2025Q2 サイバー攻撃関連

ここでは実際に2025Q2に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

マルウェア・ランサムウェアに関する記事もこちらに統合しました（ランサムウェア攻撃という様に、最近では不可分になってきたため）

2025Q1 サイバー攻撃関連はこちら

2024Q4 サイバー攻撃関連はこちら
2024Q3 サイバー攻撃関連はこちら

2024Q2 サイバー攻撃関連2024Q2はこちら

2024Q1サイバー攻撃関連トピックはこちら

2023Q4サイバー攻撃関連トピックはこちら

2024Q2 マルウェア・ランサムウェア(Malware/Ransomware) 情報

2024Q1 マルウェア・ランサムウェア(Malware/Ransomware) 情報はこちら

2025/06/29

「Scattered Spider」、航空業界も標的に

• bleepingcomputerより
• Scattered Spiderが航空・運輸企業に狙いを移している模様です。

ハワイアンエアラインがサイバー攻撃を受ける

• bleepingcomputerより
• ハワイアンエアラインがサイバー攻撃を受けた模様です。6/26朝に発表した声明で、飛行の安全に影響は無いこと、及び関係当局に連絡を取り捜査に協力していると述べたそうです。
• ハワイアンエアラインの声明はこちらになります。

2025/06/26

北朝鮮の「ニセ面接」で35個のマルウェア入りnpmパッケージが使用される

• Socket.devより
• 北朝鮮の脅威アクターが、ステルス性の高い多段式マルウェア ローダーを使用して、35 個の新しい悪意のある npm パッケージを公開したそうです。
• （ react-plaid-sdk、 sumsub-node-websdk、 vite-plugin-next-refresh、 vite-loader-svg、 node-orm-mongoose、 router-parse）は既に4,000回以上ダウンロードされているとのことです。
• npmセキュリティチームに対し、ライブパッケージの削除と関連アカウントの停止を要請したとのことです。

2025/06/25

新たなFileFix攻撃

• bleepingcomputerより
• サイバーセキュリティ研究者が、Windows のファイル エクスプローラーのアドレス バーを介してユーザーを騙して悪意のあるコマンドを実行させる ClickFix ソーシャル エンジニアリング攻撃の亜種である FileFix を開発しました。
• ClickFix と呼ばれるソーシャル エンジニアリング攻撃のバリエーションである FileFix を使用すると、脅威の攻撃者は Windows のファイル エクスプローラーのアドレス バーを通じて被害者のシステムでコマンドを実行できます。
• FileFix攻撃もフィッシングページを利用しますが、この手口はもはやエラーや問題として提示されることはありません。代わりに、ファイルがユーザーと共有されたことを示す通知として表示され、ファイルエクスプローラーにパスを貼り付けてファイルを見つけるように要求されます。

2025/06/24

ロシアのハッカーが盗んだアプリのパスワードを使ってGmailのMFAを回避

• bleepingcomputerより
• ロシアのハッカーは、米国務省職員になりすます高度なソーシャルエンジニアリング攻撃でアプリ固有のパスワードを利用して多要素認証を回避し、Gmail アカウントにアクセスしたそうです。
• Google Threat Intelligence Groupのセキュリティ研究者は、このサイバー攻撃者をUNC6293として追跡しています。彼らは、この攻撃者が国家の支援を受けており、ロシア対外情報局（SVR）傘下の脅威グループAPT29と関連している可能性があると考えています。
• こちらは別記事で纏めます。

2025/06/22

記録的なデータ侵害で160億件のパスワードが流出、Facebook、Google、Appleなどあらゆるサービスへのアクセスが可能に

• Cybernewsより
• 史上最大規模のデータ侵害が明らかになりました。漏洩したログイン認証情報は合計160億件に上ります。これらのデータは、おそらく複数のインフォスティーラーによって取得されたと考えられます。最大規模のデータセットはポルトガル語圏のユーザー関連のもので、35億件超の記録を含んでいたとのことです
• 気になる方は念の為にHaveIBeenPwnedなどを使って漏洩していないかを確認したほうが良いでしょう。

アフラック（米国本社）がサイバー攻撃に

• bleepingcomputerより
• 米国の保険大手アフラックは6/20に、全米の保険会社を狙った大規模な攻撃で、個人情報や健康情報を盗んだ可能性のある攻撃者らが自社のシステムに侵入したことを明らかにしました。
• アフラックのプレスリリースはこちらになります。
• プレスリリースによると、まだ初期の確認中の段階で、確認が完了するまでは影響を受けた個人の総数を特定できないとのことです。影響を受ける可能性のあるファイルには、お客様、受益者、従業員、代理店、および米国事業におけるその他の個人に関する請求情報、健康情報、社会保障番号、その他の個人情報が含まれています。日本のアフラックに影響があるかも情報はありません。
• (2025/06/24追記) Scattered Spiderの犯行の模様です。

2025/06/20

UKの耐量子暗号（PQC）以降計画

• NCSCのサイトより
• NCSCがPQCに関して移行活動に関するガイダンスを提供するとともに、大まかなタイムラインを示しました。
• PQCに関しては別途取り上げます。 

衛星通信会社のViasatがSaltTyphoonに攻撃を受ける

• bleepingcomputerより
• 衛星通信会社ViasatがSaltTyphoonにより攻撃を受けていた模様です。

2025/06/18

Scattered Spiderが標的を米国の保険会社に変更の模様

• bleepingcomputerより
• 昨年話題になったScattered Spiderですが、標的を米国の保険会社に変更している模様です。
• GTIGの記事はこちらになります。

