2025Q4 サイバー攻撃関連

ここでは実際に2025Q4に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

マルウェア・ランサムウェアに関する記事もこちらに統合しました（ランサムウェア攻撃という様に、最近では不可分になってきたため）

2025Q3 サイバー攻撃関連はこちら
2025Q2 サイバー攻撃関連はこちら

2025Q1 サイバー攻撃関連はこちら

2024Q4 サイバー攻撃関連はこちら
2024Q3 サイバー攻撃関連はこちら

2025/11/16

ClickFix攻撃で「finger」プロトコルが使用される

• bleepingcomputerより
• ClickFix攻撃で、懐かしの「finger」プロトコルを使用してユーザに関する基本情報を返すようにしているキャンペーンが確認された模様です。
• fingerコマンドで色々情報出てきますからね。

2025/11/15

LogitechがCl0pランサムウェアグループの被害を公表

• bleepingcomputerより
• ハードウェアで有名なLogitechですが、7月のClopランサムウェアグループによる攻撃でデータ漏洩が発生したことを確認したそうです。
• ロジテックは 米国証券取引委員会にフォーム 8-K を提出し、侵害によりデータが盗まれたことを公表しました。

2025/11/14

CISAがAKIRA Ransomwareグループの情報を更新

• Stop Ransomwareより
• CISAがAKIRAランサムウェアグループの情報を更新しています。
• 以下はアップデート部分です。
  • 2025年6月のインシデントでは、Akiraの脅威アクターが初めてNutanix AHV VMディスクファイルを暗号化し、CVE-2024-40766を悪用しました。
  • 2025年9月下旬現在、Akiraランサムウェアは約2億4,417万ドル（米ドル）のランサムウェア収益を主張しています。

2025/11/13

AmazonがCiscoの脆弱性(CVE-2025-20337)とCitrixの脆弱性(Citrix Bleed 2: CVE-2025-5777)を悪用するAPTを発見

• AWSのブログより
• Amazonの脅威インテリジェンスチーム(Amazon Threat Intelligence)が、MadPot ハニーポットを用いてCiscoの脆弱性(CVE-2025-20337)とCitrixの脆弱性(Citrix Bleed 2: CVE-2025-5777)を悪用するAPTを検知したそうです。

Googleが通話料金詐欺の背後にある中国のプラットフォーム「Lighthouse」を解体するよう提訴

• bleepingcomputerより
• Googleがスミッシング(Smithing)詐欺に世界中で使われている、フィッシング・アズ・ア・サービス（PhaaS）プラットフォーム「Lighthouse」を解体するために訴訟を起こしたそうです。

2025/11/12

“Quantum Route Redirect”というフィッシングプラットフォームがMicrosoft 365の資格情報を窃取

• Knowbe4のブログより
• セキュリティ企業KnowBe4のレポートによると、”Quantum Route Redirect”というフィッシングプラットフォームが1,000のドメインを使用してMicrosoft 365の資格情報を窃取している模様です。

2025/11/11

Yanluowangランサムウェア攻撃のIABが罪を認める司法取引

• bleepingcomputerより
• ロシア国籍の男が、2021年7月から2022年11月の間に少なくとも8社の米国企業を標的としたYanluowangランサムウェア攻撃の初期アクセスブローカー（IAB）として活動した罪を認めることにした模様です。
• Apple iCloudデータ（alekseyvolkov4574@icloud[.]com Apple IDを使用するアカウントにリンク）、暗号通貨取引記録、および電話番号とロシアのパスポートにリンクされたソーシャルメディアアカウント（qwerty4574@mail[.]ruメールに関連付けられたTwitterアカウントを含む）を通じて、ボルコフの身元を追跡したそうです。
• 司法取引の文書はこちらになります。

2025/11/07

ClickFix攻撃が進化

• PushSecurityのページより
• ClickFix攻撃が、よりユーザを騙す方向に進化している模様です。見た目や配信方法などが進化しています。例えば検出ソフトを迂回するために、e-Mailを使わない、などです。

