2025Q3 サイバー攻撃関連 - SIOS SECURITY BLOG

ここでは実際に2025Q3に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

マルウェア・ランサムウェアに関する記事もこちらに統合しました（ランサムウェア攻撃という様に、最近では不可分になってきたため）

2025Q2 サイバー攻撃関連はこちら

2025Q1 サイバー攻撃関連はこちら

2024Q2 サイバー攻撃関連2024Q2はこちら

2024Q1サイバー攻撃関連トピックはこちら

2025/09/21

UK、Scattered Spiderのメンバーと見られる２名の十代を逮捕

bleepingcomputerより
2024年8月にロンドン交通局に対して行われたサイバー攻撃に関与したとみられる10代の若者2人が英国で逮捕されたそうです。

FBIは、偽のFBI犯罪報告ポータルを利用する攻撃者について警告

IC3の通知より
FBIのIC3を模倣したサイトが攻撃者により利用されているようです。偽装された Web サイトは個人情報の窃盗や金銭詐欺などの違法行為に利用される可能性があります。

2025/09/19

ShinyHunterグループがSalesLoft Driftの侵害に関して犯行を主張

bleepingcomputerより
ShinyHunters グループは、侵害された Salesloft Drift OAuth トークンを使用して 760 社から 15 億件を超える Salesforce レコードを盗んだと主張しています。
彼らは現在、自らを「Scattered Lapsus$ Hunters」と名乗っています。Googleはこれらの活動をUNC6040およびUNC6395として追跡しています。

2025/09/18

SonicWallのCloudバックアップ(MySonicWall)のデータ侵害

SonicWallの発表はこちら
特定のMySonicWallアカウントに保存されているファイアウォール設定のバックアップファイルが漏洩したとの事です。
今回のインシデントにより、MSWにログインしてクラウドバックアップが有効になっているかを確認してほしいと書かれています。こちらの手順に従って、データ侵害の被害者になっているかを確認しましょう。

2025/09/17

ステガノグラフィーを利用した、新たなFileFix攻撃

Acronisより
ステガノグラフィーを利用したFiliFix攻撃が見つかりました。
一見無害なJPG画像内に、第二段階のPowerShellスクリプトと暗号化された実行可能ペイロードの両方を埋め込んでいる模様です。

@ctrl/tinycolor@4.1.1に含まれるマルウェアによるnpmのサプライチェーン攻撃

LinkedInの投稿より
@ctrl/tinycolor@4.1.1に含まれるマルウェアによるサプライチェーン攻撃が起きている模様です。
「今のところは、過去24時間以内に作成された奇妙なリポジトリやブランチがあるかどうかを確認してください。これは、数週間前に発生したNxへの攻撃の続編（？）のようです。オープンソースリポジトリのメンテナーの方は、新しく公開されたバージョンを確認してください。」とのことです。

2025/09/16

FinWise銀行でデータ漏洩

bleepingcomputerより
フィンワイズ銀行は、元従業員が退職後に機密ファイルにアクセスしたためにデータ漏洩が発生したとして、法人顧客に代わって警告しています。
「2024年5月31日、FinWise社は、雇用終了後にFinWise社のデータにアクセスした元従業員が関与するデータセキュリティインシデントを経験しました」と、American First Finance (AFF) に代わってFinWise社が送信したデータ侵害通知には記されています。

「Scattered Lapsus$ Hunters」による犯行声明

bleepingcomputerより
「Scattered Lapsus$ Hunters」グループは、Shiny Hunters、Scattered Spider、Lapsus$グループとつながりのあるメンバーで構成されていると主張しており、今年Salesforceデータを標的としたデータ盗難の背後にいるとされています。
同グループは木曜日に「活動を休止する」と発表した直後、アクセスしたとされるもののスクリーンショットを投稿しています。
GoogleはBleepingComputerに対し、「法執行機関の要請により、当社のシステム内に不正なアカウントが作成されていることを確認したため、当該アカウントを無効にしました」と語ったそうです。
「Scattered Lapsus$ Hunters」の件は個別でまとめようと思います。

