されているASP.NETマシンキーを使用したコードインジェクション攻撃（ViewStateコードインジェクション攻撃）が観測される

• Microsoftのサイトより
• ViewStateは、ASP.NET Webがページを保持し、ポストバック間の状態を制御する方法です。 ViewStateデータは、ページ上の隠されたフィールドに保存され、Base64-Encodingを使用してエンコードされています。改ざんや保護のためにDecryptionKeyを使用しています。
• このDecryptionKeyが盗まれた場合、脅威アクターが盗まれたキーを使用して悪意のあるビューステートを作成し 、投稿リクエストを介してウェブサイトに送信することが可能です。
• Microsoftは、このタイプの攻撃に使用できる3,000を超える公開されたキーを特定しているそうです。複数のコードリポジトリで公開されている模様です。
• 詳しくはMicrosoftのページを見てください。

2025/02/04

DeepSeek のPyPIパッケージで悪意のあるものが出回っているっぽい

• https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/malicious-packages-deepseeek-and-deepseekai-published-in-python-package-index
• DeepSeekのPyPIパッケージ(deepseek / deepseek ai )で、悪意のあるもの（環境変数を盗むもの）が出回っている模様です。環境変数にはCredential等を設定していることもあるので危険なものになります。DeepSeekを確認する場合には、取り扱いに充分気をつけてください。

CASIO UK オンラインショップがサイバー攻撃の被害に

• bleepingcomputerより
• Casio.co.ukのeショップが攻撃され、2025/01/14-2025/01/24の間、クレジットカードと顧客情報を盗んだ悪意のあるスクリプトが仕込まれていた模様です。
• それらの日付の間にCASIO UKのオンライショップで購入を行った場合、個人情報とクレジットカードデータが攻撃者に盗まれた可能性があります。
• このインシデントはJSCramblerによって発見され、1/28にカシオに通知されました。悪意のあるスクリプトは、24時間以内にCasio UKサイトから削除されました。

2025/02/02

TATAテクノロジーがランサムウェア攻撃の被害に

• TATAのレポートはこちら
• TATAのレポートです。
  • 当社は、当社の IT 資産の一部に影響を及ぼすランサムウェア インシデントを認識したことをお知らせします。予防措置として、一部の IT サービスは一時的に停止されましたが、現在は復旧しています。当社のクライアント配信サービスは、引き続き完全に機能しており、全体を通じて影響を受けませんでした。専門家と協議して、根本原因を評価し、必要に応じて是正措置を講じるための詳細な調査が進行中です。当社は、最高水準のセキュリティとデータ保護に引き続き取り組んでおり、潜在的なリスクを軽減するために必要なすべての措置を講じています。これは、お客様の情報と記録用です。

Mizuno USAが昨年BianLianランサムウェアグループによる攻撃をうけていた模様

• bleepingcomputerより
• https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/f716f675-ac96-440d-aa1d-bb41ca8e545e.html
• Mizuno USAが昨年BianLianランサムウェアグループによる攻撃をうけていた模様です。
• こちらは別の講義での資料にする予定です。

FDAから「ヘルスケアのモニタにバックドアが仕込まれていた」とのレポート

• FDAの報告はこちら
• Contec CMS8000 モニタ, Epsimed MN-120 モニタの両方にバックドアが仕込まれていた模様です。
• こちらは別記事でまとめる予定です。

2025/01/31

NYの献血大手「ニューヨークブラッドセンター（NYBC）」がランサムウェア攻撃を受ける

• bleepingcomputerより
• ニューヨークブラッドセンター（NYBC）が日曜日にランサムウェアグループによる攻撃をうけていた模様です。
• NYBCの声明はこちらになります。

DeepSeekのDBがPort9000でアクセスできるようになっていたらしい（今は修正済み）

• WIZ(セキュリティ会社)のブログから
• WIZの研究者が発見したところによると、DeepSeekのDBがPort9000でアクセスできるようになっていたらしく、色々情報が見えていた模様です。既にDeepSeekに連絡は行っており、現在はアクセスできないようになっています。

2025/01/30

FBIがCracked.ioなどを押収

• bleepingcomputerより
• FBIがCracked.ioやNulledのドメインを押収しました。これらは、サイバー犯罪、パスワードの盗難、Credential攻撃に焦点を当てていることで知られています。

2025/01/28

DeepSeekに早速攻撃が始まっている模様

• サポートサイトより
• DeepSeekに早速大規模攻撃が始まっている模様です。DDoSですかね？

ランサムウェア攻撃でVMWare ESXiがSSHトンネルに使われる

• Signiaより
• ESXiホストはめったにシャットダウン・再起動されないことから、ランサムウェア攻撃でのSSHトンネルを貼る対象として狙われているという報告です。

