2025Q1 国家が関係している攻撃等

2025Q1の国家が関係している攻撃等（北朝鮮やロシア、米国等）のトピックを載せています。いずれ纏めるためのネタ帳の役目でもあります。

2024Q3 国家が関係している攻撃等へのリンクはこちら

2024Q2 国家が関係している攻撃等へのリンクはこちら

2024Q1 国家が関係している攻撃等へのリンクはこちら

2023Q4 国家が関係している攻撃等へのリンクはこちら

脅威動向に関する情報はこちら（外部サイト）もご参照下さい

2025/03/07

米国司法省・シークレットサービス・FBI・Europolの共同捜査でロシアの暗号資産交換所「Garantex」の差し押さえ

• Europolの記事はこちら
• ロシアに対する制裁（16番目）として、Garantexを差し押さえた模様です。
• こちらは別途記事にします。

2025/03/06

SilkTyphoonがITサプライチェーンを狙う

• Microsoftより
• SilkTyphoonがITサプライチェーンを狙っているとしてMicrosoftからレポートが出ています。

DOJがi-Soon(中国のセキュリティ企業)の従業員を起訴。APT27に関連

• DoJの発表はこちら
• 中華人民共和国政府（「PRC」）政府の指示でISOONの従業員が攻撃を行っていたとして、8人を起訴しています。
• bleepingcomputerによるとYin Kecheng （別名Ykcai）と Zhou Shuai （別名Coldface）はAPT27にリンクされている模様です。
• こちらもどこかでまとめると思います。

2025/03/05

ポーランド宇宙機構（POLSA）がサイバー攻撃に

• bleepingcomputerより
• POLSAに対するサイバーセキュリティ攻撃が発生し、週末からオフラインになっている模様です。現時点では脅威アクターは特定されていませんが、メールシステムを侵害している模様です。

CISAが例の件（ロシアをサイバー作戦から外す）について「サイバーセキュリティは別だよ」とポスト

• CISAのTweetより。
• CISAが例の「ロシアをサイバー作戦から外す」という話について「サイバーセキュリティは別だよ」とポストしています。

2025/02/28

フランスの暗号化・VPN法がプライバシーを侵害するという指摘

• bleepingcomputerより
• プライバシーを中心としたメールサービスのTUTA及びVPN Trust Initiative(VTI)が、フランスの暗号化・VPN方について懸念を表明しています。
• この件は追いかけていませんでしたので、少し追いかけてみます。

2025/02/21

SaltTyphoonがカスタマイズしたマルウェアをスパイに使用していた模様

• bleepingcomputerより
• SaltTyphoonの活動詳細が段々と判明してきています。
• こちらは別の記事でまとめる予定です。

2025/02/20

ロシアの脅威アクターがSignalのデバイスリンク機能を使用してフィッシングを実施

• bleepingcomputerより
• Google Threat Intelligence Group（GTIG）が、Signalのデバイスリンク機能を用いてロシアの脅威アクターがフィッシングキャンペーンを展開していることをレポートにしています。

2025/02/18

Storm-2372(ロシアが背後にいる脅威アクター)がデバイスコードフィッシングキャンペーンを実施

• Microsoftの脅威リサーチより
• Microsoftでは、2024年8月以来進行中の「Storm-2372」による攻撃を観測しています。複数の地域で政府やNGO・幅広い産業を標的にしている模様です。
• 「デバイスコードフィッシング」と呼ばれる特定のフィッシング手法を使用してWhatsAppやSignal, Teamsなどから囮をしかけ、ユーザーがアプリにログインするように誘導し、ログイン情報をキャプチャして取得します。

2025/02/13

北朝鮮のハッカー「Kimsuky」がadminを標的に。PowerShellコマンドを展開

• bleepingcomputerより
• Microsoft Threat Intelligence は、北朝鮮の国家攻撃者 Emerald Sleet (別名 Kimsuky、VELVET CHOLLIMA) が新しい戦術を使用していることを確認しました。この戦術は、ターゲットを騙して PowerShell を管理者として実行させ、脅威攻撃者が提供するコードを貼り付けて実行するというものです。
• MicrosoftのTweetはこちらになります。

Sandworm(Seashell Blizzard)によるBadPilotキャンペーン

• Microsoftのブログより
• MicrosoftがSeashell Blizzard(Sandworm)のBadPilotキャンペーンの分析を公開しています。
• 米国やウクライナ、ヨーロッパ、および中央アジアおよび中東を対象にしているようです。
• 本件は別記事でまとめる予定です。

ロシアのSandwormがMicrosoft Key Management Service（KMS）Activatorsを使用

• bleepingcomputerより
• Sandwormがトロイの木馬入のMicrosoft Key Management Service（KMS）ActivatorsおよびFake Windows Updatesを使用して、ウクライナのWindowsユーザーをターゲットにしています。

2025/02/07

北朝鮮が支援するKimskyグループの攻撃方法に変化。RDPやプロキシなどのツールを使用する方向に

• AhnLabのブログより
• 2024年、Kimskyグループの攻撃方法が変わりました。スピアフィッシング攻撃でのLNKマルウェアを使用するところまでは変わりませんが、感染したシステムをリモートで制御するために、バックドアを設置する方法から、RDPラッパーやプロキシなどのツールを使用する方向にシフトしている模様です。