WashingtonPostがサイバー攻撃を受ける

• bleepingcomputerより
• ワシントン・ポストがサイバー攻撃を受けた模様です。WSJによると、ジャーナリストのメールアカウントが被害を受けた模様。

2025/06/15

カナダのWestJetがサイバー攻撃を受ける

• WestJetのブログより
• カナダの航空会社WestJetがサイバー攻撃を受けた模様です。
• 「WestJetは、社内システムとWestJetアプリにサイバーセキュリティインシデントが発生し、複数のユーザーのアクセスが制限されていることを認識しています。当社は、法執行機関およびカナダ運輸省と協力し、専門の社内チームを立ち上げ、本件の調査と影響の最小化に取り組んでいます。」との事です。

2025/06/11

FIN6が求職者を装い、リクルーターのデバイスにバックドアを仕掛ける攻撃

• bleepingcomputerより
• FIN6が求職者を装い、リクルーターのデバイスにバックドアを仕掛ける攻撃を行っている模様です。
• FIN6（別名「スケルトン・スパイダー」）は、当初はPOS（販売時点情報管理）システムに侵入してクレジットカード情報を盗むなど、金融詐欺を行うことで知られていたハッキン​​ググループでした。現在はランサムウェアグループとして攻撃を行っています。

SentinelLabが中国関連の脅威アクター”PurpleHaze”と”ShadowPad”の動きを追跡

• SentinelLabのブログより
• 2024年10月、SentinelLABSは、PurpleHazeと呼ばれるより広範な活動クラスターの一部として追跡しているSentinelOneを標的とした偵察作戦を観察しました。
• 2025年初頭には、ShadowPadによるより広範な活動に関連する侵入を特定しました。
• PurpleHazeとShadowPadの活動クラスターは、高い確度で中国関連の脅威アクターによるものと推定されています。
• 追跡の様子が記事になっていて面白いです。

2025/06/09

TDK DVRを狙ったMirai Botが検出される

• Kasperskyのブログより
• KasperskyラボでLinuxハニーポットシステムのログを確認したところ、 CVE-2024-3721 に関連する異常なリクエスト行を発見したそうです。この脆弱性により、特定のPOSTリクエストを使用することで、適切な権限のないエントリポイントからTBK DVRデバイス上でシステムコマンドを実行できるようになります。

2025/06/06

サプライチェーン攻撃によりGluestack NPMパッケージが侵害される

• bleepingcomputerより
• 毎週 95 万回以上ダウンロードされている人気の Gluestack「react-native-aria」パッケージ 16 個が侵害され、リモート アクセス トロイの木馬 (RAT) として機能する悪意のあるコードが組み込まれた模様です。
• BleepingComputerは、侵害は6月6日午後4時33分（東部標準時）、react-native-aria/focusパッケージの新バージョンがNPMに公開された時に始まったと断定しています。

ユーティリティを装った悪意のあるnpmパッケージがプロジェクトのディレクトリを削除

• bleepingcomputerより
• npm パッケージに 2 つの悪意のあるパッケージが発見されました。「express-api-sync」と「system-health-sync-api」であり、データベース同期およびシステム ヘルス監視ツールを装っています。

ハッカーが重要なRoundcubeウェブメールの脆弱性を販売

• bleepingcomputerより
• 攻撃者が、Roundcube のRCE脆弱性である CVE-2025-49113 を悪用し始めているようです。少なくとも 1 つの脆弱性ブローカーがエクスプロイトに対して最大 50,000 ドルを支払っているとのことです。

FBIが「BADBOX 2.0」について注意喚起

• FBIのプレスリリースより
• FBIがBADBOXボットネットとBADBOX 2.0について注意喚起をしています。
• BADBOXは2023年に特定された、バックドアマルウェアに感染したAndroidOSで構成されているボットネットです。BADBOX 2.0は、購入前にデバイスを感染させるだけでなく、非公式マーケットプレイスから悪意のあるアプリをダウンロードさせることでデバイスを感染させることもできます。

2025/06/05

GoogleのGTIGが「UNC6040」グループによるSalesforceアカウントを狙ったフィッシング攻撃の情報を公開

• GTIGのブログより
• UNC6040 は、音声フィッシング（Vishing）という攻撃を用いて、 組織のSalesforceインスタンスを侵害して大規模なデータ窃取を行っています。
• 過去数か月間、UNC6040は、ITサポート担当者になりすましたオペレーターが電話による詐欺メッセージを送りつけることで、ネットワーク侵入に繰り返し成功しています。特に多国籍企業の英語圏の従業員を騙している模様です。

StopRansomwareでPlayランサムウェアグループのTTPを公開（更新）

• CISAのStopRansomwareのページより
• 2025/06/04にPlayランサムウェアグループのTTPが更新されています。CVE-2024-57727なども入っています。

2025/06/04

Cartierがサイバー攻撃により情報漏えい

• bleepingcomputerより
• Cartierが、システムが侵害され顧客の個人情報が漏洩したデータ侵害があったと顧客に警告しています。
• 受信者がソーシャルメディア に公開した情報によると「権限のない第三者が当社のシステムに一時的にアクセスし、限定的な顧客情報を入手したことをお知らせします」とカルティエはデータ漏洩通知書の中で述べているそうです。

