Posts

押さえておきたい脅威アクター - 敵を知って攻撃をブロック(1) Qilinランサムウェア：「弁護士に連絡」機能を導入 ⭐ Severity: 80/100 QilinはRansomware-as-a-Service（RaaS）モデルで2022年半ばに出現し、旧称Agendaとして知られるランサムウェアグループである。2025年中頃、アフィリエイト向けポータルに「弁護士に連絡」機能を導入し、身代金交渉時に法的な姿勢を示して被害者へ支払い圧力をかける手法が確認された。攻撃はデータ暗号化と窃取の二重脅迫を伴い、標的OSはLinux（CentOS/Debian/RHEL/Ubuntu）、VMWare ESXi、Windows系（7/10/11、Server 2012/2016/2019/2022）を含む。影響はエネルギーやヘルスケア、製造業が多く、日本の組織も2023年4月以降情報漏洩サイトに複数掲載されている。使用ツール／TTPとして7-Zip、ブルートフォースツール、カスタムスクリプト、エクスプロイトキット、SMBスキャナ、TOR、脆弱性悪用、ウェブシェルが挙げられ、MITREのS1242への言及がある。DragonForceによるランサムウェアカルテル参加の主張は未確認である。 AppsFlyer Web SDK hijacked to spread crypto-stealing JavaScript code ⭐ Severity: 70/100 Proferoの研究者がAppsFlyerのWeb SDKから配信された難読化された攻撃者制御のJavaScriptを検出し、一時的なサプライチェーン乗っ取りを報告しています。攻撃主体の確定はされておらず、AppsFlyerはドメイン登録事象により一部顧客サイトで無断コードが配信されたと説明しています。悪性コードは通常のSDK機能を保ちつつ実行時に難読化文字列を読み解き、ブラウザのネットワークリクエストにフックして暗号通貨ウォレット入力を監視します。検出時には検出されたウォレットアドレスを攻撃者のアドレスに置換し、元のアドレスとメタデータを外部へ送出していました。対象通貨はBitcoin、Ethereum、Solana、Ripple、TRONで、配信元はwebsdk.appsflyer.com、露出期間は3月9日22:45 UTCから3月11日と推定されています。記事はwebsdk.appsflyer.comからの疑わしいAPI要求のテレメトリ確認、既知安全版へのダウングレード、妥協の調査を推奨しています。 Betterleaks, a new open-source secrets scanner to replace Gitleaks ⭐ Severity: 40/100 この記事は、公開リポジトリやファイルに誤ってコミットされた資格情報を攻撃者がスキャンして収集する脅威を指摘し、それに対処する新しいオープンソースのシークレットスキャナBetterleaksを紹介する。Betterleaksはディレクトリ、ファイル、Gitリポジトリを走査して有効なシークレットを検出するツールで、CELによるルール定義検証、エントロピーではなくBPEトークン化に基づくToken Efficiency Scanning（CredDataで98.6%のリコールを報告）、純Go実装、二重／三重エンコードされた秘密の自動処理、プロバイダ向け拡張ルール、並列化されたGit走査などの技術的特徴を持つ。Zach Riceが主導しMITライセンスで公開、Royal Bank of CanadaやRed Hat、Amazonの貢献者を含むチームで保守される。記事はBetterleaksを用いて攻撃者が見つける前にシークレットを検出・保護することを推奨している。 FBI seeks victims of Steam games used to spread malware Severity: 70/100 FBIシアトル支局が、2024年5月から2026年1月の間にSteam上で公開された複数のゲームに埋め込まれたマルウェア被害者の特定を求めていると通知した。調査対象のゲームにはBlockBlasters、Chemia、Dashverse/DashFPS、Lampy、Lunara、PirateFi、Tokenovaが含まれる。記事はマルウェア配布手口としてゲーム実行ファイルへの情報窃取/暗号通貨ドレイン機能の組み込みを指摘し、ChemiaではEncryptHubがHijackLoaderを使ってVidarや同社のFickle Stealerを配布した事例、BlockBlastersで後からクリプトドレイナーが追加された事例、PirateFiの配布で最大約1,500ダウンロードの可能性が報告されたことを挙げる。被害は暗号資産窃取やアカウント乗っ取りが中心で、配布により実被害（金額や被害者数の推定）も確認された。FBIは被害申告フォームとSteam_Malware@fbi.govへの通報を求め、SteamはAVスキャン、インストール済みソフトの確認、OS再インストールの検討を助言している。 Poland’s nuclear research centre targeted by cyberattack Severity: 55/100 ポーランド国立原子力研究センター（NCBJ）が自組織のITインフラを狙ったサイバー攻撃を検出・阻止したと発表した。組織は侵入の検知と初期対応によってシステムの完全性が維持され、影響は生じなかったと説明している。NCBJは原子力物理や研究用炉MARIAを運用しており、同炉の運転には影響がなくフル出力で稼働していると述べた。攻撃者の帰属は公式には示されていないが、ロイターは調査でイランの示唆があったと報じており、捜査側は工作的な誤誘導の可能性も含め慎重に判断している。技術的なIOCや具体的手口の公開はなく、組織は関係当局への通報、調査開始、内部セキュリティ体制の警戒強化といった対応を実施している。 From VMware to what’s next: Protecting data during hypervisor migration Severity: 50/100 ...

