2025Q1 サイバー攻撃関連

ここでは実際に2025Q1に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

マルウェア・ランサムウェアに関する記事もこちらに統合しました（ランサムウェア攻撃という様に、最近では不可分になってきたため）

2024Q4 サイバー攻撃関連2024Q4はこちら
2024Q2 サイバー攻撃関連2024Q3はこちら

2024Q2 サイバー攻撃関連2024Q2はこちら

2024Q1サイバー攻撃関連トピックはこちら

2023Q4サイバー攻撃関連トピックはこちら

2024Q2 マルウェア・ランサムウェア(Malware/Ransomware) 情報

2024Q1 マルウェア・ランサムウェア(Malware/Ransomware) 情報はこちら

2023Q3 マルウェア・ランサムウェア情報はこちら

脅威動向に関する情報はこちら（外部サイト）もご参照下さい

2025/02/04

DeepSeek のPyPIパッケージで悪意のあるものが出回っているっぽい

• https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/malicious-packages-deepseeek-and-deepseekai-published-in-python-package-index
• DeepSeekのPyPIパッケージ(deepseek / deepseek ai )で、悪意のあるもの（環境変数を盗むもの）が出回っている模様です。環境変数にはCredential等を設定していることもあるので危険なものになります。DeepSeekを確認する場合には、取り扱いに充分気をつけてください。

CASIO UK オンラインショップがサイバー攻撃の被害に

• bleepingcomputerより
• Casio.co.ukのeショップが攻撃され、2025/01/14-2025/01/24の間、クレジットカードと顧客情報を盗んだ悪意のあるスクリプトが仕込まれていた模様です。
• それらの日付の間にCASIO UKのオンライショップで購入を行った場合、個人情報とクレジットカードデータが攻撃者に盗まれた可能性があります。
• このインシデントはJSCramblerによって発見され、1/28にカシオに通知されました。悪意のあるスクリプトは、24時間以内にCasio UKサイトから削除されました。

2025/02/02

TATAテクノロジーがランサムウェア攻撃の被害に

• TATAのレポートはこちら
• TATAのレポートです。
  • 当社は、当社の IT 資産の一部に影響を及ぼすランサムウェア インシデントを認識したことをお知らせします。予防措置として、一部の IT サービスは一時的に停止されましたが、現在は復旧しています。当社のクライアント配信サービスは、引き続き完全に機能しており、全体を通じて影響を受けませんでした。専門家と協議して、根本原因を評価し、必要に応じて是正措置を講じるための詳細な調査が進行中です。当社は、最高水準のセキュリティとデータ保護に引き続き取り組んでおり、潜在的なリスクを軽減するために必要なすべての措置を講じています。これは、お客様の情報と記録用です。

Mizuno USAが昨年BianLianランサムウェアグループによる攻撃をうけていた模様

• bleepingcomputerより
• https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/f716f675-ac96-440d-aa1d-bb41ca8e545e.html
• Mizuno USAが昨年BianLianランサムウェアグループによる攻撃をうけていた模様です。
• こちらは別の講義での資料にする予定です。

FDAから「ヘルスケアのモニタにバックドアが仕込まれていた」とのレポート

• FDAの報告はこちら
• Contec CMS8000 モニタ, Epsimed MN-120 モニタの両方にバックドアが仕込まれていた模様です。
• こちらは別記事でまとめる予定です。

2025/01/31

NYの献血大手「ニューヨークブラッドセンター（NYBC）」がランサムウェア攻撃を受ける

• bleepingcomputerより
• ニューヨークブラッドセンター（NYBC）が日曜日にランサムウェアグループによる攻撃をうけていた模様です。
• NYBCの声明はこちらになります。

DeepSeekのDBがPort9000でアクセスできるようになっていたらしい（今は修正済み）

• WIZ(セキュリティ会社)のブログから
• WIZの研究者が発見したところによると、DeepSeekのDBがPort9000でアクセスできるようになっていたらしく、色々情報が見えていた模様です。既にDeepSeekに連絡は行っており、現在はアクセスできないようになっています。

2025/01/30

FBIがCracked.ioなどを押収

• bleepingcomputerより
• FBIがCracked.ioやNulledのドメインを押収しました。これらは、サイバー犯罪、パスワードの盗難、Credential攻撃に焦点を当てていることで知られています。

2025/01/28

DeepSeekに早速攻撃が始まっている模様

• サポートサイトより
• DeepSeekに早速大規模攻撃が始まっている模様です。DDoSですかね？

ランサムウェア攻撃でVMWare ESXiがSSHトンネルに使われる

• Signiaより
• ESXiホストはめったにシャットダウン・再起動されないことから、ランサムウェア攻撃でのSSHトンネルを貼る対象として狙われているという報告です。