認証情報の売買に「Russian Market」が浮上

• ReliaQuestより
• Russian Marketがインフォスティーラーマルウェアによって収集された盗まれた認証情報が集まる市場となっており、攻撃者に無数のシステムやネットワークへの入口を提供しています。

2025/06/01

AIツールになりすましたマルウェア

• Cisco TALOSのブログより
• 以下概要です。
  • Cisco Talos は、ランサムウェア Cyber​​Lock、Lucky_Gh0$t、そして新たに発見された「Numero」と呼ばれるマルウェアなど、正規の AI ツールインストーラーを装った新たな脅威を発見しました。
  • PowerShellを使用して開発されたCyber​​Lockランサムウェアは、主に被害者のシステム上の特定のファイルを暗号化することを目的としている。脅威アクターは身代金要求書の中で、支払った金額はパレスチナ、ウクライナ、アフリカ、アジアを含む様々な地域への人道支援に充てられると虚偽の主張をしている。
  • Lucky_Gh0$t ランサムウェアは、Chaos ランサムウェア シリーズの 6 番目のバージョンである Yashma ランサムウェアの別の亜種であり、ランサムウェア バイナリにわずかな変更のみが加えられています。
  • 新たに特定された破壊的なマルウェア「Numero」は、Windows OS のグラフィカル ユーザー インターフェイス (GUI) コンポーネントを操作して被害者に影響を与え、システムを完全に使用不能にします。

ファッション大手Victoria’s Secretがサイバー攻撃を受ける

• bleepingcomputerより
• ファッション大手のヴィクトリアズ・シークレットは、進行中のセキュリティインシデントのため、ウェブサイトと一部の店舗サービスを停止した模様です。
• ヴィクトリアズシークレットは、外部の専門家を用いて現在調査を行っているそうです。

PumaBotボットネットがSSH認証情報をブルートフォースで取得し、デバイスに侵入

• bleepingcomputerより
• DarkTraceのレポートはこちら
• 新たに発見された Go ベースの Linux ボットネット マルウェア「PumaBot」は、組み込み IoT デバイス上の SSH 資格情報をブルートフォース攻撃して、悪意のあるペイロードを展開します。
• PumaBot の標的型の特徴としては、インターネットを広範囲にスキャンするのではなく、コマンド アンド コントロール (C2) サーバーから取得したリストに基づいて特定の IP をターゲットにしている点が上げられています。

InterLockランサムウェアグループが新たなRAT(NodeSnake)を使用

• bleepingcomputerより
• InterLockランサムウェアグループが新たにNodeSnake というリモート アクセス型トロイの木馬 (RAT)を攻撃の際に使用している模様です。このInterLockランサムウェアグループはClickFix攻撃も使用していることが観測されています。

ASUSルータへの大規模な攻撃を観測

• GreyNoiseより
• 2025 年 3 月 18 日に GreyNoise によってASUSルータへの大規模な攻撃が観測されました。
• 以下は調査結果の要約になります。
  • 数千台の ASUS ルーターが侵害されていることが確認されており 、その数は着実に増加しています。
  • 攻撃者は、CVE が割り当てられていない手法を含む、ブルート フォース ログイン試行や認証バイパスを使用してアクセスを取得します。
  • 攻撃者は、コマンドインジェクションの脆弱性である CVE-2023-39780 を悪用して、システムコマンドを実行します。
  • 正規の ASUS 機能を使用して、次のことを行います。
    • カスタム ポート (TCP/53282) で SSH アクセスを有効にします。
    • リモート アクセス用に攻撃者が制御する公開キーを挿入します。
  • バックドアは不揮発性メモリ (NVRAM) に保存されるため、ファームウェアのアップグレードや再起動を行っても削除されません。
  • マルウェアはインストールされておらず、 検出を回避するためにルーターのログ記録は無効になっています。
  • 使用される技術は、長期的なアクセス計画と高度なシステム知識を反映しています。

Dark Partnerが大規模な仮想通貨強盗を推進

• bleepingcomputerより
• 脅威アクター「Dark Partner」が偽の AI、VPN、暗号ソフトウェアダウンロード サイトの広大なネットワークを利用して、世界中で暗号窃盗攻撃を行っている模様です。

2025/05/27

FBIがLuna Moth(UNC3753)の注意を呼びかける

• FBIのPDFはこちら
• 主な標的： SRGは historically は様々なセクターの企業を標的としてきましたが、2023年春以降、米国の法律事務所を継続的に標的としています。これは、法律業界のデータが非常に機密性が高いためと考えられます。医療業界や保険業界なども標的としますが、SRGの被害者の大半は法律事務所等になります。

TikTokでVidar/StealCを拡散させるソーシャルエンジニアリング攻撃

• TrendMicroのブログより
• TrendMicroによるとは、TikTokを利用した新たなソーシャルエンジニアリング攻撃が発見された模様です。この攻撃は、情報窃取ツール「Vidar」と「StealC」を拡散させるもので、動画（AI生成の可能性あり）を用いてユーザーにPowerShellコマンドの実行を指示し、ソフトウェアのアクティベーション手順を装っているとの事です。

2025/05/19

ランサムウェアギャングが「Skynet」マルウェアを使用

• bleepingcomputerより
• ランサムウェア ギャングのメンバーは、侵入されたネットワーク上でステルス的にエクスプロイト後の活動を実行するために、Skitnet (「Bossnet」) と呼ばれる新しいマルウェアをますます多く使用しています。
• このマルウェアは2024年4月からRAMPなどの地下フォーラムで販売されていましたが、 Prodaftの研究者 によると、2025年初頭からランサムウェア集団の間で大きな注目を集め始めました。