2025/09/12

新たな攻撃「VMScape(CVE-2025-40300)」。AMD、Intel CPUのゲストホスト分離が破られる

bleepingcomputerより
新たなSpectre系統の攻撃「VMScape」が見つかった模様です。
論文はこちらになります。
こちら、JapanSecuritySummitUpdateの記事にする予定です。

2025/09/05

「GhostAction」と呼ばれる GitHub へのサプライチェーン攻撃

GitGuardianのブログより
2025年9月5日、GitGuardianは、817のリポジトリにわたる327人のGitHubユーザーに影響を与える大規模なサプライチェーン攻撃であるGhostActionを発見しました。攻撃者は、リモートエンドポイントへのHTTP POSTリクエストを介して、PyPI、npm、DockerHubトークンを含む3,325件のシークレットを盗み出す悪意のあるワークフローを挿入しました。
こちらは別の記事で取り上げると思います。

Cisco ASAデバイスを狙ったネットワークスキャンが急増

bleepingcomputerより
GreyNoise は 8 月下旬に 2 回の大規模なネットワークスキャンがCisco ASAデバイスをターゲットにしていたとして、製品に今後欠陥が生じる可能性があると警告しています。
GreyNoiseによると、スキャンされた製品の新たな脆弱性が明らかになる前に、このような偵察活動が行われるケースが 80% に上ると説明しています。

2025/09/04

攻撃者がHexStrike-AIを使用してn-Day脆弱性を悪用

bleepingcomputerより
攻撃者がHexStrike-AIを使用してn-Day脆弱性を悪用するコードを生成するケースが増えているそうです。
HexStrike-AIはこちらです。

2025/09/03

Jaguar LandRoverにサイバーインシデント

Jaguar LandRoverの発表はこちら
Jaguar LandRoverでサイバーインシデントが発生した模様です。
現段階では顧客データが盗まれたという証拠は無いそうですが、販売活動と生産活動は混乱に陥っているそうです。

Palo Alto Networkがデータ侵害。顧客情報とサポートケースが流出

bleepingcomputerより
Palo Alto Networks は、攻撃者が Salesloft Drift の侵害から得た OAuth トークンを悪用して Salesforce インスタンスにアクセスした後、顧客データとサポートケースが公開されるデータ侵害に見舞われました。
Salesloft Driftの侵害が広がっているようですので、こちらは別途まとめる予定です。
FBI Flashはこちら
Salesloft Driftの件はこちらにまとめています。

2025/08/29

Storm-0501がクラウドベースのランサムウェア攻撃に移行

Microsoft Threat Intelligence Groupの調査はこちら
Microsoftによると、脅威アクターStorm-0501はハイブリッドクラウド環境を標的とすることで知られていますが、主な目的はオンプレミスのエンドポイントランサムウェアの展開からクラウドベースのランサムウェア戦術の利用へと移行しています。

2025/08/28

AIを用いて悪意のあるLua スクリプトを動的に生成するPromptLockランサムウェア

ESETのTweetより
ESETの研究者が、Lua スクリプトを使用して Windows、macOS、Linux システム上のデータを盗み暗号化する、PromptLock と呼ばれる初の AI 搭載ランサムウェアを発見しました。
このマルウェアは、Ollama API を介して OpenAI の gpt-oss:20b モデルを使用し、ハードコードされたプロンプトから悪意のある Lua スクリプトを動的に生成します。

2025/08/27

日産のデザイン業務子会社クリエイティブボックス(CBI)がQilinランサムウェアグループにやられた模様

bleepingcomputerより
日産自動車は、BleepingComputerに対し、子会社の一つであるクリエイティブボックス社（CBI）のサーバーへの不正アクセスによりデータ漏洩が発生したことを認めたそうです。
Qilinランサムウェアグループは、3D車両設計モデル、内部報告書、財務文書、VR設計ワークフロー、写真などを含む4テラバイトのデータをCBIから盗んだと主張しています。
「2025年8月16日、日産がデザイン業務を委託しているクリエイティブボックス株式会社（CBI）のデータサーバーに不審なアクセスが検出された」と日産の広報担当者はBleepingComputerに述べた。

