2025Q3 サイバー攻撃関連

ここでは実際に2025Q3に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

マルウェア・ランサムウェアに関する記事もこちらに統合しました（ランサムウェア攻撃という様に、最近では不可分になってきたため）

2025Q2 サイバー攻撃関連はこちら

2025Q1 サイバー攻撃関連はこちら

2024Q4 サイバー攻撃関連はこちら
2024Q3 サイバー攻撃関連はこちら

2024Q2 サイバー攻撃関連2024Q2はこちら

2024Q1サイバー攻撃関連トピックはこちら

2025/08/11

Googleカレンダーの招待状でGeminiを乗っ取りデータを漏洩する脆弱性

• Safebreachのブログより
• Google は、悪意を持って作成された Google カレンダーの招待状が、ターゲットのデバイスで実行されている Gemini エージェントをリモートで乗っ取り、機密性の高いユーザー データを漏洩させる可能性があるバグを修正しました。
• Promptwareと呼ばれる、gen-AI搭載アプリケーションのセキュリティとプライバシーを脅かす新たな種類の攻撃が登場しています。Promptwareは、テキスト、画像、または音声サンプルによる入力情報であるプロンプトを利用し、推論時にLLMインターフェースを悪用してスパムの拡散や機密情報の抽出といった悪意のあるアクティビティを誘発するように設計されています。
• Promptwareの亜種で、Googleカレンダーの招待状を送るだけでGeminiを乗っ取ることが出来る亜種が研究者により開発できたため、Googleに報告し、Googleがバグを修正したとのことです。
• SafebreachのサイトにPromptwareの概念が図解されています。

2025/08/09

米国連邦裁判所がサイバー攻撃を受ける

• bleepingcomputerより
• US Courtの発表はこちら
• 米連邦裁判所は、機密の裁判文書を保管する電子事件管理システムがサイバー攻撃を受けたことを確認し、サイバーセキュリティ対策を強化しているそうです。
• 同組織は、システム内のほとんどの文書は公開されているが、一部の封印された書類には機密情報が含まれており、ハッカーを阻止することを目的とした厳格なアクセス制御によって保護されていると述べています。

ICE DSIがBlackSuitランサムウェアインフラの撤去を国際協力で主導

• iceのサイトより
• ICE（移民税関捜査局）の国土安全保障捜査局（DSI）は、米国および国際的な法執行機関と緊密に連携し、BlackSuitランサムウェアが利用していた重要インフラの解体に成功したとの発表です。
• この作戦により、ランサムウェアの実行、被害者からの脅迫、そして資金洗浄に使用されていたサーバー、ドメイン、デジタル資産が押収されたとのこと。

2025/08/08

AirFrance/KLMがサイバー攻撃によりデータ漏洩

• bleepingcomputerより
• AirFranceとKLMは8/6に、攻撃者が顧客サービスプラットフォームに侵入し複数顧客のデータを盗んだと発表しました。
• こちらもSalesForceのデータ窃盗に絡んでいる模様です。

EDRKillShifterの進化系、８つのランサムウェアグループで使用

• bleepingcomputerより
• RansomHub、Blacksuit、Medusa、Qilin、Dragonforce、Crytox、Lynx、INC によって使用されているEDR Killerが見つかった模様。EDRに検知されること無く水平移動・権限昇格・暗号化などを行う模様です。
• Sophosによる詳しい説明はこちらになります。

2025/08/07

Google、Salesforceへのデータ窃盗攻撃でデータ漏洩被害に

• Googleのブログはこちら
• 一連のSalesforceへの攻撃の被害がGoogleにも及んだ模様。
• 6月、GoogleのSalesforceインスタンスの1つが、UNC6040と同様の活動の影響を受けました。Googleは既に影響を分析し、緩和策を取っているそうです。
• このインスタンスは、中小企業の連絡先情報と関連メモを保存するために使用されていました。分析の結果、アクセスが遮断される前に、脅威アクターによってデータが取得された模様です。
• 分析の結果、脅威アクターによって取得されたデータは、会社名や連絡先情報などの基本的な公開情報に限られていたとのことです。
• 2025/08/11追記：Google Adsの顧客データの一部が漏洩した模様です。
• 脅威アクター「Shiny Hunters」は「Shiny HuntersとScattered Spiderは同一人物だ」と主張しており、攻撃者が重複している事を主張するために自身を「Sp1d3rHunters」と呼んでいる模様です。