ネバダ州がランサムウェアに攻撃された経緯を発表

• documentcloudの文書はこちら
• ネバダ州がランサムウェアに攻撃された経緯を公開しています。
• トレーニングのネタになりそうなので、ちょっと見てみます。

2025/11/06

GTIG AI脅威トラッカー：脅威アクターによるAIツールの利用の進歩

• Google Threat Intelligence Group(GTIG)の記事より
• GTIGによる、実行時にLLMを使用するPROMPTFLUX や PROMPTSTEALの記事・及び脅威アクターが纏められています。

ヒュンダイAutoEver Americaで情報漏洩

• bleepingcomputerより
• ヒュンダイAutoEver Americaでは3月1日に侵入を発見したそうです。調査の結果、攻撃者は2月22日からシステムにアクセスしていたことが判明した模様です。
• ヒュンダイの顧客への説明のPDFはこちらです。

2025/11/05

日経新聞のSlackに不正ログイン、約1万7千人分の情報流出の可能性

• 日経新聞の報告より
• 日本経済新聞は4日、業務の一部で利用しているSlackが外部から不正にログインされ、社員や取引先など1万7368人分の個人情報やチャット履歴が流出した可能性があると発表しました。
• 社員の個人保有のパソコンがウイルスに感染し、Slackの認証情報が流出。この情報をもとに社員のアカウントに不正にログインしたとみられます。9月に被害を把握し、パスワードを変更するなどの対策をとりました。
• 流出した可能性のある情報は、Slackに登録されていた氏名やメールアドレス、チャット履歴など1万7368人分とのことです。

ロシアの攻撃者Curly COMradesがHyper-Vを悪用してEDRを回避

• bleepingcomputerより
• ロシアの攻撃者Curly COMradesは、WindowsのHyper-V を悪用し、マルウェアを実行するためのAlpine Linux仮想マシンを作成して、EDRを回避しています。
• Curly COMradesは、2024年半ばから活動していると考えられる脅威グループです。
• BitDefenderの記事はこちらになります。

6億ユーロ以上をロンダリングしていた仮想通貨ネットワークを摘発

• EUROJUST(欧州連合刑事司法協力機関)から
• フランス、ベルギー、キプロス、ドイツ、スペインの当局が協力して仮想通貨マネーロンダリングネットワークを摘発した模様です。

2025/11/04

攻撃者がRMMツールを使って侵入し、貨物を盗む貨物窃盗

• bleepingcomputerより
• 攻撃者は、悪意のあるリンクや電子メールを使用して貨物ブローカーやトラック運送業者を標的としています。貨物を乗っ取って物理的な商品を盗むためにRMMツールを展開しているそうです。
• 貨物窃盗とは、輸送中のトラックやトレーラーを乗っ取ったり、ルートを変更したり、正規の運送業者になりすましたりして、商業貨物を盗むことです。商品は不正な集荷場所に転送されます。
• 今日、犯罪者は、企業が商品をより効率的に移動できるようにするサプライチェーンのデジタルギャップを悪用することに重点を置いています。

米国のサイバーセキュリティ専門家がBlackCatランサムウェア攻撃で起訴される

• bleepingcomputerより
• セキュリティ企業DigitalMintとSygniaの元従業員3人が、2023年5月から2023年11月の間にBlackCat（ALPHV）ランサムウェア攻撃で米国企業5社のネットワークをハッキングした疑いで起訴されたそうです。
• 司法省は、被告らがALPHV BlackCatのアフィリエイトとして活動していたとしています。

2025/11/01

Contiランサムウェアに関する容疑でウクライナ国籍の男性がアイルランドから米国に送還

• bleepingcomputerより
• Contiランサムウェアグループに参加していたとみられるウクライナ国籍の男性がアイルランドから米国に送還され、懲役25年の刑に処される可能性があるそうです。
• 43歳のOleksii Oleksiyovych Lytvynenko容疑者は、2020年から2022年6月の間に行われたContiランサムウェアグループによる攻撃に関与していたとされています。

