2025Q3 サイバー攻撃関連

ここでは実際に2025Q3に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

マルウェア・ランサムウェアに関する記事もこちらに統合しました（ランサムウェア攻撃という様に、最近では不可分になってきたため）

2025Q2 サイバー攻撃関連はこちら

2025Q1 サイバー攻撃関連はこちら

2024Q4 サイバー攻撃関連はこちら
2024Q3 サイバー攻撃関連はこちら

2024Q2 サイバー攻撃関連2024Q2はこちら

2024Q1サイバー攻撃関連トピックはこちら

2025/08/29

Storm-0501がクラウドベースのランサムウェア攻撃に移行

• Microsoft Threat Intelligence Groupの調査はこちら
• Microsoftによると、脅威アクターStorm-0501はハイブリッドクラウド環境を標的とすることで知られていますが、主な目的はオンプレミスのエンドポイントランサムウェアの展開からクラウドベースのランサムウェア戦術の利用へと移行しています。

2025/08/28

AIを用いて悪意のあるLua スクリプトを動的に生成するPromptLockランサムウェア

• ESETのTweetより
• ESETの研究者が、Lua スクリプトを使用して Windows、macOS、Linux システム上のデータを盗み暗号化する、PromptLock と呼ばれる初の AI 搭載ランサムウェアを発見しました。
• このマルウェアは、Ollama API を介して OpenAI の gpt-oss:20b モデルを使用し、ハードコードされたプロンプトから悪意のある Lua スクリプトを動的に生成します。

2025/08/27

日産のデザイン業務子会社クリエイティブボックス(CBI)がQilinランサムウェアグループにやられた模様

• bleepingcomputerより
• 日産自動車は、BleepingComputerに対し、子会社の一つであるクリエイティブボックス社（CBI）のサーバーへの不正アクセスによりデータ漏洩が発生したことを認めたそうです。
• Qilinランサムウェアグループは、3D車両設計モデル、内部報告書、財務文書、VR設計ワークフロー、写真などを含む4テラバイトのデータをCBIから盗んだと主張しています。
• 「2025年8月16日、日産がデザイン業務を委託しているクリエイティブボックス株式会社（CBI）のデータサーバーに不審なアクセスが検出された」と日産の広報担当者はBleepingComputerに述べた。

ネバダ州、サイバー攻撃でITシステムが混乱し州庁舎を閉鎖

• bleepingcomputerより
• 8/24早朝からネバダ州に対してサイバー攻撃が始まり、政府のウェブサイト、電話システム、オンラインプラットフォームが混乱し、月曜にはすべての州庁舎が閉鎖に追い込まれた模様です。

2025/08/26

Salesforceのデータ侵害、米国のFARMERS Insuranceも被害に

• bleepingcomputerより
• Salesforceのデータ侵害に関して被害が色々出ていますが、米国のFARMERS Insuranceも被害にあった模様です。
• Salesforceのデータ侵害について纏めたものは、こちらで9月に公開される予定です。

2025/08/21

主要パスワードマネージャの一部がClick Jacking攻撃に脆弱な模様

• bleepingcomputerより
• 攻撃者がパスワード マネージャー インターフェイス上に目に見えない HTML 要素を重ねます。ユーザーは、クリック可能な無害な要素を操作していると信じていますが、自動入力アクションがトリガーされ、機密情報が漏洩します。
• これにより、被害者が悪意のあるページや、クロスサイト スクリプティング (XSS) やキャッシュ ポイズニングに対して脆弱な Web サイトにアクセスしたときに、攻撃者がアカウントの認証情報、2FA コード、クレジットカードの詳細を盗む可能性があります。

2025/08/20

NYビジネス協議会、4万7000人に影響するデータ漏洩を公表

• bleepingcomputerより
• ニューヨーク州ビジネス協議会（BCNYS）は、2月に同協議会のネットワークに侵入した攻撃者が47,000人以上の個人情報、金融情報、健康情報を盗んだことを明らかにしました。
• 現時点では犯人は特定されていない模様です。

米国の製薬企業「Inotiv」がランサムウェア攻撃を受ける

• bleepingcomputerより
• アメリカの製薬会社イノティブは、ランサムウェア攻撃により一部のシステムとデータが暗号化され、同社の事業運営に影響が出ていることを明らかにしました。
• この攻撃はQilinランサムウェアグループによるものとされており、約16万2000件、計176GBのファイルが被害にあった模様です。