“Ghost Calls”。Web会議を悪用した秘密のC2

• BlackHat USAのAgenda
• ブログはこちら
• TURNプロトコルを使用してZoomとMicrosoft Teamsを経由するトラフィックのトンネリングを行う手法の様です。

AkiraランサムウェアがCPUチューニングドライバを悪用してDefenderを無効化

• bleepingcomputerより
• Akira ランサムウェアは、正規の Intel CPU チューニング ドライバーを悪用して、標的のマシン上で実行されているセキュリティ ツールや Microsoft Defenderを無効にしているようです。
• 悪用されるドライバーは「rwdrv.sys」（ThrottleStopが使用）で、これを用いてカーネルレベルのアクセスを取得しています。
• このドライバーは、Windows Defender を操作して保護を無効にする悪意のあるツールである 2 番目のドライバー「hlpdrv.sys」をロードするために使用される可能性があります。

2025/08/06

CiscoがVishing攻撃に

• Cisco.comのブログはこちら
• 7/24にCiscoがVishing攻撃にあい、Cisco.comにユーザーアカウントを登録した個人の基本アカウントプロファイル情報（氏名、組織名、住所、シスコが割り当てたユーザーID、メールアドレス、電話番号、アカウント関連メタデータ（作成日など））が攻撃者により盗まれた模様です。

2025/08/05

シャネルがSalesforceのデータ攻撃の対象に

• bleepingcomputerより
• フランスのファッション大手シャネルは、Salesforce のデータ盗難攻撃が続く中で、データ侵害に遭った最新の企業となった。
• Chanelによると、この侵害は脅威アクターらがサードパーティのサービスプロバイダーでホストされているChanelデータベースにアクセスした後、7月25日に初めて検出されたそうです。米国の顧客情報が漏洩している模様です。

Plague: PAMベースのLinuxマルウェア

• Nextron Systemsのブログより
• 脅威ハンティング活動の一環で、ステルス性の高いLinuxバックドアを特定しました。これを 「Plague」 と名付けました。このインプラントは悪意のあるPAM（プラグ可能な認証モジュール）として構築されており、攻撃者がシステム認証を密かにバイパスし、永続的なSSHアクセスを取得することを可能にしているそうです。すでにVirusTotalにもこのマルウェアの亜種が上がっている模様です。

複数のランサムウェアグループがSharePointの脆弱性を狙った攻撃をお粉っている模様

• Unit42より
• Palo AltoのToolShell のエクスプロイトに関する調査により、オープンソースの Mauri870 ランサム ウェアの亜種である 4L4MD4R ランサムウェアの展開が明らかになりました。
• Unit 42は、Microsoft SharePointサーバーを標的とした脅威活動を追跡しています。SaaS環境は依然として影響を受けていませんが、セルフホスト型SharePoint環境、特に政府機関、学校、医療機関（病院を含む）、大企業などは、差し迫ったリスクにさらされている模様です。

Mozillaのアドオン開発者を狙った攻撃

• bleepingcomputerより
• Mozilla は、Add-on開発者に対し、公式 AMO (addons.mozilla.org) リポジトリのアカウントを狙ったフィッシング キャンペーンが活発に行われていると警告しています。
• Mozilla の勧告によると、これらのフィッシング メールは AMO チームになりすまし、対象となる開発者アカウントでは開発機能へのアクセスを維持するために更新が必要であるとして騙している模様です。

ProofpointとIntermediaのリンクラッピングを悪用してフィッシングペイロードを配信する攻撃

• CloudFlareの記事はこちら
• リンクラッピングは、Proofpointなどのベンダーによって設計されており、クリックされたすべてのURLをスキャンサービスにルーティングすることでユーザーを保護します。これにより、クリック時に既知の悪意のあるリンク先をブロックできます。例えば、http://malicioussite[.]comへのメールリンクは、https://urldefense[.]proofpoint[.]com/v2/url?u=httpp-3A__malicioussite[.]comになる可能性があります。
• 2025 年 6 月から 2025 年 7 月まで、Cloudflare のメール セキュリティ チームは、Proofpoint と Intermedia のリンク ラッピングを活用してフィッシング ペイロードを隠し、人間の信頼と検出の遅延を悪用して防御を回避する攻撃を観測しているそうです。

