2025Q2 国家が関係している攻撃等

2025Q1の国家が関係している攻撃等（北朝鮮やロシア、米国等）のトピックを載せています。いずれ纏めるためのネタ帳の役目でもあります。

2025Q1 国家が関係している攻撃等へのリンクはこちら

2024Q4 国家が関係している攻撃等へのリンクはこちら

2024Q3 国家が関係している攻撃等へのリンクはこちら

2024Q2 国家が関係している攻撃等へのリンクはこちら

2024Q1 国家が関係している攻撃等へのリンクはこちら

2023Q4 国家が関係している攻撃等へのリンクはこちら

脅威動向に関する情報はこちら（外部サイト）もご参照下さい

2025/06/24

APT28がSignalチャットを用いたウクライナに対する新たなマルウェア攻撃を開始

• bleepingcomputerより
• ロシア政府が支援する脅威グループ APT28 は、Signal チャットを使用して、これまで文書化されていない 2 つのマルウェア ファミリである BeardShell と SlimAgent でウクライナ政府を標的にしています。
• この攻撃は2024年3月にウクライナのコンピューターおよび緊急対応（ CERT-UA ）によって初めて発見されたが、当時は感染ベクトルに関する詳細は限られていました。
• この辺もまた別記事で纏めます。

USのDHSがイランによるサイバー攻撃のリスク増大を警告

• DHSの情報より
• イラン紛争の継続は、米国における脅威環境の高まりを引き起こしています。親イランのハクティビストによる米国ネットワークへの低レベルのサイバー攻撃の可能性が高く、イラン政府と関係のあるサイバーアクターによる米国ネットワークへの攻撃も考えられます。イランはまた、2020年1月に殺害されたイラン軍司令官の死に関与したと見なす米国政府関係者を長年標的としています。イラン指導部が米国内の標的に対する報復的な暴力行為を求める宗教的判決を出した場合、米国内の暴力的過激派が紛争への対応として独自に暴力行為に及ぶ可能性は高まるでしょう。最近の米国内での複数のテロ攻撃は、反ユダヤ主義または反イスラエル感情を動機としており、イスラエルとイランの紛争が続く中、米国に拠点を置く個人がさらなる攻撃を企てる一因となる可能性があります。

SaltTyphoonがCiscoの脆弱性を悪用して侵入

• bleepingcomputerより
• カナダサイバーセキュリティセンターとFBIは、中国政府が支援するハッキング集団「ソルトタイフーン」がカナダの通信会社も標的にしており、2月に通信プロバイダーのシステムに侵入したことを確認した。
• 2025 年 2 月のインシデントでは、Salt Typhoon が CVE-2023-20198 の 欠陥を悪用しました。これは、リモートの認証されていない攻撃者が任意のアカウントを作成し、管理者レベルの権限を取得することを可能にする重大な Cisco IOS XE の脆弱性です。
• この欠陥は2023年10月に初めて明らかになり、脅威アクターらがこれをゼロデイ攻撃として悪用し、 1万台以上のデバイスを ハッキングしたと報告されました。

2025/06/19

北朝鮮のハッカー「BlueNoroff」、Zoom会議で幹部をディープフェイクしてMacマルウェア拡散

• bleepingcomputerより
• 北朝鮮のハッキンググループ「BlueNoroff」(別名TA444, Sapphire Sleet)は、Zoom 通話中に企業幹部にディープフェイクを行い、従業員を騙して macOS デバイスにカスタムマルウェアをインストールさせているそうです。
• 従業員が実際にズーム会議に参加した際、信憑性を高めるために、従業員の会社の著名な上級管理職やさまざまな外部参加者のディープフェイク動画が含まれていました。
• 会議中、被害者はマイクに問題が発生し、技術的な問題と思われる不具合に遭遇しました。ディープフェイクは、この問題を解決すると思われるZoom拡張機能をダウンロードするよう被害者に勧めました。
• Telegram 経由で提供されたリンクにより、被害者は AppleScript ファイル (zoom_sdk_support.scpt) をダウンロードすることになります。
• 興味深い攻撃なので、別の場所で纏めるかもしれません。

2025/06/08

ロシアが背後にいる脅威アクターが”PathWiper”を用いてウクライナを攻撃

• Cisco Talosのブログより
• Cisco Talos は、ウクライナ国内の重要なインフラストラクチャに対する、これまで知られていないワイパー「PathWiper」を使用した破壊的な攻撃を観察しました。 脅威アクターはまだ特定されていません。
• この攻撃は、正当なエンドポイント管理フレームワークを介して実行されたため、攻撃者は管理コンソールにアクセスし、それを使用して悪意のあるコマンドを発行し、接続されたエンドポイント全体に PathWiper を展開したと考えられます。

2025/06/05

ウクライナがロシアの戦略戦闘機メーカー、Tupolevをハッキングしたと主張

• bleepingcomputerより
• ウクライナの報道機関によると、GUR内部の情報筋は、軍の情報機関のハッカーらがツポレフのシステムに侵入し、4.4ギガバイトの機密情報を盗んだと語っています。
• 盗まれたデータには、ツポレフの従業員の個人データ、社内通信（会社の経営陣が交換したメッセージを含む）、調達文書、エンジニアや設計者の履歴書、非公開会議の議事録などが含まれています。