2025/08/19

XenoRATマルウェアが韓国の複数の大使館を攻撃

• bleepingcomuterより
• Trellixの研究者 によると、この攻撃は3月から始まっており、現在も継続中で、重要性の高い標的に対して少なくとも19件のスピアフィッシング攻撃を仕掛けている模様です。
• 研究者らによると、インフラと技術は北朝鮮の攻撃者キムスキー（APT43）の手口と一致しているものの、中国を拠点とする攻撃者により一致する兆候もあるそうです。

WorkdayもSalesforceの被害に

• bleepingcomputerより
• WorkdayもSalesforceデータ盗難の被害にあったそうです。金曜日のブログで 明らかにしたところによると、攻撃者は侵入されたCRMシステムに保存された情報の一部にアクセスしたが、顧客テナントには影響がなかったということです。

2025/08/15

Crypto24ランサムウェアグループが大規模攻撃

• bleepingcomputerより
• Crypto24の活動を追跡しているトレンドマイクロによると、Crypto24が金融、製造、エンターテイメント、テクノロジー分野を標的として、米国、ヨーロッパ、アジアを対象に複数の大規模組織を攻撃したということです。
• Crypto24 は知識が豊富で精通しているように思われ、現在は解散したランサムウェア活動の元中心メンバーによって結成された可能性が高いとのことです。

2025/08/11

Googleカレンダーの招待状でGeminiを乗っ取りデータを漏洩する脆弱性

• Safebreachのブログより
• Google は、悪意を持って作成された Google カレンダーの招待状が、ターゲットのデバイスで実行されている Gemini エージェントをリモートで乗っ取り、機密性の高いユーザー データを漏洩させる可能性があるバグを修正しました。
• Promptwareと呼ばれる、gen-AI搭載アプリケーションのセキュリティとプライバシーを脅かす新たな種類の攻撃が登場しています。Promptwareは、テキスト、画像、または音声サンプルによる入力情報であるプロンプトを利用し、推論時にLLMインターフェースを悪用してスパムの拡散や機密情報の抽出といった悪意のあるアクティビティを誘発するように設計されています。
• Promptwareの亜種で、Googleカレンダーの招待状を送るだけでGeminiを乗っ取ることが出来る亜種が研究者により開発できたため、Googleに報告し、Googleがバグを修正したとのことです。
• SafebreachのサイトにPromptwareの概念が図解されています。

2025/08/09

米国連邦裁判所がサイバー攻撃を受ける

• bleepingcomputerより
• US Courtの発表はこちら
• 米連邦裁判所は、機密の裁判文書を保管する電子事件管理システムがサイバー攻撃を受けたことを確認し、サイバーセキュリティ対策を強化しているそうです。
• 同組織は、システム内のほとんどの文書は公開されているが、一部の封印された書類には機密情報が含まれており、ハッカーを阻止することを目的とした厳格なアクセス制御によって保護されていると述べています。

ICE DSIがBlackSuitランサムウェアインフラの撤去を国際協力で主導

• iceのサイトより
• ICE（移民税関捜査局）の国土安全保障捜査局（DSI）は、米国および国際的な法執行機関と緊密に連携し、BlackSuitランサムウェアが利用していた重要インフラの解体に成功したとの発表です。
• この作戦により、ランサムウェアの実行、被害者からの脅迫、そして資金洗浄に使用されていたサーバー、ドメイン、デジタル資産が押収されたとのこと。

2025/08/08

AirFrance/KLMがサイバー攻撃によりデータ漏洩

• bleepingcomputerより
• AirFranceとKLMは8/6に、攻撃者が顧客サービスプラットフォームに侵入し複数顧客のデータを盗んだと発表しました。
• こちらもSalesForceのデータ窃盗に絡んでいる模様です。

EDRKillShifterの進化系、８つのランサムウェアグループで使用

• bleepingcomputerより
• RansomHub、Blacksuit、Medusa、Qilin、Dragonforce、Crytox、Lynx、INC によって使用されているEDR Killerが見つかった模様。EDRに検知されること無く水平移動・権限昇格・暗号化などを行う模様です。
• Sophosによる詳しい説明はこちらになります。