2025/05/15

英国小売業を標的にしたScattered Spider、米国小売業も標的に

• bleepingcomputerより
• Googleによると、英国の小売チェーンに対してScattered Spiderを使用している攻撃者が米国の小売業者も標的にし始めているようです。
• Scattered Spiderは2024年に注目されていましたが纏め忘れていたので、どこかでまとめる予定です。

ファッション大手のDiorがサイバー攻撃を受ける

• bleepingcomputerより
• 有名なDior(ディオール)がサイバー攻撃を受けた模様です。
• Diorは影響を受けた顧客数と地域を明らかにしていないものの、韓国のウェブサイトが影響を受けたことを確認する通知が出ています。また、中国の顧客がディオールからデータ侵害の通知を受け取ったという報告もいくつかあります。
• 以下の情報が漏洩した模様です。
  • フルネーム
  • 性別
  • 電話番号
  • 電子メールアドレス
  • 郵便番号
  • 購入履歴

2025/05/12

SAFEPAYランサムウェアグループが新たに13の被害者を脅迫サイトで公開。日本企業も一社含まれている模様

• FalconのXフィードより
• SAFEPAYランサムウェアグループが新たに13の被害者を公開しました。日本企業も一社含まれています。
  • Moore Coal Co
  • Industrial Growth Platform, Inc (株式会社経営共創基盤)
  • Kinderzentrum Weißer Stein
  • Morrice Transportation
  • LifeSafe Services, LLC
  • Gravelec SA
  • Gewandhaus Gruber
  • Abfiad Group
  • The Engineering Quest
  • MALER SCHEUERLE GmbH
  • Maxus Group
  • Hagemann GmbH
  • Metten-Maas & Partner mbB

Fake AIビデオジェネレーターに仕組まれた「Noodlophile Stealer」が情報窃取

• MORPHISECより
• 被害者が動画ジェネレータに入力して動画をダウンロードする時に、悪意のあるペイロードをダウンロードします。このペイロードには、ブラウザの認証情報、暗号通貨ウォレット、機密データを収集するために設計された、新たに特定されたインフォスティーラー「Noodlophile Stealer」がバンドルされています。多くの場合、XWormのようなリモートアクセス型トロイの木馬も展開され、感染システムの制御を確立します。

2025/05/09

npmパッケージがサプライチェーン攻撃により侵害される

• bleepingcomputerより
• 「rand-user-agent」という名前の npm パッケージがサプライ チェーン攻撃によって侵害され、ユーザーのシステム上でリモート アクセス トロイの木馬 (RAT) をアクティブにする難読化されたコードが挿入されました。
• 「 rand-user-agent 」パッケージは、ランダムなユーザーエージェント文字列を生成するツールで、Web スクレイピング、自動テスト、セキュリティ調査に役立ちます。
• このパッケージは廃止されましたが、依然としてかなり人気があり、毎週平均 45,000 回ダウンロードされています。

2022年からDiscord開発者を標的にしたトロイの木馬入りPyPIパッケージが存在

• Socketのブログより
• Pythonパッケージ「 discordpydebug 」 は2022年3月21日、 「discord py error logger」という名前でPyPIにアップロードされていました。Discordボットを開発する開発者向けのシンプルなユーティリティのように見えましたが、このパッケージには、完全に機能するリモートアクセス型トロイの木馬（RAT）が潜んでいました。その後、このパッケージは11,000回以上ダウンロードされ、数千もの開発者システムを危険にさらしました。

LockBit RaaSが攻撃される。被害者との交渉内容が暴露

• bleepingcomputerより
• LockBitのアフィリエイトパネルが改ざんされ、データ侵害にあった模様です。
• “Don’t do crime CRIME IS BAD xoxo from Prague,”となり、MySQLのダンプファイルがダウンロードできるように置き換えられていた模様。
• 2024/12/19-2025/04/29の被害者とのやり取りが確認できたそうです。

2025/05/08

PlayランサムウェアグループがCVE-2025-29824(4/8に修正済み)を攻撃している模様

• Symantecより
• 4 月 8 日に修正された CVE-2025-29824 のゼロデイ脆弱性を標的としている模様です。
• Windows Updateはきっちり早めに行いましょう。

医療機器メーカーのMasimo社がサイバー攻撃を受ける

• bleepingcomputerより
• 米国医療機器メーカーのMasimo社が、2025年4月27日にサイバー攻撃のインシデントが発生していたことを米証券取引委員会（SEC）にフォーム8-Kで提出したそうです。
• ネットワーク侵害はオンプレミスのシステムに限定されており、クラウドベースのインフラストラクチャには影響していない模様です。

CoGUIフィッシングプラットフォーム、認証情報を盗むために5億8000万通のメールを送信

• bleepingcomputerより
• 「CoGUI」と呼ばれる新しいフィッシングキットは、2025年1月から4月の間に、アカウントの認証情報や支払いデータを盗むことを目的として、5億8000万通以上のメールをターゲットに送信したそうです。

米国司法省他、各国の警察当局が複数のDDoS代行サービスプラットフォームを押収

• 司法省のサイトより
• 2025/05/07に、米国司法省は世界有数のDDoS攻撃代行サービスに関連する9つのインターネットドメインを裁判所の許可を得て押収したと発表しました。
• ポーランド中央サイバー犯罪局は同時に、これらのサービスの管理者4人を逮捕したと発表しています。
• こちらはどこかでまとめるかもしれません