ネバダ州、サイバー攻撃でITシステムが混乱し州庁舎を閉鎖

bleepingcomputerより
8/24早朝からネバダ州に対してサイバー攻撃が始まり、政府のウェブサイト、電話システム、オンラインプラットフォームが混乱し、月曜にはすべての州庁舎が閉鎖に追い込まれた模様です。

2025/08/26

Salesforceのデータ侵害、米国のFARMERS Insuranceも被害に

bleepingcomputerより
Salesforceのデータ侵害に関して被害が色々出ていますが、米国のFARMERS Insuranceも被害にあった模様です。
Salesforceのデータ侵害について纏めたものは、こちらで9月に公開される予定です。

2025/08/21

主要パスワードマネージャの一部がClick Jacking攻撃に脆弱な模様

bleepingcomputerより
攻撃者がパスワードマネージャーインターフェイス上に目に見えない HTML 要素を重ねます。ユーザーは、クリック可能な無害な要素を操作していると信じていますが、自動入力アクションがトリガーされ、機密情報が漏洩します。
これにより、被害者が悪意のあるページや、クロスサイトスクリプティング (XSS) やキャッシュポイズニングに対して脆弱な Web サイトにアクセスしたときに、攻撃者がアカウントの認証情報、2FA コード、クレジットカードの詳細を盗む可能性があります。

2025/08/20

NYビジネス協議会、4万7000人に影響するデータ漏洩を公表

bleepingcomputerより
ニューヨーク州ビジネス協議会（BCNYS）は、2月に同協議会のネットワークに侵入した攻撃者が47,000人以上の個人情報、金融情報、健康情報を盗んだことを明らかにしました。
現時点では犯人は特定されていない模様です。

米国の製薬企業「Inotiv」がランサムウェア攻撃を受ける

bleepingcomputerより
アメリカの製薬会社イノティブは、ランサムウェア攻撃により一部のシステムとデータが暗号化され、同社の事業運営に影響が出ていることを明らかにしました。
この攻撃はQilinランサムウェアグループによるものとされており、約16万2000件、計176GBのファイルが被害にあった模様です。

2025/08/19

XenoRATマルウェアが韓国の複数の大使館を攻撃

bleepingcomuterより
Trellixの研究者によると、この攻撃は3月から始まっており、現在も継続中で、重要性の高い標的に対して少なくとも19件のスピアフィッシング攻撃を仕掛けている模様です。
研究者らによると、インフラと技術は北朝鮮の攻撃者キムスキー（APT43）の手口と一致しているものの、中国を拠点とする攻撃者により一致する兆候もあるそうです。

WorkdayもSalesforceの被害に

bleepingcomputerより
WorkdayもSalesforceデータ盗難の被害にあったそうです。金曜日のブログで明らかにしたところによると、攻撃者は侵入されたCRMシステムに保存された情報の一部にアクセスしたが、顧客テナントには影響がなかったということです。

2025/08/15

Crypto24ランサムウェアグループが大規模攻撃

bleepingcomputerより
Crypto24の活動を追跡しているトレンドマイクロによると、Crypto24が金融、製造、エンターテイメント、テクノロジー分野を標的として、米国、ヨーロッパ、アジアを対象に複数の大規模組織を攻撃したということです。
Crypto24 は知識が豊富で精通しているように思われ、現在は解散したランサムウェア活動の元中心メンバーによって結成された可能性が高いとのことです。