2025/08/07

Google、Salesforceへのデータ窃盗攻撃でデータ漏洩被害に

• Googleのブログはこちら
• 一連のSalesforceへの攻撃の被害がGoogleにも及んだ模様。
• 6月、GoogleのSalesforceインスタンスの1つが、UNC6040と同様の活動の影響を受けました。Googleは既に影響を分析し、緩和策を取っているそうです。
• このインスタンスは、中小企業の連絡先情報と関連メモを保存するために使用されていました。分析の結果、アクセスが遮断される前に、脅威アクターによってデータが取得された模様です。
• 分析の結果、脅威アクターによって取得されたデータは、会社名や連絡先情報などの基本的な公開情報に限られていたとのことです。
• 2025/08/11追記：Google Adsの顧客データの一部が漏洩した模様です。
• 脅威アクター「Shiny Hunters」は「Shiny HuntersとScattered Spiderは同一人物だ」と主張しており、攻撃者が重複している事を主張するために自身を「Sp1d3rHunters」と呼んでいる模様です。

“Ghost Calls”。Web会議を悪用した秘密のC2

• BlackHat USAのAgenda
• ブログはこちら
• TURNプロトコルを使用してZoomとMicrosoft Teamsを経由するトラフィックのトンネリングを行う手法の様です。

AkiraランサムウェアがCPUチューニングドライバを悪用してDefenderを無効化

• bleepingcomputerより
• Akira ランサムウェアは、正規の Intel CPU チューニング ドライバーを悪用して、標的のマシン上で実行されているセキュリティ ツールや Microsoft Defenderを無効にしているようです。
• 悪用されるドライバーは「rwdrv.sys」（ThrottleStopが使用）で、これを用いてカーネルレベルのアクセスを取得しています。
• このドライバーは、Windows Defender を操作して保護を無効にする悪意のあるツールである 2 番目のドライバー「hlpdrv.sys」をロードするために使用される可能性があります。

2025/08/06

CiscoがVishing攻撃に

• Cisco.comのブログはこちら
• 7/24にCiscoがVishing攻撃にあい、Cisco.comにユーザーアカウントを登録した個人の基本アカウントプロファイル情報（氏名、組織名、住所、シスコが割り当てたユーザーID、メールアドレス、電話番号、アカウント関連メタデータ（作成日など））が攻撃者により盗まれた模様です。

2025/08/05

シャネルがSalesforceのデータ攻撃の対象に

• bleepingcomputerより
• フランスのファッション大手シャネルは、Salesforce のデータ盗難攻撃が続く中で、データ侵害に遭った最新の企業となった。
• Chanelによると、この侵害は脅威アクターらがサードパーティのサービスプロバイダーでホストされているChanelデータベースにアクセスした後、7月25日に初めて検出されたそうです。米国の顧客情報が漏洩している模様です。

Plague: PAMベースのLinuxマルウェア

• Nextron Systemsのブログより
• 脅威ハンティング活動の一環で、ステルス性の高いLinuxバックドアを特定しました。これを 「Plague」 と名付けました。このインプラントは悪意のあるPAM（プラグ可能な認証モジュール）として構築されており、攻撃者がシステム認証を密かにバイパスし、永続的なSSHアクセスを取得することを可能にしているそうです。すでにVirusTotalにもこのマルウェアの亜種が上がっている模様です。

複数のランサムウェアグループがSharePointの脆弱性を狙った攻撃をお粉っている模様

• Unit42より
• Palo AltoのToolShell のエクスプロイトに関する調査により、オープンソースの Mauri870 ランサム ウェアの亜種である 4L4MD4R ランサムウェアの展開が明らかになりました。
• Unit 42は、Microsoft SharePointサーバーを標的とした脅威活動を追跡しています。SaaS環境は依然として影響を受けていませんが、セルフホスト型SharePoint環境、特に政府機関、学校、医療機関（病院を含む）、大企業などは、差し迫ったリスクにさらされている模様です。

Mozillaのアドオン開発者を狙った攻撃

• bleepingcomputerより
• Mozilla は、Add-on開発者に対し、公式 AMO (addons.mozilla.org) リポジトリのアカウントを狙ったフィッシング キャンペーンが活発に行われていると警告しています。
• Mozilla の勧告によると、これらのフィッシング メールは AMO チームになりすまし、対象となる開発者アカウントでは開発機能へのアクセスを維持するために更新が必要であるとして騙している模様です。

