2025Q4 サイバー攻撃関連

ここでは実際に2025Q4に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

マルウェア・ランサムウェアに関する記事もこちらに統合しました（ランサムウェア攻撃という様に、最近では不可分になってきたため）

2025Q3 サイバー攻撃関連はこちら
2025Q2 サイバー攻撃関連はこちら

2025Q1 サイバー攻撃関連はこちら

2024Q4 サイバー攻撃関連はこちら
2024Q3 サイバー攻撃関連はこちら

2025/12/04

Cloudflareから2025Q3の脅威レポートが公開。Aisuruボットネットなど。

• Cloudflareのブログより
• Cloudflareから2025Q3の脅威レポートが公開されています。Aisuruは、1テラビット/秒（Tbps）、10億パケット/秒（Bpps）を超えるハイパーボリュームDDoS攻撃を日常的に仕掛けたそうです。

Phoenix大学もOracle E-Business Suiteの脆弱性により攻撃を受ける

• bleepingcomputerより
• Phoenix大学も、Oracle E-Business Suiteの脆弱性によりCl0pランサムウェアによる攻撃を受けた模様です。

2025/12/03

Shai-Hulud 2.0 NPMマルウェアにより40万件の開発上のシークレットが漏洩

• bleepingcomputerより
• Shai-Hulud マルウェアによる攻撃で、NPMレジストリ内の数百のパッケージが感染し、盗まれたデータが 3万個の GitHub リポジトリに公開/約40万件の未加工の秘密が漏洩したそうです。

2025/12/02

YoutubeクライアントのOSSソフトウェア「SmartTube」が改竄

• GitHubのAnnounceより
• SmartTubeの開発者のデジタル署名が漏洩したそうです。 これにより、SmartTubeにマルウェアが混入され、Googleから削除されている模様です。

2025/11/29

260万の公開Bitbucket Cloudリポジトリをスキャンして機密情報を探す

• Truffle Securityの調査より
• Bitbucketのパブリックリポジトリをスキャンした所、Atlassian 製品の Atlassian キーやその他の情報が見える場所で公開されていることがわかったそうです。

2025/11/28

GreyNoiseが、IPアドレスが悪意の通信で使用されているかを調べるツール「GreyNoise IP Check」を公開

• GreyNoiseのニュースより
• GreyNoiseが「自宅のネットワークが侵害されたかどうかはどうすればわかりますか?」という問いに答えるために、GreyNoise IP Checkをリリースしました。
• GreyNoise IP Checkはこちらです。
• 単純にやる場合には、ネットワーク内から「curl -s https://check.labs.greynoise.io/」の返答でIPが載っていなければOKです。

2025/11/27

「ShadowV2」と呼ばれる新しい Mirai ベースのボットネット

• bleepingcomputerより
• 「ShadowV2」と呼ばれる新しい Mirai ベースのボットネット マルウェアが、既知の脆弱性を悪用して D-Link、TP-Link、およびその他のベンダーの IoT デバイスを標的にしていることが確認されています。1　0月のAWS障害の際に、テストラン（障害の原因ではない）が観測されたそ王です。

2025/11/26

JSONformatter, CodeBeautiyの保存・共有機能を通じて銀行、政府、テクノロジー組織の認証情報が公開されている

• Watchtowrのブログより
• JSONformatter, CodeBeautiyが提供している「最近のリンク」という機能を通じて、合計5GBを超える8万件以上の認証情報が公開されていることが、研究者によって発見されました。
• 機密データが漏洩した企業や組織の中には、政府、重要インフラ、銀行、保険、航空宇宙、医療、教育、サイバーセキュリティ、通信などの高リスク分野に属する企業や組織もあるそうです。

2025/11/25

ハーバード大学、卒業生や寄付者に影響するデータ漏洩を公表

• bleepingcomputerより
• ハーバード大学がサイバー攻撃によりデータ漏洩が発生した模様です。ハーバード大学は週末、同大学の卒業生事務局および開発システムがVishing攻撃によって侵害され、学生、卒業生、寄付者、職員、教職員の個人情報が漏洩したことを明らかにしました。

Shai Huludがnpmパッケージを利用したサプライチェーン攻撃を開始

• aikido securityより
• Shai-Huludは自己複製型のnpmワームです。侵入した開発環境を通じて急速に拡散するように設計されています。システムに感染すると、TruffleHogを用いてAPIキーやトークンなどの公開された秘密情報を検索し、発見したものをすべて GitHubの公開リポジトリ に公開します。その後、自身の新しいコピーをnpmにプッシュすることでエコシステム全体に拡散し、同時に攻撃者へデータを盗み出します。
• aikido securityがShai Huludの新バージョンに感染した以下のパッケージ(492個)を検出しています。是非確認してみてください。