2025/05/07

UKのLegal Aid Agency (LAA)がセキュリティインシデントに

• news.sky.comより
• LAAは国家犯罪庁および国家サイバーセキュリティセンターと協力してデータ侵害を調査中であると述べたとのことです。「どのような情報がアクセスされたか」は確認できないとしたが、「支払い情報がアクセスされた可能性はある」との事。

2025/05/06

“Airborne”。CVE-2025-24252とCVE-2025-24206を連鎖させることでゼロクリックのRCEが実現

• Oligoのブログより
• Oligo Security Research は、Apple の AirPlay プロトコルと、サードパーティ ベンダーが AirPlay をサードパーティ デバイスに統合するために使用する AirPlay ソフトウェア開発キット (SDK) に新たな一連の脆弱性を発見しました。
• 2つの脆弱性（CVE-2025-24252およびCVE-2025-24132）を悪用することで、攻撃者が ワーム化可能なゼロクリックRCEエクスプロイトを武器化できる ことを実証したそうです。

“Luna-Moth”というITヘルプデスクを装う攻撃者

• ElectricIQより
• EclecticIQのアナリストによると、金銭目的の脅威アクターグループLuna Moth(別名 Silent Ransom Group、UNC3753、Storm-0252) が、米国に拠点を置く法律および金融機関をターゲットにしたハイテンポのコールバック フィッシング キャンペーンを実行している模様です。

“Bring Your Own Installer”テクニックによりEDRを迂回

• AONのブログより
• Bring Your Own Installer は、構成が不適切な場合にエージェント更新プロセスを時間制限で終了させることで、脅威アクターがホスト上の EDR 保護を回避するために使用できる手法です。
• こちらは別のブログでまとめる予定です。

Darcula PhaaSがフィッシングメール経由で88万枚のクレジットカード情報を窃取

• mnemonicの調査結果はこちら
• Darcula のフィッシング サービス (PhaaS) プラットフォームは、世界中のターゲットにテキスト メッセージで送信された悪意のあるリンクの 1,300 万回のクリックから 884,000 件のクレジットカード情報を盗んだそうです。

英国のNCSCが小売業向けのセキュリティ勧告

• NCSCのサイトより
• NCSCの国家レジリエンス担当がブログで「準備と回復力」についてまとめています。
• NCSCの「マルウェア・ランサムウェアに関する勧告」と共に、多要素認証や不正なアカウントの不正使用に対する監視などをまとめているので参考にすると良いでしょう。

2025/05/03

Magentoサプライチェーン攻撃により数百の電子ストアが侵害される

• bleepingcomputerより
• SanSecの記事はこちら
• SansecはMagentoエクステンションに同一のバックドアを持つアプリケーションを21個発見しました。興味深いことに、このマルウェアは6年前に注入されていました。Sansecは、500から1000の店舗がバックドア付きソフトウェアを稼働していると推定しています。
• バックドアのリストは以下になります。
  • Tigren Ajaxsuite
  • Tigren Ajaxcart
  • Tigren Ajaxlogin
  • Tigren Ajaxcompare
  • Tigren Ajaxwishlist
  • Tigren MultiCOD
  • Meetanshi ImageClean
  • Meetanshi CookieNotice
  • Meetanshi Flatshipping
  • Meetanshi FacebookChat
  • Meetanshi CurrencySwitcher
  • Meetanshi DeferJS
  • MGS Lookbook
  • MGS StoreLocator
  • MGS Brand
  • MGS GDPR
  • MGS Portfolio
  • MGS Popup
  • MGS DeliveryTime
  • MGS ProductTabs
  • MGS Blog

2025/05/02

中国が背後にいる「TheWizards APT」がSLAACスプーフィングを使用して中間者攻撃を実行

• ESETのブログより
• ESETの研究者が、中国が背後にいる「TheWizards」による中間者攻撃に使用されるLateral Movement(横方向の移動)ツールである「Spellbinder」を分析しています。

悪意のあるPyPIパッケージ。GmailやWebソケットを悪用してシステムを乗っ取る

• Socketの調査より
• Socketが、コマンド アンド コントロール (C2) に Gmail の SMTP プロトコルを使用して、データを盗み出し、コマンドを実行する悪意のあるパッケージを PyPI 上で発見しました。
• これらの7つのパッケージは以下のとおりです。
  • Coffin-Codes-Pro
  • Coffin-Codes-NET2
  • Coffin-Codes-NET
  • Coffin-Codes-2022
  • Coffin2022
  • Coffin-Grave
  • cfc-bsb

2025/05/01

FBIが2024/04にLabHost Operationにより停止したPhaaS Domainリストを公開

• bleepingcomputerより
• FBI Flashはこちら
• FBIが2024/04にLabHost Operationにより停止したPhaaS Domainリストを公開しました。
• LabHost は2021年から始まり、米国とカナダの銀行をターゲットにした広範なフィッシングキットへのアクセスを月額 179 ドルから 300 ドルで販売していた大手 PhaaS プラットフォームでした。

2025/04/30

攻撃者によるGit token/secretのスキャンが増加

• GreyNoiseより
• GreyNoiseは、2025年4月20日から21日にかけて、Git設定ファイルを標的としたクローリング活動の大幅な増加を観測しました 。クローリング自体は偵察活動ですが、公開されたGit設定ファイルの発見に成功すると、内部コード/ワークフロー/機密性の高い認証情報の漏洩につながる可能性があります。