2025/08/01

CISAがThoriumをリリース

• CISAがThoriumプラットフォームをリリースしました。
• こちらはファイル分析と結果集約を自動化するスケーラブルな分散型プラットフォームです。Thoriumは、市販ツール、オープンソースツール、カスタムツールをシームレスに統合することで分析ワークフローを自動化し、サイバーセキュリティチームの能力を強化します。ソフトウェア分析、デジタルフォレンジック、インシデント対応など、様々なミッション機能をサポートし、アナリストが複雑なマルウェア脅威を効率的に評価できるようにします。
• 少し触ってブログに纏める予定です。

2025/07/31

Qantas, Allianz Life, LVMH等からのSalesForceデータ窃取の背後にShinyHunters

• bleepingcomputerより
• Qantas, Allianz Life, LVMH, アディダスなどの企業に影響を及ぼしている一連のデータ侵害は、音声フィッシング攻撃を使用して Salesforce CRM からデータを盗む ShinyHunters 脅威グループに関連していることが判明しました。

PyPIがPython開発者に向けたフィッシングメールに関して注意喚起

• PyPIのブログより
• PyPIがPyPIユーザーに対してのメールフィッシング攻撃について注意を呼びかけています。
• PyPIはハッキングされていないが、ユーザーはフィッシング攻撃の標的となっている 偽の PyPI サイトにログインするようにユーザーを騙そうとします。
• 過去数日間、PyPIにプロジェクトを公開したユーザーは パッケージ メタデータにメール アドレスが含まれている場合、次のような件名のメールを”noreply@pypj.org”(iじゃなくjになっていることに注意)から受信した可能性があります:
  • [PyPI] Email verification

ラズパイが攻撃に使われた模様

• Group-IBより
• UNC2891が攻撃に物理的にラズパイを設置した攻撃を行おうとしていた模様です。
• この事件で最も特異な点の一つは、攻撃者が物理的なアクセス手段を用いてRaspberry Piデバイスを設置したことです。このデバイスはATMと同じネットワークスイッチに直接接続されており、事実上銀行の内部ネットワーク内に侵入していました。Raspberry Piには4Gモデムが搭載されており、モバイルデータ通信によるリモートアクセスが可能でした。

SafePayランサムウェアグループがIT大手Ingram Microの3.5TBのデータを漏洩させると脅迫

• bleepingcomputerより
• SafePayランサムウェアグループが、IT大手Ingram Microの3.5TBのデータを漏洩させると脅迫しています。このデータは今月初め、同社の侵入されたシステムから盗まれたとされているものになります。

ミネソタ州、セントポールへのサイバー攻撃を受け州兵を動員

• bleepingcomputerより
• ミネソタ州のティム・ウォルツ知事は、金曜日に同州の州都セントポール市を襲った壊滅的なサイバー攻撃に対応するため州兵を動員した。
• 市は現在、地元、州、連邦のパートナーと協力して攻撃の調査と完全な機能の回復に取り組んでおり、緊急サービスには影響がないと述べている。
• ただし、現在オンラインでの支払いは利用できず、図書館やレクリエーションセンターの一部のサービスも一時的に利用できません。

2025/07/28

Scattered SpiderがVMWare ESXiを対象にする

• bleepingcomputerより
• GTIGによると、Scattered Spiderが、米国の小売、航空、運輸、保険業界の企業の VMware ESXi ハイパーバイザーを攻撃し、仮想化環境を積極的に狙っている模様です。

2025/07/26

「Operation Checkmate」により、BlackSuitランサムウェアグループの脅迫サイトが差し押さえられる

• Bleepingcomputerより
• U.S. Homeland Securityやオランダ国家警察、ドイツ国家刑事庁、英国国家犯罪庁、フランクフルト検察庁、司法省、ウクライナサイバー警察、ユーロポールなどが協調して、BlackSuitランサムウェアグループの摘発を行った模様です。
• BlackSuitランサムウェアグループといえば、角川（KADOKAWA）を攻撃したグループとして知られています。少し纏める予定です。