偽のWindows Update画面でマルウェアを拡散するClickFix攻撃

• bleepingcomputerより
• 偽のWindows Update画面を表示するClickFix攻撃が観測されているそうです。
• 偽の更新ページは、被害者に特定のキーを特定の順序で押すように指示し、これにより、サイト上で実行されている JavaScript を介してクリップボードに自動的にコピーされた攻撃者からのコマンドが貼り付けられ、実行されます。

悪意のあるBlenderモデルファイルがStealC infostealerを配信

• bleepingcomputerより
• CGTrader などの 3D モデル マーケットプレイスにアップロードされた悪意のある Blender ファイルを通じて、StealC V2 infostealerを配信するような攻撃が観測されているそうです。ロシアが背後にいる攻撃とのこと。

2025/11/21

Salesforceに接続されるアプリケーション「Gainsight」から不正なアクティビティ

• Salesforceのブログより
• 「Gainsight」を通じたSalesforceへの不正なアクティビティが観測されているそうです。このアクティビティにより、アプリケーションの接続を通じて特定の顧客の Salesforce データへの不正アクセスが可能になった可能性があることがわかりました。
• 現在Salesforce は Salesforce に接続された Gainsightアプリに関連付けられているすべてのアクティブなアクセストークンと更新トークンを取り消し、これらのアプリケーションを AppExchange から一時的に削除したそうです。

Palo Altoのスキャンが24時間で40倍に急増、90日間の最高値を記録

• GreyNoiseのブログより
• Palo Alto Network Global Protectへのスキャンが急増している模様です。
• 今回のスキャンはゼロデイ攻撃の可能性もあり、いずれPalo Altoから脆弱性が公開されるかもしれません。

2025/11/20

中国が背後にいるキャンペーン「Operation WrtHug」で、EOLのASUSルーターが狙われている模様

• SecurityScorecardのブログはこちら
• PDFはこちら
• EOLのASUSルーターを攻撃し、サイバースパイ活動に利用しようとしている中国のキャンペーン「Operation WrtHug」が見つかった模様です。
• ターゲットの30～50%は台湾に集中しており、その他のターゲットは韓国、日本、香港に集中しているそうです。

2025/11/19

Rayクラスタを乗っ取るShadowRay 2.0

• bleepingcomputerより
• AIクラスタのRayを乗っ取る「ShadowRay 2.0」という攻撃が行われているそうです。公開されているRayクラスタを乗っ取り、暗号通貨マイニング ボットネットに変えるそうです。

2025/11/18

悪意のあるnpmパッケージによるAdspectクローキング

• Socketのブログより
• 悪意のある npm パッケージがAdspect クローキングとニセのCAPTCHAを使用して詐欺サイトへのリダイレクトを行っている模様です。
• Socketの調査チームが7つのパッケージを用いて、この複雑なマルウェアキャンペーンを展開するnpmの脅威アクター、 dino_rebornを 発見したそうです。

2025/11/16

ClickFix攻撃で「finger」プロトコルが使用される

• bleepingcomputerより
• ClickFix攻撃で、懐かしの「finger」プロトコルを使用してユーザに関する基本情報を返すようにしているキャンペーンが確認された模様です。
• fingerコマンドで色々情報出てきますからね。

2025/11/15

LogitechがCl0pランサムウェアグループの被害を公表

• bleepingcomputerより
• ハードウェアで有名なLogitechですが、7月のClopランサムウェアグループによる攻撃でデータ漏洩が発生したことを確認したそうです。
• ロジテックは 米国証券取引委員会にフォーム 8-K を提出し、侵害によりデータが盗まれたことを公表しました。

2025/11/14

CISAがAKIRA Ransomwareグループの情報を更新

• Stop Ransomwareより
• CISAがAKIRAランサムウェアグループの情報を更新しています。
• 以下はアップデート部分です。
  • 2025年6月のインシデントでは、Akiraの脅威アクターが初めてNutanix AHV VMディスクファイルを暗号化し、CVE-2024-40766を悪用しました。
  • 2025年9月下旬現在、Akiraランサムウェアは約2億4,417万ドル（米ドル）のランサムウェア収益を主張しています。

2025/11/13

AmazonがCiscoの脆弱性(CVE-2025-20337)とCitrixの脆弱性(Citrix Bleed 2: CVE-2025-5777)を悪用するAPTを発見