2025/02/06

スペインで18歳の「Natohub」が逮捕される。米国陸軍・スペイン国軍などに侵入

• bleepingcomputerより
• スペインで18歳の「Natohub」という脅威アクターが逮捕されたそうです。
• スペイン警察が国家治安部隊・国防省・NATO・米軍・大学などの重要な機関を標的とした40件のサイバー攻撃を実行した疑いでハッカー容疑者を逮捕したそうです。

2025/02/05

7-Zipの脆弱性がウクライナを標的とした攻撃に使用されていた模様

• TrendMicroのブログから
• 7-Zipの脆弱性(CVE-2025-0411)がウクライナを標的とした攻撃に使用されていた模様です。
• こちらは別記事でまとめる予定です。

2025/01/28

ロシアGRUによるエストニアへのサイバー攻撃に対してEUが制裁

• EUの記事より
• こちらも参照
• EUが2020年にエストニア共和国に対して実施された一連のサイバー攻撃の責任を負う3人のロシア人の個人（GRUユニット29155のスタッフ）に対する追加の制限措置を採用しました 。

2025/01/22

ロシアが背後にいるStar BlizzardがWhatsAppを標的に

• Microsoftの脅威インテリジェンスチームの記事より
• 2024/11に、Microsoft Threat IntelligenceがStar Blizzardとして追跡しているロシアの脅威アクターが、標的にスピアフィッシング メッセージを送信し、WhatsAppのグループに参加させるように仕向けていることが観察されました。Star Blizzardの標的は、政府や外交関係者（現職および元職の両方）、国防政策や国際関係の研究者でロシアに関わる研究者、そしてロシアとの戦争に関連したウクライナへの援助源に関連することが最も多いとの事です。
• 本件は別記事でまとめる予定です。

2025/01/17

バイデン大統領、国家サイバーセキュリティ強化の大統領令に署名

• bleepingcomputerより
• バイデン大統領は退任の数日前、連邦機関や国の重要インフラを標的にした攻撃への制裁を容易にする、米国のサイバーセキュリティ強化の大統領令に署名したとの事です。
• これらには、近年米国の医療機関を継続的に標的にし、システムを暗号化し、数千万人の米国人の個人データや機密医療データを盗むことで混乱を引き起こしているランサムウェアギャングも含まれます。
• 今後色々話題になってくるベースに取り上げられると思いますので、どこかでまとめます。
• 大統領令はこちらです。

2025/01/10

MirrorFaceに注意

• 警察庁の資料から
• 2019年からMirrorFaceが日本を攻撃している模様です。先日のJAXAの件も彼らが絡んでいる模様です。
• こちらは別記事でまとめる予定です。

BeyondTrust社への攻撃がSilk Typhoonに結び付けられる

• bleepingcomputerより
• まだ詳細は明らかにされていませんが、BeyondTrust社への攻撃がSilk Typhoonによる攻撃だったのではないかという推測が出ています。
• Silk Typhoonに関しては、別記事でまとめる予定です。

2025/01/09

ロシアの大手ISP、ウクライナの攻撃者によりネットワークが破壊されていたことを認める

• bleepingcomputerより
• ウクライナのハクティビストらがロシアのISPであるNodexのネットワークに侵入し、機密文書を盗んだ後システムを消去したとテレグラムで発表しました。
• これに対しNodexがネットワークの破壊を認めた模様です。
• The Recordでも情報が見られます。

2025/01/08

ホワイトハウス、消費者向けデバイスの新しいサイバーセキュリティ安全ラベル「US Cyber​​ Trust Mark」を発表

• ホワイトハウスの声明はこちら
• ホワイトハウスが「米国サイバートラストマーク」を開始すると発表しました。これは米国の消費者に接続デバイスがサイバーセキュリティで保護されているかを簡単に確認できるラベルのようです。

2025/01/07

中国のSalt Typhoonによる被害が広がる

• bleepingcomputerより
• Salt Typhoonが新たにCharter/Windstreamに侵入していたことがわかりました。
• Salt Typhoonの被害は広がっていますね。CISAが「財務省の情報漏えいは他の連邦政府機関には影響を与えていない」と発表していますが、どこまで広がるかはわかりません。

Eagerbee バックドアが中東の政府機関や ISPに置かれる

• bleepingcomputerより
• Eagerbee マルウェア フレームワークの新しい亜種が、中東の政府機関やインターネット サービス プロバイダー (ISP) に対して導入されている模様です。以前、このマルウェアはソフォスが「クリムゾンパレス」という中国国家支援の攻撃で追跡していました。

2025/01/03

米国財務省への攻撃

• bleepingcomputerより
• 中国の、おそらくSalt TyphoonがBeyondTrust社を攻撃し、その後米国財務省へ侵入したのではないかという話が出ています。少し調べましたが、Salt Typhoonが関与しているというなんらかの証拠は今の所公開されていません（非公開の情報がある可能性が高い）。
• Salt Typhoonに関しては、別記事でまとめます（すでに草稿は出しており、1月中公開予定）。