Hitachi VantaraがAkiraランサムウェアに攻撃される

• bleepingcomputerより
• 日立Vantaraが2025/04/26にAkiraランサムウェアグループによる攻撃に遭い、週末にサーバーをオフラインにした模様です。
• 日立Vantaraはランサムウェア攻撃を認め、事件の影響を調査するために外部のサイバーセキュリティ専門家を雇い、現在は影響を受けたすべてのシステムをオンラインにすることに取り組んでいると述べたとのことです。

2025/04/29

DragonForceランサムウェアカルテル、新たなランサムウェアモデルを立ち上げる

• bleepingcomputerより
• DragonForceランサムウェアカルテル（自らをカルテルと名乗っています）が、新たなランサムウェアモデルを立ち上げているようです。
• このモデルでは、アフィリエイトはインフラストラクチャ（交渉ツール、盗難データのストレージ、マルウェア管理）にアクセスし、独自のブランドで DragonForce 暗号化ツールを使用します。DragonForceには身代金の20%が行くモデルです。
• 同社の構造はマーケットプレイスのようなもので、アフィリエイトは DragonForce ブランドで攻撃を展開するか、別のブランドで展開するかを選択できるということの様です。
• RansomBayと呼ばれる新たなランサムウェアギャングはすでにDragonForceのモデルを採用している模様です。
• SecureWorksのブログはこちらになります。こちらで詳しい解説がされています。

2025/04/25

Lazarusグループの「Operation SyncHole」。六社に侵入

• Kasperskyブログより
• Kasperskyの調査によると、Lazarusグループによる最新の攻撃キャンペーン「Operation Synchole」が、水飲み場型攻撃 と韓国製ソフトウェアの脆弱性を巧妙に組み合わせ、韓国の組織を標的としていました。結果として6つの組織に侵入した模様です。

InterlockランサムウェアグループがDaVitaへの攻撃を主張

• bleepingcomputerより
• Interlockランサムウェアグループが、腎臓透析会社DaVitaへのサイバー攻撃と、同組織から盗まれたとされるデータの漏洩を行ったと主張した模様です。

io_uringを利用したLinux上のマルウェア

• ARMOのブログより
• Linux上のマルウェアio_uringを使用したrootkitが検出を逃れているという調査結果が出ているようです。
• 後で詳しく見て見る予定です。

2025/04/24

ATT&CK v17リリース

• MITRE ATT&CKのサイトより
• ATT&CK v17がリリースされています。仮想化インフラへの攻撃の増加を反映し、エンタープライズに ESXiプラットフォーム が含まれるようになっています。

ロシアの新たなAndroidマルウェアがAlpine Quest内に見つかる

• bleepingcomputerより
• ロシアによるものと思われるトロイの木馬化されたバージョンの Alpine Quest マッピング アプリ内に隠された新たな Android マルウェアが発見されました。
• 攻撃者は、Telegram チャンネルとロシアのアプリ カタログを使用して、トロイの木馬化されたアプリをAlpine Quest Pro の無料クラック版として宣伝し、配布しているそうです。

マークス・アンド・スペンサーがサイバー攻撃を受ける

• bleepingcomputerより
• マークス・アンド・スペンサー（イギリスの老舗デパート、私でも知ってるくらい有名）がサイバー攻撃に遭っていた模様です。
• インシデントの調査と対応を支援するため、外部のサイバーセキュリティ専門家を雇用したそうです。 また、データ保護監督当局および国家サイバーセキュリティセンターにこの事件を報告したとの事です。

2025/04/23

韓国最大の携帯電話事業者SKテレコムが顧客のUSIM関連の機密情報にアクセスされたと警告

• bleepingcomputerより
• 韓国最大の携帯電話事業者SKテレコムは、マルウェア感染により脅威の攻撃者が顧客のUSIM関連の機密情報にアクセス可能になったと警告している。
• 同社によると、週末のサイバー攻撃で、2025年4月19日土曜日の午後11時（現地時間）に自社のシステムでマルウェアが検出されたという。

Ripple推奨のXRPライブラリがハイジャックされウォレットが盗まれる

• bleepingcomptuerより
• xrpl NPMパッケージのバージョン2.14.2、4.2.1、4.2.2、4.2.3、4.2.4に悪意のあるコードが追加され、昨日午後4時46分から午後5時49分（東部標準時）の間にNPMレジストリに公開されました。これらの脆弱性のあるバージョンはその後削除され、クリーンな4.2.5リリースが利用可能になりました。
• 侵害されたライブラリでは、攻撃者が管理するサーバーに転送され、脅威アクターがウォレットに保管されているすべての資金を盗むことが可能になっています。

“Cookie-byte”攻撃のPoC

• varonisのブログより
• Varonis Threat Labsの 研究者は、攻撃者が窃取したブラウザCookieを用いてMFAを回避するために用いる手法を発見しました。攻撃者は、カスタムメイドの悪意あるブラウザ拡張機能や自動化スクリプトを活用することで、認証Cookieを抽出できます。
• こちら、面白いので別ブログでまとめるかもしれません。

ユーザートークンのログ記録ミスによりMicrosoft Entraアカウントがロックアウトされる

• bleepingcomputerより
• 土曜日の朝、多数の組織が、 アカウントの資格情報が漏洩し 、アカウントが自動的にロックアウトされたという Microsoft Entra アラートを受信し始めたと報告しました。
• マイクロソフトは、週末の Entra アカウントのロックアウトは、内部システムでの誤ったユーザーリフレッシュトークン無効化によって発生したことを確認しました。