Microsoftが新たな欧州セキュリティプログラムを開始

• Microsoftより
• マイクロソフトは、国家レベルのアクターによるヨーロッパのネットワークを狙った継続的な脅威活動を継続的に観測しており、特にロシアと中国の活動がヨーロッパで活発です。予想通り、ロシアはウクライナとウクライナを支援するヨーロッパ諸国を特に標的にし続けています。イランや北朝鮮の悪意ある活動に関与する者を含む国家レベルのアクターは、認証情報の盗難や脆弱性の悪用による企業や政府のネットワークへのアクセスを通じて、主にヨーロッパでスパイ活動を行っています。中国を含む複数のキャンペーンでは、学術機関も標的としており、アカウントを侵害して機密性の高い研究データにアクセスしたり、シンクタンクに対して地政学的スパイ活動を行ったりしています。
• こちらにもあるとおり、AIベースの脅威インテリジェンスを強化したり、5つの取り組みを行う模様です。

2025/06/01

APT41がGoogleカレンダーをC2に利用するマルウェアを展開

• Google Threat Intelligence Groupのレポートより
• 中国を拠点とする攻撃者 APT41 （HOODOOとしても追跡されている）によって使用されているマルウェアが、GoogleカレンダーをC2として利用しているという調査結果が明らかになっています。
• 実行されると、TOUGHPROGRESSはハードコードされた日付（2023年5月30日）に0分のカレンダーイベントを作成し、侵害されたホストから収集されたデータを暗号化してカレンダーイベントの説明に書き込みます。
• オペレーターは、2023年7月30日と2023年7月31日のカレンダーイベントに暗号化されたコマンドを配置します。これらの日付はマルウェアにハードコードされた所定の日付です。その後、TOUGHPROGRESSはカレンダー上でこれらのイベントのポーリングを開始します。イベントが取得されると、イベントの説明が復号され、そこに含まれるコマンドが侵害されたホスト上で実行されます。コマンド実行の結果は暗号化され、別のカレンダーイベントに書き戻されます。
• 興味深い内容なので、どこかでまとめる予定です。

APT31がチェコ共和国外務省へのサイバー攻撃を行った可能性

• bleepingcomputerより
• チェコ共和国の声明はこちら
• 2022年から行われているチェコ共和国への外務省へのサイバー攻撃に対して、中華人民共和国を非難しています。APT31は中国が背後にいると思われる脅威アクターになります。

2025/05/28

ロシアのLaundry Bearがオランダ警察への攻撃に関与

• bleepingcomputerより
• ロシアの支援を受けたサイバースパイ集団「Laundry Bear」が、2024年9月のオランダ警察のセキュリティ侵害に関連していることが判明した。

2025/05/22

ロシア政府、モスクワの外国人に追跡アプリのインストールを義務付ける法律導入

• bleepingcomputerより
• ロシア政府のサイトはこちら
• ロシア政府がモスクワ地域のすべての外国人に追跡アプリのインストールを義務付ける新しい法律を導入したそうです。
• この新たな提案は、国家院議長のヴィアチェスラフ・ヴォロディン氏によって発表され、移民犯罪に対処するための対策として提示されています。

APT28がウクライナへの援助ルートを追跡するために侵入

• CISAのサイトからリンクが貼られている12カ国の勧告（PDF）がこちら
• APT28が2022年以来、ウクライナへの援助活動を妨害するために国際機関を標的にし、侵入している模様です。
• 約 12 か国の 21 の諜報機関およびサイバー セキュリティ機関による共同勧告では、APT28 (ロシアの GRU 85th GTsSS、軍事部隊 26165) が攻撃に使用したTTPを共有しています。

2025/05/20

UK Legal Aid Agency (法律補助庁)からのデータ漏洩

• bleepingcomputerより
• 政府の発表はこちら
• 5月はじめにUK LAAがサイバー攻撃に遭いましたが、国民ID番号などの重要なデータが漏洩していた模様です。

2025/05/19

FBIが米国当局者を標的にしたVoiceディープフェイク攻撃の情報を公開

• bleepingcomputerより
• FBIは、4月に始まった音声フィッシング攻撃で、サイバー犯罪者がAI生成の音声ディープフェイクを使って米国当局者を標的にしていると警告しました。
• この警告は木曜日に発行された公共広告の一部であり、音声ディープフェイク（ボイスディープフェイクとも呼ばれる）を使用した攻撃を一般の人々が見つけてブロックできるようにするための緩和策も提供しています。
• FBIは、「2025年4月以降、悪意のある攻撃者が米国高官を装って個人を標的にしており、その多くは現職または元職の米国連邦政府または州政府高官とその関係者です。米国高官を名乗るメッセージを受け取った場合、本物だと決めつけないでください」と警告しています。