ProofpointとIntermediaのリンクラッピングを悪用してフィッシングペイロードを配信する攻撃

• CloudFlareの記事はこちら
• リンクラッピングは、Proofpointなどのベンダーによって設計されており、クリックされたすべてのURLをスキャンサービスにルーティングすることでユーザーを保護します。これにより、クリック時に既知の悪意のあるリンク先をブロックできます。例えば、http://malicioussite[.]comへのメールリンクは、https://urldefense[.]proofpoint[.]com/v2/url?u=httpp-3A__malicioussite[.]comになる可能性があります。
• 2025 年 6 月から 2025 年 7 月まで、Cloudflare のメール セキュリティ チームは、Proofpoint と Intermedia のリンク ラッピングを活用してフィッシング ペイロードを隠し、人間の信頼と検出の遅延を悪用して防御を回避する攻撃を観測しているそうです。

2025/08/01

CISAがThoriumをリリース

• CISAがThoriumプラットフォームをリリースしました。
• こちらはファイル分析と結果集約を自動化するスケーラブルな分散型プラットフォームです。Thoriumは、市販ツール、オープンソースツール、カスタムツールをシームレスに統合することで分析ワークフローを自動化し、サイバーセキュリティチームの能力を強化します。ソフトウェア分析、デジタルフォレンジック、インシデント対応など、様々なミッション機能をサポートし、アナリストが複雑なマルウェア脅威を効率的に評価できるようにします。
• 少し触ってブログに纏める予定です。

2025/07/31

Qantas, Allianz Life, LVMH等からのSalesForceデータ窃取の背後にShinyHunters

• bleepingcomputerより
• Qantas, Allianz Life, LVMH, アディダスなどの企業に影響を及ぼしている一連のデータ侵害は、音声フィッシング攻撃を使用して Salesforce CRM からデータを盗む ShinyHunters 脅威グループに関連していることが判明しました。

PyPIがPython開発者に向けたフィッシングメールに関して注意喚起

• PyPIのブログより
• PyPIがPyPIユーザーに対してのメールフィッシング攻撃について注意を呼びかけています。
• PyPIはハッキングされていないが、ユーザーはフィッシング攻撃の標的となっている 偽の PyPI サイトにログインするようにユーザーを騙そうとします。
• 過去数日間、PyPIにプロジェクトを公開したユーザーは パッケージ メタデータにメール アドレスが含まれている場合、次のような件名のメールを”noreply@pypj.org”(iじゃなくjになっていることに注意)から受信した可能性があります:
  • [PyPI] Email verification

ラズパイが攻撃に使われた模様

• Group-IBより
• UNC2891が攻撃に物理的にラズパイを設置した攻撃を行おうとしていた模様です。
• この事件で最も特異な点の一つは、攻撃者が物理的なアクセス手段を用いてRaspberry Piデバイスを設置したことです。このデバイスはATMと同じネットワークスイッチに直接接続されており、事実上銀行の内部ネットワーク内に侵入していました。Raspberry Piには4Gモデムが搭載されており、モバイルデータ通信によるリモートアクセスが可能でした。

SafePayランサムウェアグループがIT大手Ingram Microの3.5TBのデータを漏洩させると脅迫

• bleepingcomputerより
• SafePayランサムウェアグループが、IT大手Ingram Microの3.5TBのデータを漏洩させると脅迫しています。このデータは今月初め、同社の侵入されたシステムから盗まれたとされているものになります。

ミネソタ州、セントポールへのサイバー攻撃を受け州兵を動員

• bleepingcomputerより
• ミネソタ州のティム・ウォルツ知事は、金曜日に同州の州都セントポール市を襲った壊滅的なサイバー攻撃に対応するため州兵を動員した。
• 市は現在、地元、州、連邦のパートナーと協力して攻撃の調査と完全な機能の回復に取り組んでおり、緊急サービスには影響がないと述べている。
• ただし、現在オンラインでの支払いは利用できず、図書館やレクリエーションセンターの一部のサービスも一時的に利用できません。

2025/07/28

Scattered SpiderがVMWare ESXiを対象にする

• bleepingcomputerより
• GTIGによると、Scattered Spiderが、米国の小売、航空、運輸、保険業界の企業の VMware ESXi ハイパーバイザーを攻撃し、仮想化環境を積極的に狙っている模様です。

2025/07/26

「Operation Checkmate」により、BlackSuitランサムウェアグループの脅迫サイトが差し押さえられる

• Bleepingcomputerより
• U.S. Homeland Securityやオランダ国家警察、ドイツ国家刑事庁、英国国家犯罪庁、フランクフルト検察庁、司法省、ウクライナサイバー警察、ユーロポールなどが協調して、BlackSuitランサムウェアグループの摘発を行った模様です。
• BlackSuitランサムウェアグループといえば、角川（KADOKAWA）を攻撃したグループとして知られています。少し纏める予定です。