• AWSのブログより
• Amazonの脅威インテリジェンスチーム(Amazon Threat Intelligence)が、MadPot ハニーポットを用いてCiscoの脆弱性(CVE-2025-20337)とCitrixの脆弱性(Citrix Bleed 2: CVE-2025-5777)を悪用するAPTを検知したそうです。

Googleが通話料金詐欺の背後にある中国のプラットフォーム「Lighthouse」を解体するよう提訴

• bleepingcomputerより
• Googleがスミッシング(Smithing)詐欺に世界中で使われている、フィッシング・アズ・ア・サービス（PhaaS）プラットフォーム「Lighthouse」を解体するために訴訟を起こしたそうです。

2025/11/12

“Quantum Route Redirect”というフィッシングプラットフォームがMicrosoft 365の資格情報を窃取

• Knowbe4のブログより
• セキュリティ企業KnowBe4のレポートによると、”Quantum Route Redirect”というフィッシングプラットフォームが1,000のドメインを使用してMicrosoft 365の資格情報を窃取している模様です。

2025/11/11

Yanluowangランサムウェア攻撃のIABが罪を認める司法取引

• bleepingcomputerより
• ロシア国籍の男が、2021年7月から2022年11月の間に少なくとも8社の米国企業を標的としたYanluowangランサムウェア攻撃の初期アクセスブローカー（IAB）として活動した罪を認めることにした模様です。
• Apple iCloudデータ（alekseyvolkov4574@icloud[.]com Apple IDを使用するアカウントにリンク）、暗号通貨取引記録、および電話番号とロシアのパスポートにリンクされたソーシャルメディアアカウント（qwerty4574@mail[.]ruメールに関連付けられたTwitterアカウントを含む）を通じて、ボルコフの身元を追跡したそうです。
• 司法取引の文書はこちらになります。

2025/11/07

ClickFix攻撃が進化

• PushSecurityのページより
• ClickFix攻撃が、よりユーザを騙す方向に進化している模様です。見た目や配信方法などが進化しています。例えば検出ソフトを迂回するために、e-Mailを使わない、などです。

ネバダ州がランサムウェアに攻撃された経緯を発表

• documentcloudの文書はこちら
• ネバダ州がランサムウェアに攻撃された経緯を公開しています。
• トレーニングのネタになりそうなので、ちょっと見てみます。

2025/11/06

GTIG AI脅威トラッカー：脅威アクターによるAIツールの利用の進歩

• Google Threat Intelligence Group(GTIG)の記事より
• GTIGによる、実行時にLLMを使用するPROMPTFLUX や PROMPTSTEALの記事・及び脅威アクターが纏められています。

ヒュンダイAutoEver Americaで情報漏洩

• bleepingcomputerより
• ヒュンダイAutoEver Americaでは3月1日に侵入を発見したそうです。調査の結果、攻撃者は2月22日からシステムにアクセスしていたことが判明した模様です。
• ヒュンダイの顧客への説明のPDFはこちらです。

2025/11/05

日経新聞のSlackに不正ログイン、約1万7千人分の情報流出の可能性

• 日経新聞の報告より
• 日本経済新聞は4日、業務の一部で利用しているSlackが外部から不正にログインされ、社員や取引先など1万7368人分の個人情報やチャット履歴が流出した可能性があると発表しました。
• 社員の個人保有のパソコンがウイルスに感染し、Slackの認証情報が流出。この情報をもとに社員のアカウントに不正にログインしたとみられます。9月に被害を把握し、パスワードを変更するなどの対策をとりました。
• 流出した可能性のある情報は、Slackに登録されていた氏名やメールアドレス、チャット履歴など1万7368人分とのことです。

ロシアの攻撃者Curly COMradesがHyper-Vを悪用してEDRを回避

• bleepingcomputerより
• ロシアの攻撃者Curly COMradesは、WindowsのHyper-V を悪用し、マルウェアを実行するためのAlpine Linux仮想マシンを作成して、EDRを回避しています。
• Curly COMradesは、2024年半ばから活動していると考えられる脅威グループです。
• BitDefenderの記事はこちらになります。

6億ユーロ以上をロンダリングしていた仮想通貨ネットワークを摘発

• EUROJUST(欧州連合刑事司法協力機関)から
• フランス、ベルギー、キプロス、ドイツ、スペインの当局が協力して仮想通貨マネーロンダリングネットワークを摘発した模様です。