2025/01/22

Teamsを悪用し、サポートを名乗ってマルウェアをインストールする攻撃が観測される

• Sophos MDRの記事より
• 下記のような攻撃が観測されている模様です（FIN7に似ているが、SophosではSTAC5143・STAC5177として追跡を行っている模様です）。
  • 電子メール爆弾 – 標的を絞った大量のスパム電子メール メッセージ (1 時間未満で 3,000 通) を攻撃し、組織内の少数の個人の Outlook メールボックスを圧倒し、緊迫感を生み出します。
  • 組織の技術サポートを装って、攻撃者が制御する Office 365 インスタンスから標的の従業員に Teams メッセージを送信し、Teams の音声通話とビデオ通話を行う
  • Microsoft リモート コントロール ツール (クイック アシストまたは Teams 画面共有を通じて直接) を使用して、標的となった個人のコンピューターを制御し、マルウェアをインストールする

IntelBrokerがソースコードを盗んだと主張。HPEが侵害を調査

• bleepingcomputerより
• Hewlett Packard Enterprise (HPE) は、脅威アクター「IntelBroker」が同社の開発環境からドキュメントを盗んだと発表したことを受け、新たな侵害の申し立てを調査しています。
• こちらも別記事でまとめる予定です。

FTCがGeneralMotorsにドライバーのデータ取得と販売を中止するように命令

• bleepingcomputerより
• FTC（米国連邦取引委員会）が、数百万台の車両からドライバーの正確な位置情報と運転行動データを違法に収集・販売したとして、ゼネラル・モーターズ（GM）とその子会社オンスターに対して措置を講じました。

2025/01/16

誤って設定されたDNS SPFレコードを利用するボットネット

• Infobloxの記事より
• 誤って設定されたDNS SPFレコードを使ってフィルタをすり抜けるSPAMを送信するボットネットが見つかった模様です。

FBI、米国の数千台のコンピュータから中国製 PlugX マルウェアを削除

• bleepingcomputerより
• 米国司法省が、FBIによって全米のネットワークにある4,200台以上のコンピュータから中国製PlugXマルウェアが削除されたと発表しました。
• このマルウェアを使用して標的となった被害者のリストには、「2024年の欧州の海運会社、2021年から2023年までの複数の欧州政府、世界中の中国の反体制派グループ、インド太平洋全域の政府（台湾、香港、日本など）」が含まれているという話です。

CISAがMicrosoftのクラウド製品のログ取得Playbookを公開

• CISAの記事はこちら
• CISAがMicrosoftのクラウド製品のログ取得に関してPlaybookを出しています。
  

2025/01/14

Amazonの認証情報を用いて S3バケットを暗号化する脅威アクターCodefinger

• Halyconのブログより
• Halcyon RISE チームがAmazon S3 バケットをターゲットとした新たなランサムウェアキャンペーンを特定したそうです。Codefingerというランサムウェアグループが行っている模様。
• この攻撃はAWSの脆弱性の悪用でなく、AWS顧客のアカウント認証情報を盗み出して行っているところが特徴です。

2025/01/12

LDAPNightMare(CVE-2024-49113)の偽のPoCがGitHubに

• bleepingcomputerより
• TrendMicroの記事はこちら
• GitHub 上の CVE-2024-49113 (別名「LDAPNightmare」) の偽のPoCを実行すると、機密データが外部 FTPサーバーに流出するインフォスティーラーマルウェアに感染するという事です。GitHub上ではよく偽のPoCが流出していますね。気をつけましょう。

2025/01/08

CASIOが10月のランサムウェア攻撃で8,500人の情報が漏洩と発表

• CASIOのプレスリリースはこちら
• CASIOが2024年10月11日に発表したランサムウェア攻撃で、8,500人以上の情報が漏洩したことを発表しています。

国連の国際民間航空機関（ICAO）、「報告された安全上のインシデント」と称するものを調査していると発表

• bleepingcomputerより
• ICAOが、国際機関を標的にした脅威アクターによるセキュリティインシデントを調査しているとのことです。
• ICAOの声明はこちらになります。

2025/01/07

年末年始のDDoS、世界規模だった模様

• TrendMicroのブログより
• 例のDDoSの件、世界規模だった模様です。詳しい情報はTrendMicroのブログに載っています。

2025/01/06

1,500万の認証情報がダークウェブに

• DailyDarkwebより
• さまざまな URL ベースのアカウントに関連付けられた 1,500 万件のユーザー認証情報が流出したとされる漏洩報告が報告されています。
• 今後、攻撃に使用される可能性がありますので要チェックです。

2025/01/04

米国財務省、Flax Typhoonに関与したとして中国の企業に制裁

• 米国国務省の記事
• 米国は本日、中国国家安全省と関係があるとされる、北京に本拠を置くサイバーセキュリティ企業Integrity Technology Group, Incorporated（Integrity Tech）に対し、複数のコンピュータ侵入事件に関与したとして制裁を課しました。

2025/01/03

Brain Cipherランサムウェアグループによる「RIBridges」への攻撃

• bleepingcomputerより
• Brain Cipher ランサムウェアグループが、ロードアイランド州の「RIBridges」ソーシャル サービス プラットフォームへの攻撃で盗まれた文書を漏洩しました。RIBridges は、医療、食糧援助、保育、その他のサービスを含む社会援助プログラムを管理および提供するために州が使用する統合資格システム (IES) です。