2025/01/22

Teamsを悪用し、サポートを名乗ってマルウェアをインストールする攻撃が観測される

• Sophos MDRの記事より
• 下記のような攻撃が観測されている模様です（FIN7に似ているが、SophosではSTAC5143・STAC5177として追跡を行っている模様です）。
  • 電子メール爆弾 – 標的を絞った大量のスパム電子メール メッセージ (1 時間未満で 3,000 通) を攻撃し、組織内の少数の個人の Outlook メールボックスを圧倒し、緊迫感を生み出します。
  • 組織の技術サポートを装って、攻撃者が制御する Office 365 インスタンスから標的の従業員に Teams メッセージを送信し、Teams の音声通話とビデオ通話を行う
  • Microsoft リモート コントロール ツール (クイック アシストまたは Teams 画面共有を通じて直接) を使用して、標的となった個人のコンピューターを制御し、マルウェアをインストールする

IntelBrokerがソースコードを盗んだと主張。HPEが侵害を調査

• bleepingcomputerより
• Hewlett Packard Enterprise (HPE) は、脅威アクター「IntelBroker」が同社の開発環境からドキュメントを盗んだと発表したことを受け、新たな侵害の申し立てを調査しています。
• こちらも別記事でまとめる予定です。

FTCがGeneralMotorsにドライバーのデータ取得と販売を中止するように命令

• bleepingcomputerより
• FTC（米国連邦取引委員会）が、数百万台の車両からドライバーの正確な位置情報と運転行動データを違法に収集・販売したとして、ゼネラル・モーターズ（GM）とその子会社オンスターに対して措置を講じました。

2025/01/16

誤って設定されたDNS SPFレコードを利用するボットネット

• Infobloxの記事より
• 誤って設定されたDNS SPFレコードを使ってフィルタをすり抜けるSPAMを送信するボットネットが見つかった模様です。

FBI、米国の数千台のコンピュータから中国製 PlugX マルウェアを削除

• bleepingcomputerより
• 米国司法省が、FBIによって全米のネットワークにある4,200台以上のコンピュータから中国製PlugXマルウェアが削除されたと発表しました。
• このマルウェアを使用して標的となった被害者のリストには、「2024年の欧州の海運会社、2021年から2023年までの複数の欧州政府、世界中の中国の反体制派グループ、インド太平洋全域の政府（台湾、香港、日本など）」が含まれているという話です。

CISAがMicrosoftのクラウド製品のログ取得Playbookを公開

• CISAの記事はこちら
• CISAがMicrosoftのクラウド製品のログ取得に関してPlaybookを出しています。
  

2025/01/14

Amazonの認証情報を用いて S3バケットを暗号化する脅威アクターCodefinger

• Halyconのブログより
• Halcyon RISE チームがAmazon S3 バケットをターゲットとした新たなランサムウェアキャンペーンを特定したそうです。Codefingerというランサムウェアグループが行っている模様。
• この攻撃はAWSの脆弱性の悪用でなく、AWS顧客のアカウント認証情報を盗み出して行っているところが特徴です。

2025/01/12

LDAPNightMare(CVE-2024-49113)の偽のPoCがGitHubに

• bleepingcomputerより
• TrendMicroの記事はこちら
• GitHub 上の CVE-2024-49113 (別名「LDAPNightmare」) の偽のPoCを実行すると、機密データが外部 FTPサーバーに流出するインフォスティーラーマルウェアに感染するという事です。GitHub上ではよく偽のPoCが流出していますね。気をつけましょう。

2025/01/08

CASIOが10月のランサムウェア攻撃で8,500人の情報が漏洩と発表

• CASIOのプレスリリースはこちら
• CASIOが2024年10月11日に発表したランサムウェア攻撃で、8,500人以上の情報が漏洩したことを発表しています。

国連の国際民間航空機関（ICAO）、「報告された安全上のインシデント」と称するものを調査していると発表

• bleepingcomputerより
• ICAOが、国際機関を標的にした脅威アクターによるセキュリティインシデントを調査しているとのことです。
• ICAOの声明はこちらになります。

2025/01/07

年末年始のDDoS、世界規模だった模様

• TrendMicroのブログより
• 例のDDoSの件、世界規模だった模様です。詳しい情報はTrendMicroのブログに載っています。

2025/01/06

1,500万の認証情報がダークウェブに

• DailyDarkwebより
• さまざまな URL ベースのアカウントに関連付けられた 1,500 万件のユーザー認証情報が流出したとされる漏洩報告が報告されています。
• 今後、攻撃に使用される可能性がありますので要チェックです。

2025/01/04

米国財務省、Flax Typhoonに関与したとして中国の企業に制裁

• 米国国務省の記事
• 米国は本日、中国国家安全省と関係があるとされる、北京に本拠を置くサイバーセキュリティ企業Integrity Technology Group, Incorporated（Integrity Tech）に対し、複数のコンピュータ侵入事件に関与したとして制裁を課しました。

2025/01/03

Brain Cipherランサムウェアグループによる「RIBridges」への攻撃

• bleepingcomputerより
• Brain Cipher ランサムウェアグループが、ロードアイランド州の「RIBridges」ソーシャル サービス プラットフォームへの攻撃で盗まれた文書を漏洩しました。RIBridges は、医療、食糧援助、保育、その他のサービスを含む社会援助プログラムを管理および提供するために州が使用する統合資格システム (IES) です。