ロシアが背後にいるAPT28による「RoundPress」作戦

• ESETのブログより
• ESETの研究者が、XSS脆弱性を利用してウェブメールサーバーを狙ったロシアと連携したスパイ活動「Operation RoundPress」を発見しました。Operation RoundPress では、XSS の脆弱性を利用して被害者の Web メール ページに悪意のある JavaScript コードを挿入するスピアフィッシング メールが侵害ベクトルとなります。
• 2023 年、Operation RoundPress は Roundcube のみを標的としていましたが、2024 年には Horde、MDaemon、Zimbra などの他のウェブメール ソフトウェアにも拡大しました。

2025/05/15

オーストラリア人権委員会がデータ漏洩

• bleepingcomputerより
• オーストラリア人権委員会のプレスリリースはこちら
• AHRCの670件の文書が2025年4月3日から5月5日の間にオンラインで公開されアクセスされた模様です。
• こちらは外部からの攻撃ではないという発表もなされていますが、詳細は今後明らかになると思われます。

2025/05/14

北朝鮮、戦争リスク評価のため、ウクライナでサイバースパイ活動を強化

• ProofPointのブログより
• 北朝鮮の脅威グループ Konni (Opal Sleet、TA406) が、諜報活動においてウクライナ政府機関を標的にしていることが確認された模様です。
• ちょうど別資料を作っているところなので、参考にする予定です。

2025/05/09

GoogleのGTIHがロシア政府が支援する脅威グループCOLDRIVER（別名UNC4057、Star Blizzard、Callisto）に起因するLOSTKEYSと呼ばれる新しいマルウェアを特定

• Google GTIGのブログより
• Google Threat Intelligence Group（GTIG）は、ロシア政府が支援する脅威グループCOLDRIVER（別名UNC4057、Star Blizzard、Callisto）に起因するLOSTKEYSと呼ばれる新しいマルウェアを特定しました。2025年の1月、3月、4月に確認されたLOSTKEYSは、NATO諸国の政府、非政府組織（NGO）、元諜報・外交官などの著名な標的に対する認証情報フィッシングで知られるグループCOLDRIVERのツールセットにおける新たな展開を示しています。

2025/05/08

CISAがOT（運用技術）に対する脅威の緩和策を公開

• CISAのサイトより
• CISAは米国の重要インフラ事業体の運用技術（OT）および産業制御システム（ICS）に影響を与えるサイバーインシデントを認識し、緩和策を公開しています。
• OTデバイスをインターネットに接続しない、デフォルトのパスワードを変更する、などが書かれています。参考にしましょう。

2025/05/06

トランプ政権が使用するSignalクローンがハックされた模様

• 404mediaより
• 404 Mediaの取材によると、ハッカーがTeleMessage(Signalの改造版を米国政府に販売している会社)の顧客データを侵害し、盗み出したということです。
• ハッカーが盗んだデータには、Signalクローンを使って送信されたダイレクトメッセージやグループチャット、そしてWhatsApp、Telegram、WeChatの改造版が含まれているとのこと。

2025/05/02

ロシアのハクティビスト「NoName057」によるオランダ政府機関へのDDoS攻撃

• オランダのNCSCより
• ロシアのハクティビスト「NoName057」がオランダ政府機関のシステムにDDoS攻撃を仕掛けていた模様です。

2025/04/30

フランスが12の組織への攻撃にAPT28が関与していると発表

• bleepingcomputerより
• フランス外務省が、APT28が過去4年間にフランスの12の組織を標的にし侵入したと非難しました。
• フランスの声明はこちらです。

2025/04/17

MITREへの米国政府の資金提供が終了。CVEが危機に

• bleepingcomputerより
• セキュリティ関係では非常にお世話になっている、SCAPの中のCVEを管理している（現在は事務局）MITREへの米国政府の資金提供が終わるそうです。
• これが終わると様々なセキュリティの枠組みが崩壊してしまいます。
• CVE Foundationもできた模様です。
• CISAは「重要なCVEサービスの中断がないように」資金を増額したそうです。
• こちらは別ブログでまとめる予定です。

2025/04/16

MidnightBleezard(APT29)、新たなフィッシング攻撃で大使館を攻撃

• bleepingcomputerより
• ロシア政府が支援するスパイ集団「Midnight Bleezard(APT29)」が、大使館を含む欧州の外交機関を狙った新たなスピアフィッシング攻撃キャンペーンを展開しているそうです。
• Check Point Research によると、この新たなキャンペーンでは、「GrapeLoader」と呼ばれるこれまで見たことのないマルウェア ローダーと、「WineLoader」バックドアの新しい亜種が導入されるという事です。

2025/04/09

SilkTyphoon 2023年から潜んでいたらしい

• bleepingcomputerより
• SilkTyphoonが2023年から潜んでいたらしいという話です。後で別ブログにまとめます。

2025/04/02

北朝鮮のLazarusがClickFix攻撃を用いて仮想通貨を窃取

• bleepingcomputerより
• Lazarusが「ClickFix攻撃」を用いて仮想通貨を窃取している模様です。