2025/04/19

InterlockランサムウェアグループがClickFix攻撃を使用して侵入

• bleepingcomputerより
• Interlock ランサムウェア ギャングは現在、IT ツールを偽装する ClickFix 攻撃を使用して企業ネットワークに侵入し、デバイスにファイル暗号化マルウェアを展開しています。
• ClickFix はソーシャル エンジニアリングの手法であり、被害者を騙してシステム上で危険な PowerShell コマンドを実行させ、エラーを修正したり自分自身を検証したりすることで、マルウェアをインストールさせます。

Windows NTLMハッシュ漏洩(CVE-2025-24054)の脆弱性が政府機関へのフィッシング攻撃に悪用される。APT28が関与の可能性あり

• CheckPoint Researchより
• 2025年3月11日 にPatch Tuesdayで修正されたWindows NTLMの脆弱性(CVE-2025-24054)では、攻撃者によるNTLMハッシュやユーザーパスワードの漏洩、システムへの侵入が可能となる可能性があります。
• 2025年3月20日〜3月21日頃、ポーランド と ルーマニア を含む政府機関および 民間機関を標的とした、この脆弱性を悪用する複数の攻撃キャンペーンが発生した模様です。攻撃者のIPの一つはAPT28に結び付けられています。

CISAがOracle Cloud からのデータ漏洩に関して警告

• CISAのニュースリリースより
• CISAが例のOracle Cloudからのデータ漏洩に関して、各企業に注意を促しています。

2025/04/16

4chanが攻撃されて落ちたらしい。古いPHPが問題か

• 4chanが攻撃を受けて落ちている模様です。
• 古いPHP(2016年にEOL)が攻撃の起因になったのでは、という予想もされています。

2025/04/15

HertzがCleoのゼロデイ脆弱性攻撃で被害を受けていた模様

• HertzのPDFはこちら
• HertzのベンダーであるCleo Communications US, LLC（以下「Cleo」）が関与した事象により、特定の個人の個人情報が影響を受けた可能性があります。
• 2025年2月10日、Hertzのデータが不正な第三者によって取得されたことを確認しました。この第三者は、2024年10月と12月にCleoのプラットフォームに存在するゼロデイ脆弱性を悪用したと推定されます。Hertzは直ちにデータの分析を開始し、事象の範囲を特定し、個人情報が影響を受けた可能性のある個人を特定しました。
• このデータ分析は2025年4月2日に完了し、この事象に関連する個人情報には、氏名、連絡先、生年月日、クレジットカード情報、運転免許証情報、労災補償請求に関する情報が含まれる可能性があると結論付けました。ごく少数の個人については、社会保障番号やその他の政府発行の身分証明書番号、パスポート情報、メディケアまたはメディケイドID（労災補償請求に関連）、または自動車事故の請求に関連する傷害関連情報が、この事象の影響を受けた可能性があります。

アメリカの政府請負業者「CONDUENT」が1月に顧客データを盗まれていたことを報告

• bleepingcomputerより
• Conduent は、運輸、医療、顧客体験、人事などの分野の政府機関および商業顧客にデジタル プラットフォームとソリューションを提供するビジネス サービス企業です。
• 同社は33,000人以上の従業員を擁し、フォーチュン100社の半数と600以上の政府機関および運輸機関にサービスを提供しています。
• 同社は1月に サイバー攻撃を受け 、地方政府機関を含む全米の顧客の業務に影響を及ぼしました。
• Conduent 社はFORM-8K 書類の中で「当社は継続中の調査の一環として、脅威の攻撃者が当社の限られた数の顧客に関連する一連のファイルを盗み出したと判断しました」と報告しました。

サイバーセキュリティ企業が観測のためにハッカーのフォーラムアカウントを購入

• Prodaftより。以下はサイトの文言です。
• 脅威インテリジェンス企業として、私たちはサイバー犯罪者のインフラを可視化し、パターン、戦術、手法、手順を探求することに特化しています。これらの手法は、敵対ネットワークの理解と潜在的なサイバー攻撃の検知・軽減に役立ちます。これらの活動は、ディープウェブやダークウェブ、アンダーグラウンドフォーラム、違法マーケットプレイスといった場所と密接に関連しているため、私たちは網羅的な情報網の構築に限界がないように努めています。 そのため、私たちは特定のフォーラムアカウントを購入し、これらのネットワークにアクセスして敵対的な海域で何が起こっているかを把握することに決めました。言い換えれば、これらのアカウントをヒューマンインテリジェンス（HUMINT）の目的に活用し、ダークウェブへの可視性を最大限に高めたいと考えています。

TLS証明書の有効期限が47日間に

• securityonlineより
• TLS証明書の有効期間を最大47日に短縮するApple社提案SC0-081v3がCA/Browser Forumで可決されたとの事です。
  • 2026/3/14までは最大有効期間は398日。
  • 2027/3/14までは200日。
  • 2028/3/14までは100日。
  • 2028/3/15以降は47日。