2025/08/11

Googleカレンダーの招待状でGeminiを乗っ取りデータを漏洩する脆弱性

Safebreachのブログより
Google は、悪意を持って作成された Google カレンダーの招待状が、ターゲットのデバイスで実行されている Gemini エージェントをリモートで乗っ取り、機密性の高いユーザーデータを漏洩させる可能性があるバグを修正しました。
Promptwareと呼ばれる、gen-AI搭載アプリケーションのセキュリティとプライバシーを脅かす新たな種類の攻撃が登場しています。Promptwareは、テキスト、画像、または音声サンプルによる入力情報であるプロンプトを利用し、推論時にLLMインターフェースを悪用してスパムの拡散や機密情報の抽出といった悪意のあるアクティビティを誘発するように設計されています。
Promptwareの亜種で、Googleカレンダーの招待状を送るだけでGeminiを乗っ取ることが出来る亜種が研究者により開発できたため、Googleに報告し、Googleがバグを修正したとのことです。
SafebreachのサイトにPromptwareの概念が図解されています。

2025/08/09

米国連邦裁判所がサイバー攻撃を受ける

bleepingcomputerより
US Courtの発表はこちら
米連邦裁判所は、機密の裁判文書を保管する電子事件管理システムがサイバー攻撃を受けたことを確認し、サイバーセキュリティ対策を強化しているそうです。
同組織は、システム内のほとんどの文書は公開されているが、一部の封印された書類には機密情報が含まれており、ハッカーを阻止することを目的とした厳格なアクセス制御によって保護されていると述べています。

ICE DSIがBlackSuitランサムウェアインフラの撤去を国際協力で主導

iceのサイトより
ICE（移民税関捜査局）の国土安全保障捜査局（DSI）は、米国および国際的な法執行機関と緊密に連携し、BlackSuitランサムウェアが利用していた重要インフラの解体に成功したとの発表です。
この作戦により、ランサムウェアの実行、被害者からの脅迫、そして資金洗浄に使用されていたサーバー、ドメイン、デジタル資産が押収されたとのこと。

2025/08/08

AirFrance/KLMがサイバー攻撃によりデータ漏洩

bleepingcomputerより
AirFranceとKLMは8/6に、攻撃者が顧客サービスプラットフォームに侵入し複数顧客のデータを盗んだと発表しました。
こちらもSalesForceのデータ窃盗に絡んでいる模様です。

EDRKillShifterの進化系、８つのランサムウェアグループで使用

bleepingcomputerより
RansomHub、Blacksuit、Medusa、Qilin、Dragonforce、Crytox、Lynx、INC によって使用されているEDR Killerが見つかった模様。EDRに検知されること無く水平移動・権限昇格・暗号化などを行う模様です。
Sophosによる詳しい説明はこちらになります。

2025/08/07

Google、Salesforceへのデータ窃盗攻撃でデータ漏洩被害に

Googleのブログはこちら
一連のSalesforceへの攻撃の被害がGoogleにも及んだ模様。
6月、GoogleのSalesforceインスタンスの1つが、UNC6040と同様の活動の影響を受けました。Googleは既に影響を分析し、緩和策を取っているそうです。
このインスタンスは、中小企業の連絡先情報と関連メモを保存するために使用されていました。分析の結果、アクセスが遮断される前に、脅威アクターによってデータが取得された模様です。
分析の結果、脅威アクターによって取得されたデータは、会社名や連絡先情報などの基本的な公開情報に限られていたとのことです。
2025/08/11追記：Google Adsの顧客データの一部が漏洩した模様です。
脅威アクター「Shiny Hunters」は「Shiny HuntersとScattered Spiderは同一人物だ」と主張しており、攻撃者が重複している事を主張するために自身を「Sp1d3rHunters」と呼んでいる模様です。

“Ghost Calls”。Web会議を悪用した秘密のC2

BlackHat USAのAgenda
ブログはこちら
TURNプロトコルを使用してZoomとMicrosoft Teamsを経由するトラフィックのトンネリングを行う手法の様です。