ペンシルベニア大学がデータ漏洩

• bleepingcomputerより
• ペンシルバニア大学は金曜日にサイバーセキュリティインシデントに見舞われ、学生や卒業生は大学のさまざまなメールアドレスから、侵入によりデータが盗まれたとするメールを受け取った模様です。

2025/10/31

LinkedInで役員を名乗り招待状を出すフィッシング詐欺

• PushSecurityの調査記事はこちら
• 攻撃者は、ソーシャルメディア、インスタントメッセージアプリ、検索エンジンなど、メール以外の配信チャネルを通じてフィッシング詐欺を仕掛けるケースが増えています。
• 被害者はLinkedInのDM経由で悪意のあるリンクを受け取りました。リンクをクリックすると、リダイレクトされてページ上のドキュメント リンクの 1 つをクリックすると、被害者は「Microsoft で表示」するように求められ、悪意のあるコンテンツが読み込まれるそうです。

CISAとNSAがExchangeサーバのベストプラクティスを公開

• CISAのサイトより
• CISAとNSAがMicrosoft Exchange Serverの強化に向けたセキュリティブループリントを発表しています。
• ベストプラクティスはこちらです。

2025/10/29

Qilinランサムウェアグループが暗号化にWSL上のLinuxを使用

• bleepingcomputerより
• Qilinランサムウェアグループですが、EDR等の検知をすり抜けるために暗号化の際にWSL上のLinuxのコマンドを使用している模様です。

電通の子会社Merkle社がデータ漏洩被害

• 電通の発表はこちら
• 電通によると、海外事業のCXM（顧客体験マネジメント）領域をけん引するMerkle（マークル社）のネットワークの一部において、異常な作動を検知したそうです。
• DecisionMarketingの記事によると、データ侵害があった模様です。

2025/10/25

OSINTツールのRedTigerを用いてDiscordアカウントが盗まれる

このマルウェアは、ブラウザに保存されている認証情報、暗号通貨ウォレットのデータ、ゲームアカウントも盗む可能性があります。2025/10/25

bleepingcomputerより

RedTigerのGitHubはこちら

OSSのRedTigerを使用した攻撃者がDiscordアカウントと支払い情報を収集するインフォスティーラーを構築している模様です。

LastPassユーザを狙ったフィッシング攻撃。

• LastPass blogより
• LastPass は、「ファミリーメンバーからのアクセスで、古い証明書が使用されたのでレガシー情報のアクセスが必要」という事を騙って、パスワードボールトへのアクセスを要求するフィッシングメールキャンペーンについて顧客に警告しています。
• この活動は 10 月中旬に開始され、使用されたドメインとインフラストラクチャは CryptoChameleon (UNC5356) と呼ばれる金銭目的の脅威グループを示唆しています。

トイザらス・カナダがランサム被害に遭いデータ漏洩

• bleepingcomputerより
• トイザらス・カナダが2025/07/30にランサム被害に遭いデータ漏洩しているそうです。
• 同社によれば、漏洩した記録には顧客の名前、住所、電子メール、電話番号が含まれている可能性があるそうです。

2025/10/21

ロシア政府が支援するCOLDRIVERによる新たなマルウェア

• GTIGのレポートより
• ロシア政府が支援する脅威グループCOLDRIVERが「ClickFix攻撃」を介して配信されるNOROBOTと呼ばれるマルウェアを開発していた模様です。

2025/10/20

American Airlineの子会社Envoy AirがOracle E-Business Suite経由によるデータ侵害を確認

• bleepingcomputerより
• American Airlineの子会社Envoy AirがOracle E-Business Suite経由によるCl0pランサムウェアグループによるデータ侵害を確認した模様です。

ClickFix攻撃でTikTokビデオが使用されている模様

• bleepingcomputerより
• 攻撃者がWindows・Spotify・Netflix などの人気ソフトウェアの無料アクティベーションガイドを装った TikTok 動画を使用して、ClickFix攻撃を仕掛けている模様です。