新たなResolverRATマルウェアが世界の製薬会社や医療機関を標的に

• Morphisecのブログより
• 「ResolverRAT」と呼ばれる新しいリモート アクセス トロイの木馬 (RAT) が世界中の組織に対して使用されており、最近の攻撃では医療および製薬業界を標的としたマルウェアが使用されています。
• ResolverRAT は、ターゲットの国に一致する言語に合わせて、法律違反または著作権侵害を主張するフィッシング メールを通じて配布されます。
• Morphisec は、イタリア語、チェコ語、ヒンディー語、トルコ語、ポルトガル語、インドネシア語でのフィッシング攻撃を観察しているため、このマルウェアは世界規模で活動しており、さらに多くの国に拡大される可能性があります。

2025/04/13

IKEAがランサムウェアにより2300万ドルの損害

• bleepingcomputerより
• IKEA店舗を運営するFourlis Groupは、2024年11月27日のブラックフライデーの直前にランサムウェア攻撃を受け、推定2,000万ユーロ（2,280万ドル）の損失が発生したと発表しました。
• 同グループはランサムウェアの犯人に金銭を支払わず、外部のサイバーセキュリティ専門家の助けを借りて被害を受けたシステムを復旧したとの事です。

脅威アクターが既知の脆弱性を悪用しようとFortinetデバイスにアクセス

• Fortinetのブログより
• 脅威アクターが既知の脆弱性（ FG-IR-22-398 、 FG-IR-23-097 、 FG-IR-24-015 など）を悪用してフォーティネットデバイスにアクセスしようとしていることが確認されている模様です。
• デバイスのバージョンはきちんとアップデートしましょう。

米国の検査機関に攻撃。160万人の健康データが侵害される

• bleepingcomputerより
• ラボラトリー・サービス・コーポラティブ（LSC）は、ハッカーがシステムから約160万人分の機密情報を盗んだデータ侵害があったことを知らせる声明を発表しました。

2025/04/10

認証情報を盗む前に被害者を審査するフィッシングキット

• bleepingcomputerより
• フィッシング攻撃者は、「Precision-Validated Phishing」と呼ばれる新しい回避戦術を採用しています。これは、脅威攻撃者が特に狙った電子メール アドレスをユーザーが入力した場合にのみ、偽のログイン フォームを表示するというものです。
• この新しい戦術は、極端に高度であったり、特に洗練されているわけではありませんが、すべての無効なターゲットをフィッシング プロセスから除外します。
• こちらも後でまとめる予定です。

Europolによる昨年の「Operation Endgame」の続きで、5名が逮捕

• Europolのニュースより
• 2024年5月に「Operation Endgame」 が行われ、IcedID・SystemBC・Pikabot・Smokeloader・Bumblebeeなどのマルウェアドロッパーがシャットダウンされました。
• 更に北米とヨーロッパの法執行機関は、「Operation Endgame」で明らかになった手がかりを綿密に追跡し、オンライン上の人物名とそのユーザー名を実在の人物と結びつけ、5名を逮捕しています。

2025/04/09

MiraiボットネットによりTVT DVRが攻撃

• bleepingcomputerより
• TVT NVMS9000 DVR を標的としたエクスプロイトが急増していることが検出されました。2025 年 4 月 3 日にピークに達し、2,500 を超える固有 IP が脆弱なデバイスをスキャンしました。
• Miraiボットネットがこの脆弱性を悪用した攻撃を行っている模様です。

2025/04/06

Oracle社がOCIでの漏洩を（Privateで）認めた模様

• bleepingcomputerより
• 3月末から業界で話題になっているOracleのOCIでの漏洩ですが、Oracle社がFBIと調査をしている模様です。攻撃者はユーザーの電子メール、ハッシュ化されたパスワード、ユーザー名などのデータをOracle Identity Manager（IDM）データベースから盗み出したとされています。
• こちらは4月末の時点で、別のブログでまとめる予定です。

CISAが”Fast Flux”攻撃についてのアドバイザリ

• CISAのアドバイザリより
• CISAが「Fast Flux」攻撃についてアドバイザリを出しています。
• こちらの本でも紹介しましたが、ロシアが背後にいるGamedron APT(Trident Ursa)が使っていましたね。

2025/04/03

遺伝子データサイトopenSNPがプライバシーの懸念から閉鎖しデータを削除

• bleepingcomputerより
• openSNPプロジェクト(無料のOpenSourceプラットフォーム)が、プライバシーの懸念と権威主義政府による悪用リスクのため、2025年4月30日にサイトを閉鎖しすべてのユーザー投稿を削除するとのことです。

Royal Mailがデータ漏洩疑惑を調査

• bleepingcomputerより
• イギリスのRoyal Mailが、脅威アクターによる同社システムから盗み出した144GB以上のデータ公開を受けて、セキュリティ侵害を調査している模様です。

2025/04/02

Phishing-as-a-Serviceの「Lucid」がSMS攻撃の背後に存在

• bleepingcomputerより
• 「Lucid」という名のフィッシング・アズ・ア・サービス（PhaaS）プラットフォームは、iMessage（iOS）とRCS（Android）で送信された巧妙に細工されたメッセージを使用して、88か国の169の組織を標的にしています。
• Lucidは2023年半ばから「XinXinグループ」として知られる中国のサイバー犯罪者によって運営されているそうです。

「Crocodilus」と呼ばれる Android マルウェアがユーザーをだまして暗号通貨ウォレットの鍵を窃取

• bleepingcomputerより
• 新たに発見された「Crocodilus」と呼ばれる Android マルウェアが、キーをバックアップするよう警告し、ユーザーをだまして暗号通貨ウォレットのシードフレーズを提供させているそうです。