2025/11/04

攻撃者がRMMツールを使って侵入し、貨物を盗む貨物窃盗

• bleepingcomputerより
• 攻撃者は、悪意のあるリンクや電子メールを使用して貨物ブローカーやトラック運送業者を標的としています。貨物を乗っ取って物理的な商品を盗むためにRMMツールを展開しているそうです。
• 貨物窃盗とは、輸送中のトラックやトレーラーを乗っ取ったり、ルートを変更したり、正規の運送業者になりすましたりして、商業貨物を盗むことです。商品は不正な集荷場所に転送されます。
• 今日、犯罪者は、企業が商品をより効率的に移動できるようにするサプライチェーンのデジタルギャップを悪用することに重点を置いています。

米国のサイバーセキュリティ専門家がBlackCatランサムウェア攻撃で起訴される

• bleepingcomputerより
• セキュリティ企業DigitalMintとSygniaの元従業員3人が、2023年5月から2023年11月の間にBlackCat（ALPHV）ランサムウェア攻撃で米国企業5社のネットワークをハッキングした疑いで起訴されたそうです。
• 司法省は、被告らがALPHV BlackCatのアフィリエイトとして活動していたとしています。

2025/11/01

Contiランサムウェアに関する容疑でウクライナ国籍の男性がアイルランドから米国に送還

• bleepingcomputerより
• Contiランサムウェアグループに参加していたとみられるウクライナ国籍の男性がアイルランドから米国に送還され、懲役25年の刑に処される可能性があるそうです。
• 43歳のOleksii Oleksiyovych Lytvynenko容疑者は、2020年から2022年6月の間に行われたContiランサムウェアグループによる攻撃に関与していたとされています。

ペンシルベニア大学がデータ漏洩

• bleepingcomputerより
• ペンシルバニア大学は金曜日にサイバーセキュリティインシデントに見舞われ、学生や卒業生は大学のさまざまなメールアドレスから、侵入によりデータが盗まれたとするメールを受け取った模様です。

2025/10/31

LinkedInで役員を名乗り招待状を出すフィッシング詐欺

• PushSecurityの調査記事はこちら
• 攻撃者は、ソーシャルメディア、インスタントメッセージアプリ、検索エンジンなど、メール以外の配信チャネルを通じてフィッシング詐欺を仕掛けるケースが増えています。
• 被害者はLinkedInのDM経由で悪意のあるリンクを受け取りました。リンクをクリックすると、リダイレクトされてページ上のドキュメント リンクの 1 つをクリックすると、被害者は「Microsoft で表示」するように求められ、悪意のあるコンテンツが読み込まれるそうです。

CISAとNSAがExchangeサーバのベストプラクティスを公開

• CISAのサイトより
• CISAとNSAがMicrosoft Exchange Serverの強化に向けたセキュリティブループリントを発表しています。
• ベストプラクティスはこちらです。

2025/10/29

Qilinランサムウェアグループが暗号化にWSL上のLinuxを使用

• bleepingcomputerより
• Qilinランサムウェアグループですが、EDR等の検知をすり抜けるために暗号化の際にWSL上のLinuxのコマンドを使用している模様です。

電通の子会社Merkle社がデータ漏洩被害

• 電通の発表はこちら
• 電通によると、海外事業のCXM（顧客体験マネジメント）領域をけん引するMerkle（マークル社）のネットワークの一部において、異常な作動を検知したそうです。
• DecisionMarketingの記事によると、データ侵害があった模様です。

2025/10/25

OSINTツールのRedTigerを用いてDiscordアカウントが盗まれる

このマルウェアは、ブラウザに保存されている認証情報、暗号通貨ウォレットのデータ、ゲームアカウントも盗む可能性があります。2025/10/25

bleepingcomputerより

RedTigerのGitHubはこちら

OSSのRedTigerを使用した攻撃者がDiscordアカウントと支払い情報を収集するインフォスティーラーを構築している模様です。

LastPassユーザを狙ったフィッシング攻撃。

• LastPass blogより
• LastPass は、「ファミリーメンバーからのアクセスで、古い証明書が使用されたのでレガシー情報のアクセスが必要」という事を騙って、パスワードボールトへのアクセスを要求するフィッシングメールキャンペーンについて顧客に警告しています。
• この活動は 10 月中旬に開始され、使用されたドメインとインフラストラクチャは CryptoChameleon (UNC5356) と呼ばれる金銭目的の脅威グループを示唆しています。

トイザらス・カナダがランサム被害に遭いデータ漏洩

• bleepingcomputerより
• トイザらス・カナダが2025/07/30にランサム被害に遭いデータ漏洩しているそうです。
• 同社によれば、漏洩した記録には顧客の名前、住所、電子メール、電話番号が含まれている可能性があるそうです。

2025/10/21

ロシア政府が支援するCOLDRIVERによる新たなマルウェア

• GTIGのレポートより
• ロシア政府が支援する脅威グループCOLDRIVERが「ClickFix攻撃」を介して配信されるNOROBOTと呼ばれるマルウェアを開発していた模様です。