AI生成のLinux用マルウェアKoske

• AquaSec blogより
• Aqua Nautilusが観測したところによると、LLMの力を借りて作成されたLinux用マルウェア「Koske」が見つかった模様です。
• Pandaのイメージに埋め込まれたマルウェアで、暗号通貨マイニングを目的としている様子です。

2025/07/23

CISA・FBIがInterLockランサムウェアグループについてStopRansomwareで注意喚起

• CISAのサイトより
• CISAが#StopRansomwareとしてInterlockを公開しています。

MicrosoftがSharepointサーバの脆弱性を用いた攻撃を中国のLinen Typhoon／Violet Typhoon/Storm-2603と結びつける

• Microsoftのブログより
• MicrosoftはSharePointサーバの脆弱性（ToolShell）を悪用した攻撃を、中国のLinenTyphoon, Violet Typhoon, Storm-2603と結びつけています。
• 2025/07/24追加：米国の核兵器機関がMicrosoft SharePoint攻撃でハッキングされた模様です。

Diorがサイバー攻撃に

• bleepingcomputerより
• 「調査の結果、2025年1月26日に、権限のない第三者がディオールの顧客に関する情報を含むディオールのデータベースにアクセスできたことが判明しました」との発表です。
• セキュリティインシデントは2025年1月26日に発生したが、同社は2025年5月7日に初めてこれに気づき、その範囲と影響を判断するための社内調査を開始したとのことです。

2025/07/17

ルイ・ヴィトンがサイバー攻撃に遭う

• bleepingcomputerより
• ルイ・ヴィトンが「2025年7月2日、当社システムへの不正アクセスにより一部の顧客の特定の個人データが流出し、その結果生じた個人データ漏洩を認識しました」と顧客に通知しているそうです。英国、韓国、トルコの顧客に影響が有った模様。
• 現在、インシデントを調査中とのことです。

サポートが終了している SonicWall Secure Mobile Access アプライアンスを悪用するOVERSTEPルートキット

• bleepingcomputerより
• UNC6148という脅威グループが、サポート終了 (EoL) を迎えた SonicWall SMA 100 シリーズ デバイスをターゲットにしてOVERSTEPルートキットを展開している模様です。
• UNC6148の攻撃の目的は未だ特定されていません。

2025/07/15

Interlockランサムウェアを用いた攻撃で「FileFix」を使用

• bleepingcomputerより
• Interlock ランサムウェアを用いた攻撃で「FileFix」が使用されています。ClickFix攻撃と似たような手口でセキュリティ研究者mr.d0xによって開発されたソーシャルエンジニアリング攻撃手法です。ユーザーは、Windowsエクスプローラーのアドレスバーにコピーした文字列を貼り付けることで、「ファイルを開く」ように求められます。この文字列は、コメント構文を使用してファイルパスに見せかけたPowerShellコマンドです。

2025/07/11

イギリスでM&S, Coopなどへのサイバー攻撃で四人が逮捕

• bleepingcomputerより
• 英国国家犯罪庁（NCA）は、マークス＆スペンサー、コープ、ハロッズなど国内大手小売店へのサイバー攻撃に関与した疑いで4人を逮捕したそうです。
• Scatterd Spiderとの関係も指摘されています。

2025/07/08

Qantas航空がサイバー攻撃を受ける

• bleepingcomputerより
• Qantas航空がサイバー攻撃を受けた模様。
• Qantas航空のブログはこちらです。

2025/07/04

macOSを狙う暗号窃盗マルウェア「NimDoor」、駆除されても復活

• bleepingcomputerより
• 北朝鮮が背後にいる攻撃者が、暗号通貨関連を標的とした攻撃キャンペーンで、NimDoorと呼ばれる新しいmacOSマルウェア ファミリーを使用しています。
• Sentinel Labsの解析によると、ユーザーがマルウェアを終了させると、コアコンポーネントが展開され、コードが基本的な防御アクションに対して耐性を持つようになるとの事です。

2025/07/02

ICC(国際刑事裁判所)が高度な標的型サイバー攻撃を受ける

• ICCのニュースより
• 先週末、ICCが高度な標的型サイバー攻撃を受けたとのことです。裁判所の警戒・対応メカニズムを通じて迅速に発見、確認され、封じ込められた模様です。