AI生成のLinux用マルウェアKoske

• AquaSec blogより
• Aqua Nautilusが観測したところによると、LLMの力を借りて作成されたLinux用マルウェア「Koske」が見つかった模様です。
• Pandaのイメージに埋め込まれたマルウェアで、暗号通貨マイニングを目的としている様子です。

2025/07/23

CISA・FBIがInterLockランサムウェアグループについてStopRansomwareで注意喚起

• CISAのサイトより
• CISAが#StopRansomwareとしてInterlockを公開しています。

MicrosoftがSharepointサーバの脆弱性を用いた攻撃を中国のLinen Typhoon／Violet Typhoon/Storm-2603と結びつける

• Microsoftのブログより
• MicrosoftはSharePointサーバの脆弱性（ToolShell）を悪用した攻撃を、中国のLinenTyphoon, Violet Typhoon, Storm-2603と結びつけています。
• 2025/07/24追加：米国の核兵器機関がMicrosoft SharePoint攻撃でハッキングされた模様です。

Diorがサイバー攻撃に

• bleepingcomputerより
• 「調査の結果、2025年1月26日に、権限のない第三者がディオールの顧客に関する情報を含むディオールのデータベースにアクセスできたことが判明しました」との発表です。
• セキュリティインシデントは2025年1月26日に発生したが、同社は2025年5月7日に初めてこれに気づき、その範囲と影響を判断するための社内調査を開始したとのことです。

2025/07/17

ルイ・ヴィトンがサイバー攻撃に遭う

• bleepingcomputerより
• ルイ・ヴィトンが「2025年7月2日、当社システムへの不正アクセスにより一部の顧客の特定の個人データが流出し、その結果生じた個人データ漏洩を認識しました」と顧客に通知しているそうです。英国、韓国、トルコの顧客に影響が有った模様。
• 現在、インシデントを調査中とのことです。

サポートが終了している SonicWall Secure Mobile Access アプライアンスを悪用するOVERSTEPルートキット

• bleepingcomputerより
• UNC6148という脅威グループが、サポート終了 (EoL) を迎えた SonicWall SMA 100 シリーズ デバイスをターゲットにしてOVERSTEPルートキットを展開している模様です。
• UNC6148の攻撃の目的は未だ特定されていません。

2025/07/15

Interlockランサムウェアを用いた攻撃で「FileFix」を使用

• bleepingcomputerより
• Interlock ランサムウェアを用いた攻撃で「FileFix」が使用されています。ClickFix攻撃と似たような手口でセキュリティ研究者mr.d0xによって開発されたソーシャルエンジニアリング攻撃手法です。ユーザーは、Windowsエクスプローラーのアドレスバーにコピーした文字列を貼り付けることで、「ファイルを開く」ように求められます。この文字列は、コメント構文を使用してファイルパスに見せかけたPowerShellコマンドです。

2025/07/11

イギリスでM&S, Coopなどへのサイバー攻撃で四人が逮捕

• bleepingcomputerより
• 英国国家犯罪庁（NCA）は、マークス＆スペンサー、コープ、ハロッズなど国内大手小売店へのサイバー攻撃に関与した疑いで4人を逮捕したそうです。
• Scatterd Spiderとの関係も指摘されています。

2025/07/08

Qantas航空がサイバー攻撃を受ける

• bleepingcomputerより
• Qantas航空がサイバー攻撃を受けた模様。
• Qantas航空のブログはこちらです。

2025/07/04

macOSを狙う暗号窃盗マルウェア「NimDoor」、駆除されても復活

• bleepingcomputerより
• 北朝鮮が背後にいる攻撃者が、暗号通貨関連を標的とした攻撃キャンペーンで、NimDoorと呼ばれる新しいmacOSマルウェア ファミリーを使用しています。
• Sentinel Labsの解析によると、ユーザーがマルウェアを終了させると、コアコンポーネントが展開され、コードが基本的な防御アクションに対して耐性を持つようになるとの事です。

2025/07/02

ICC(国際刑事裁判所)が高度な標的型サイバー攻撃を受ける

• ICCのニュースより
• 先週末、ICCが高度な標的型サイバー攻撃を受けたとのことです。裁判所の警戒・対応メカニズムを通じて迅速に発見、確認され、封じ込められた模様です。