2025/10/20

American Airlineの子会社Envoy AirがOracle E-Business Suite経由によるデータ侵害を確認

• bleepingcomputerより
• American Airlineの子会社Envoy AirがOracle E-Business Suite経由によるCl0pランサムウェアグループによるデータ侵害を確認した模様です。

ClickFix攻撃でTikTokビデオが使用されている模様

• bleepingcomputerより
• 攻撃者がWindows・Spotify・Netflix などの人気ソフトウェアの無料アクティベーションガイドを装った TikTok 動画を使用して、ClickFix攻撃を仕掛けている模様です。

2025/10/16

LastPass、Bitwardenの侵害アラートを装ったフィッシング

• bleepingcomputerより
• LastPass および Bitwarden のユーザーをターゲットにしており、ハッキングされたとする偽のメールを送信して、パスワード マネージャーのデスクトップ版をダウンロードするよう促すフィッシング攻撃が見つかっているそうです。

2025/10/15

ハーバード大学、Oracle E-Business Suiteの悪用による攻撃を調査

• bleepingcomputerより
• ハーバード大学が、Oracle E-Buisness Suiteの悪用による攻撃を調査しているとのことです。
• Cl0pランサムウェアグループによる被害が広がっているようです。こちらは別のサイトでまとめる予定です。

2025/10/10

攻撃者がVelociraptorツールを悪用

• bleepingcomputerより
• 攻撃者がLockBit／Babuk ランサムウェアを展開するためにVelociraptorツールを使用している模様です。

2025/10/09

中国ハッカー、オープンソースのNezhaツールを武器化

• TheHackerNewsより

Cache Smugglingを用いた新たなFileFix攻撃

• expel社のブログより
• Fortinet VPNクライアントを装った攻撃が紹介されています。

2025/10/07

Red Hatを攻撃したCrimson CollectiveがShiny Huntersと連携

• bleepingcomputerより
• Crimson Collectiveは「我々に関する現在の発表に関して言えば、我々は今後の攻撃とリリースに向けてShinyHunterと協力するつもりだ」と発表しました。
• これに伴い、ShinyHunterの恐喝サイトにRed Hatが載った模様です。
• ShinyHuntersはSalesForceデータ漏洩にも関わっており、Googleのデータ漏洩にも関わっています。

2025/10/03

悪意のある PyPI パッケージ soopsocks が削除前に 2,653 台のシステムに感染

• TheHackerNewsより
• JFrogのブログはこちら
• JFrogのセキュリティ研究チームがマルウェアのような動作を示すパッケージ「soopsocks」を発見しました。
• SoopSocks PyPI パッケージ (XRAY-725599) は、SOCKS5 プロキシサービスを作成するパッケージですが、永続的なバックドアアクセス、完全なネットワーク トラフィック プロキシ、リアルタイムのネットワーク偵察の機能を備えているため、高いリスクのあるパッケージとなります。

Red Hat、ハッカーがGitLabインスタンスに侵入後のセキュリティインシデントを確認

• Red Hatのサイトより
• Bleepingcomputerのニュースはこちら
• Crimson Collective と名乗る脅威グループが、Red Hatの28,000 の社内開発リポジトリから約 570GB の圧縮データを盗んだと主張しています。Red Hat社はGitLabインスタンスへの侵入から情報が盗み出されたことを確認しているそうです。
• このデータには、顧客のネットワークやプラットフォームに関する機密情報が含まれている可能性がある、約 800 件の顧客エンゲージメント レポート (CER) が含まれていると言われています。

2025/10/02

アサヒグループホールディングスにランサムウェア攻撃

• 日経の記事より
• アサヒグループホールディングス（GHD）は1日、サイバー攻撃について「ランサムウエアの被害にあった」と捜査当局に報告したことを明らかにしています。商品の受注や出荷業務ができない状態が続いていることから、6日以降に発売する飲料や食品の計12商品の発売時期を延期することも発表しています。
• 9月29日午前7時ごろにサイバー攻撃に気づいた模様です。少し追いかけてみる予定です。

ディーラー管理ソフトウェア (DMS) Motility Software Solutions へのランサムウェア攻撃

• bleepingcomputerより
• Motility (旧称 Systems 2000/Sys2K) は、米国全土の 7,000 社のディーラー (自動車、パワースポーツ、船舶、大型車、RV 小売) が使用する DMS ソフトウェアのプロバイダーです。
• Motilityは8月19日にサイバー攻撃を受け766,000 人の顧客の機密データが漏洩しました。