AkiraランサムウェアがCPUチューニングドライバを悪用してDefenderを無効化

bleepingcomputerより
Akira ランサムウェアは、正規の Intel CPU チューニングドライバーを悪用して、標的のマシン上で実行されているセキュリティツールや Microsoft Defenderを無効にしているようです。
悪用されるドライバーは「rwdrv.sys」（ThrottleStopが使用）で、これを用いてカーネルレベルのアクセスを取得しています。
このドライバーは、Windows Defender を操作して保護を無効にする悪意のあるツールである 2 番目のドライバー「hlpdrv.sys」をロードするために使用される可能性があります。

2025/08/06

CiscoがVishing攻撃に

Cisco.comのブログはこちら
7/24にCiscoがVishing攻撃にあい、Cisco.comにユーザーアカウントを登録した個人の基本アカウントプロファイル情報（氏名、組織名、住所、シスコが割り当てたユーザーID、メールアドレス、電話番号、アカウント関連メタデータ（作成日など））が攻撃者により盗まれた模様です。

2025/08/05

シャネルがSalesforceのデータ攻撃の対象に

bleepingcomputerより
フランスのファッション大手シャネルは、Salesforce のデータ盗難攻撃が続く中で、データ侵害に遭った最新の企業となった。
Chanelによると、この侵害は脅威アクターらがサードパーティのサービスプロバイダーでホストされているChanelデータベースにアクセスした後、7月25日に初めて検出されたそうです。米国の顧客情報が漏洩している模様です。

Plague: PAMベースのLinuxマルウェア

Nextron Systemsのブログより
脅威ハンティング活動の一環で、ステルス性の高いLinuxバックドアを特定しました。これを 「Plague」 と名付けました。このインプラントは悪意のあるPAM（プラグ可能な認証モジュール）として構築されており、攻撃者がシステム認証を密かにバイパスし、永続的なSSHアクセスを取得することを可能にしているそうです。すでにVirusTotalにもこのマルウェアの亜種が上がっている模様です。

複数のランサムウェアグループがSharePointの脆弱性を狙った攻撃をお粉っている模様

Unit42より
Palo AltoのToolShell のエクスプロイトに関する調査により、オープンソースの Mauri870 ランサムウェアの亜種である 4L4MD4R ランサムウェアの展開が明らかになりました。
Unit 42は、Microsoft SharePointサーバーを標的とした脅威活動を追跡しています。SaaS環境は依然として影響を受けていませんが、セルフホスト型SharePoint環境、特に政府機関、学校、医療機関（病院を含む）、大企業などは、差し迫ったリスクにさらされている模様です。

Mozillaのアドオン開発者を狙った攻撃

bleepingcomputerより
Mozilla は、Add-on開発者に対し、公式 AMO (addons.mozilla.org) リポジトリのアカウントを狙ったフィッシングキャンペーンが活発に行われていると警告しています。
Mozilla の勧告によると、これらのフィッシングメールは AMO チームになりすまし、対象となる開発者アカウントでは開発機能へのアクセスを維持するために更新が必要であるとして騙している模様です。

ProofpointとIntermediaのリンクラッピングを悪用してフィッシングペイロードを配信する攻撃

CloudFlareの記事はこちら
リンクラッピングは、Proofpointなどのベンダーによって設計されており、クリックされたすべてのURLをスキャンサービスにルーティングすることでユーザーを保護します。これにより、クリック時に既知の悪意のあるリンク先をブロックできます。例えば、http://malicioussite[.]comへのメールリンクは、https://urldefense[.]proofpoint[.]com/v2/url?u=httpp-3A__malicioussite[.]comになる可能性があります。
2025 年 6 月から 2025 年 7 月まで、Cloudflare のメールセキュリティチームは、Proofpoint と Intermedia のリンクラッピングを活用してフィッシングペイロードを隠し、人間の信頼と検出の遅延を悪用して防御を回避する攻撃を観測しているそうです。