2025/10/16

LastPass、Bitwardenの侵害アラートを装ったフィッシング

• bleepingcomputerより
• LastPass および Bitwarden のユーザーをターゲットにしており、ハッキングされたとする偽のメールを送信して、パスワード マネージャーのデスクトップ版をダウンロードするよう促すフィッシング攻撃が見つかっているそうです。

2025/10/15

ハーバード大学、Oracle E-Business Suiteの悪用による攻撃を調査

• bleepingcomputerより
• ハーバード大学が、Oracle E-Buisness Suiteの悪用による攻撃を調査しているとのことです。
• Cl0pランサムウェアグループによる被害が広がっているようです。こちらは別のサイトでまとめる予定です。

2025/10/10

攻撃者がVelociraptorツールを悪用

• bleepingcomputerより
• 攻撃者がLockBit／Babuk ランサムウェアを展開するためにVelociraptorツールを使用している模様です。

2025/10/09

中国ハッカー、オープンソースのNezhaツールを武器化

• TheHackerNewsより

Cache Smugglingを用いた新たなFileFix攻撃

• expel社のブログより
• Fortinet VPNクライアントを装った攻撃が紹介されています。

2025/10/07

Red Hatを攻撃したCrimson CollectiveがShiny Huntersと連携

• bleepingcomputerより
• Crimson Collectiveは「我々に関する現在の発表に関して言えば、我々は今後の攻撃とリリースに向けてShinyHunterと協力するつもりだ」と発表しました。
• これに伴い、ShinyHunterの恐喝サイトにRed Hatが載った模様です。
• ShinyHuntersはSalesForceデータ漏洩にも関わっており、Googleのデータ漏洩にも関わっています。

2025/10/03

悪意のある PyPI パッケージ soopsocks が削除前に 2,653 台のシステムに感染

• TheHackerNewsより
• JFrogのブログはこちら
• JFrogのセキュリティ研究チームがマルウェアのような動作を示すパッケージ「soopsocks」を発見しました。
• SoopSocks PyPI パッケージ (XRAY-725599) は、SOCKS5 プロキシサービスを作成するパッケージですが、永続的なバックドアアクセス、完全なネットワーク トラフィック プロキシ、リアルタイムのネットワーク偵察の機能を備えているため、高いリスクのあるパッケージとなります。

Red Hat、ハッカーがGitLabインスタンスに侵入後のセキュリティインシデントを確認

• Red Hatのサイトより
• Bleepingcomputerのニュースはこちら
• Crimson Collective と名乗る脅威グループが、Red Hatの28,000 の社内開発リポジトリから約 570GB の圧縮データを盗んだと主張しています。Red Hat社はGitLabインスタンスへの侵入から情報が盗み出されたことを確認しているそうです。
• このデータには、顧客のネットワークやプラットフォームに関する機密情報が含まれている可能性がある、約 800 件の顧客エンゲージメント レポート (CER) が含まれていると言われています。

2025/10/02

アサヒグループホールディングスにランサムウェア攻撃

• 日経の記事より
• アサヒグループホールディングス（GHD）は1日、サイバー攻撃について「ランサムウエアの被害にあった」と捜査当局に報告したことを明らかにしています。商品の受注や出荷業務ができない状態が続いていることから、6日以降に発売する飲料や食品の計12商品の発売時期を延期することも発表しています。
• 9月29日午前7時ごろにサイバー攻撃に気づいた模様です。少し追いかけてみる予定です。

ディーラー管理ソフトウェア (DMS) Motility Software Solutions へのランサムウェア攻撃

• bleepingcomputerより
• Motility (旧称 Systems 2000/Sys2K) は、米国全土の 7,000 社のディーラー (自動車、パワースポーツ、船舶、大型車、RV 小売) が使用する DMS ソフトウェアのプロバイダーです。
• Motilityは8月19日にサイバー攻撃を受け766,000 人の顧客の機密データが漏洩しました。