2025/08/01

CISAがThoriumをリリース

CISAがThoriumプラットフォームをリリースしました。
こちらはファイル分析と結果集約を自動化するスケーラブルな分散型プラットフォームです。Thoriumは、市販ツール、オープンソースツール、カスタムツールをシームレスに統合することで分析ワークフローを自動化し、サイバーセキュリティチームの能力を強化します。ソフトウェア分析、デジタルフォレンジック、インシデント対応など、様々なミッション機能をサポートし、アナリストが複雑なマルウェア脅威を効率的に評価できるようにします。
少し触ってブログに纏める予定です。

2025/07/31

Qantas, Allianz Life, LVMH等からのSalesForceデータ窃取の背後にShinyHunters

bleepingcomputerより
Qantas, Allianz Life, LVMH, アディダスなどの企業に影響を及ぼしている一連のデータ侵害は、音声フィッシング攻撃を使用して Salesforce CRM からデータを盗む ShinyHunters 脅威グループに関連していることが判明しました。

PyPIがPython開発者に向けたフィッシングメールに関して注意喚起

PyPIのブログより
PyPIがPyPIユーザーに対してのメールフィッシング攻撃について注意を呼びかけています。
PyPIはハッキングされていないが、ユーザーはフィッシング攻撃の標的となっている偽の PyPI サイトにログインするようにユーザーを騙そうとします。
過去数日間、PyPIにプロジェクトを公開したユーザーはパッケージメタデータにメールアドレスが含まれている場合、次のような件名のメールを”noreply@pypj.org”(iじゃなくjになっていることに注意)から受信した可能性があります:
- [PyPI] Email verification

ラズパイが攻撃に使われた模様

Group-IBより
UNC2891が攻撃に物理的にラズパイを設置した攻撃を行おうとしていた模様です。
この事件で最も特異な点の一つは、攻撃者が物理的なアクセス手段を用いてRaspberry Piデバイスを設置したことです。このデバイスはATMと同じネットワークスイッチに直接接続されており、事実上銀行の内部ネットワーク内に侵入していました。Raspberry Piには4Gモデムが搭載されており、モバイルデータ通信によるリモートアクセスが可能でした。

SafePayランサムウェアグループがIT大手Ingram Microの3.5TBのデータを漏洩させると脅迫

bleepingcomputerより
SafePayランサムウェアグループが、IT大手Ingram Microの3.5TBのデータを漏洩させると脅迫しています。このデータは今月初め、同社の侵入されたシステムから盗まれたとされているものになります。

ミネソタ州、セントポールへのサイバー攻撃を受け州兵を動員

bleepingcomputerより
ミネソタ州のティム・ウォルツ知事は、金曜日に同州の州都セントポール市を襲った壊滅的なサイバー攻撃に対応するため州兵を動員した。
市は現在、地元、州、連邦のパートナーと協力して攻撃の調査と完全な機能の回復に取り組んでおり、緊急サービスには影響がないと述べている。
ただし、現在オンラインでの支払いは利用できず、図書館やレクリエーションセンターの一部のサービスも一時的に利用できません。

2025/07/28

Scattered SpiderがVMWare ESXiを対象にする

bleepingcomputerより
GTIGによると、Scattered Spiderが、米国の小売、航空、運輸、保険業界の企業の VMware ESXi ハイパーバイザーを攻撃し、仮想化環境を積極的に狙っている模様です。

2025/07/26

「Operation Checkmate」により、BlackSuitランサムウェアグループの脅迫サイトが差し押さえられる

Bleepingcomputerより
U.S. Homeland Securityやオランダ国家警察、ドイツ国家刑事庁、英国国家犯罪庁、フランクフルト検察庁、司法省、ウクライナサイバー警察、ユーロポールなどが協調して、BlackSuitランサムウェアグループの摘発を行った模様です。
BlackSuitランサムウェアグループといえば、角川（KADOKAWA）を攻撃したグループとして知られています。少し纏める予定です。

AI生成のLinux用マルウェアKoske

AquaSec blogより
Aqua Nautilusが観測したところによると、LLMの力を借りて作成されたLinux用マルウェア「Koske」が見つかった模様です。
Pandaのイメージに埋め込まれたマルウェアで、暗号通貨マイニングを目的としている様子です。

2025/07/23

CISA・FBIがInterLockランサムウェアグループについてStopRansomwareで注意喚起

CISAのサイトより
CISAが#StopRansomwareとしてInterlockを公開しています。

MicrosoftがSharepointサーバの脆弱性を用いた攻撃を中国のLinen Typhoon／Violet Typhoon/Storm-2603と結びつける

Microsoftのブログより
MicrosoftはSharePointサーバの脆弱性（ToolShell）を悪用した攻撃を、中国のLinenTyphoon, Violet Typhoon, Storm-2603と結びつけています。
2025/07/24追加：米国の核兵器機関がMicrosoft SharePoint攻撃でハッキングされた模様です。

Diorがサイバー攻撃に

bleepingcomputerより
「調査の結果、2025年1月26日に、権限のない第三者がディオールの顧客に関する情報を含むディオールのデータベースにアクセスできたことが判明しました」との発表です。
セキュリティインシデントは2025年1月26日に発生したが、同社は2025年5月7日に初めてこれに気づき、その範囲と影響を判断するための社内調査を開始したとのことです。

2025/07/17

ルイ・ヴィトンがサイバー攻撃に遭う

bleepingcomputerより
ルイ・ヴィトンが「2025年7月2日、当社システムへの不正アクセスにより一部の顧客の特定の個人データが流出し、その結果生じた個人データ漏洩を認識しました」と顧客に通知しているそうです。英国、韓国、トルコの顧客に影響が有った模様。
現在、インシデントを調査中とのことです。

サポートが終了している SonicWall Secure Mobile Access アプライアンスを悪用するOVERSTEPルートキット

bleepingcomputerより
UNC6148という脅威グループが、サポート終了 (EoL) を迎えた SonicWall SMA 100 シリーズデバイスをターゲットにしてOVERSTEPルートキットを展開している模様です。
UNC6148の攻撃の目的は未だ特定されていません。

2025/07/15

Interlockランサムウェアを用いた攻撃で「FileFix」を使用

bleepingcomputerより
Interlock ランサムウェアを用いた攻撃で「FileFix」が使用されています。ClickFix攻撃と似たような手口でセキュリティ研究者mr.d0xによって開発されたソーシャルエンジニアリング攻撃手法です。ユーザーは、Windowsエクスプローラーのアドレスバーにコピーした文字列を貼り付けることで、「ファイルを開く」ように求められます。この文字列は、コメント構文を使用してファイルパスに見せかけたPowerShellコマンドです。

2025/07/11

イギリスでM&S, Coopなどへのサイバー攻撃で四人が逮捕

bleepingcomputerより
英国国家犯罪庁（NCA）は、マークス＆スペンサー、コープ、ハロッズなど国内大手小売店へのサイバー攻撃に関与した疑いで4人を逮捕したそうです。
Scatterd Spiderとの関係も指摘されています。

2025/07/08

Qantas航空がサイバー攻撃を受ける

bleepingcomputerより
Qantas航空がサイバー攻撃を受けた模様。
Qantas航空のブログはこちらです。

2025/07/04

macOSを狙う暗号窃盗マルウェア「NimDoor」、駆除されても復活

bleepingcomputerより
北朝鮮が背後にいる攻撃者が、暗号通貨関連を標的とした攻撃キャンペーンで、NimDoorと呼ばれる新しいmacOSマルウェアファミリーを使用しています。
Sentinel Labsの解析によると、ユーザーがマルウェアを終了させると、コアコンポーネントが展開され、コードが基本的な防御アクションに対して耐性を持つようになるとの事です。

2025/07/02

ICC(国際刑事裁判所)が高度な標的型サイバー攻撃を受ける

ICCのニュースより
先週末、ICCが高度な標的型サイバー攻撃を受けたとのことです。裁判所の警戒・対応メカニズムを通じて迅速に発見、確認され、封じ込められた模様です。