From VMware to what’s next: Protecting data during hypervisor migration ⭐ Severity: 60/100 記事は、VMwareからHyper‑V、Azure Stack HCI、Nutanix AHV、Proxmox VE、KVMなどへのハイパーバイザ移行が運用上およびセキュリティ上のリスクを伴うと指摘する。移行中は二つのハイパーバイザスタックが並行稼働することで攻撃対象面が拡大し、バックアップリポジトリやイメージが改ざん・削除の高価値ターゲットになる可能性があると述べる。技術的にはディスク形式、仮想ハードウェア、ドライバ、スナップショット挙動、ストレージコントローラやネットワーク仮想化の不整合が復旧失敗や不安定性を招き得ると警告し、移行で生じやすい具体的な問題例としてバックアップ連鎖の断絶、増分ジョブの失敗、アプリ一貫スナップショット未検証、DRレプリケーションの同期ずれを挙げる。対策として検証済みの復元可能バックアップ、フルイメージかつアプリ一貫の保護、移行前のリカバリ演習、プラットフォーム非依存の任意復元、バックアップの不変性と厳格なRBAC、3‑2‑1原則の順守、並行保護とロールバック経路の維持を推奨している。 AppsFlyer Web SDK hijacked to spread crypto-stealing JavaScript code Severity: 75/100 攻撃者は特定されていないが、Proferoの研究者がAppsFlyerのWeb SDK経由で配信された難読化された悪意あるJavaScriptを検出した。該当ペイロードはwebsdk.appsflyer.comから配信され、正規SDKの機能を維持しつつランタイムで難読化文字列をデコードしブラウザのネットワークリクエストにフックすることで、ページ上の仮想通貨ウォレット入力を監視する。検出時には入力されたビットコイン、イーサリアム、ソラナ、リップル、TRON等のアドレスを攻撃者管理のアドレスへ置換し、元のアドレスと関連メタデータを外部へ送信する動作が確認された。AppsFlyerはドメイン登録者に関する問題を3月10日に確認し、モバイルSDKは影響を受けておらずWeb SDKは解決済みと説明している。想定露出期間は3月9日22:45UTC〜3月11日で、同社プラットフォームは約1万5千社、10万以上のアプリで利用されているため多数のエンドユーザーが影響を受ける可能性がある。記事で推奨された対応はwebsdk.appsflyer.comからの疑わしいAPIリクエストのテレメトリ確認、既知良品バージョンへのダウングレード、侵害調査である。 FBI seeks victims of Steam games used to spread malware Severity: 70/100 FBIシアトル支部は、2024年5月から2026年1月の間にマルウェアを埋め込んだSteamタイトルをインストールした被害者の特定を求めていると通知した。調査で特定されたゲームにはBlockBlasters、Chemia、Dashverse/DashFPS、Lampy、Lunara、PirateFi、Tokenovaが含まれる。記事は、BlockBlastersで後から暗号ドレイナーが追加され配信された事例や、ChemiaにEncryptHubがHijackLoaderを組み込みVidar情報窃取型マルウェアや独自のFickle Stealerがダウンロードされる手口、PirateFiによるVidar配布などを列挙している。被害は暗号資産窃取やアカウント乗っ取りが中心で、調査者の推定で数百件の被害報告やストリーマーの数万ドル損失が報告されている。技術的指標としてVidar、HijackLoader、Fickle Stealer、暗号ドレイナーや資格情報／ブラウザデータ／ウォレット窃取のTTPが挙げられ、FBIは被害申告フォームへの記入とSteam_Malware@fbi.govへの通報を呼びかけている。Steamは影響を受けたプレイヤーにアンチウイルスの実行、インストール済みソフトの確認、必要に応じてOS再インストールを勧告している。 WordPressプラグイン・テーマの脆弱性最新情報(24) 2026年2月26日～2026年3月4日に報告があったWordPressの脆弱性情報 Severity: 70/100 報告期間中に公開された脆弱性はSQLインジェクション、PHPオブジェクトインジェクション、ローカルファイルインクルード（LFI）や複数のスクリプト挿入、権限回避といった攻撃手法に関連しています。主な影響製品はTutor LMS（CVE-2025-13673、3.9.6以前、修正3.9.7、CVSS7.5）、WP Mail Logging（CVE-2026-2471、1.15.0以前、修正1.16、CVSS7.5）およびPage Builder by SiteOrigin（CVE-2026-2448、2.33.5以前、修正2.34.0、CVSS8.8）などで、合計9件が報告されました。技術的にはcoupon_codeパラメータを介した不十分なエスケープによるSQLi、maybe_unserialize()を起点とするPHPオブジェクト注入、locate_template()経由のLFIや寄稿者以上でのスクリプト挿入等が確認されています。記事は該当プラグイン／テーマを修正バージョンへ速やかにアップデートすることを推奨しています。 Poland’s nuclear research centre targeted by cyberattack Severity: 60/100 ポーランド国立原子力研究センター（NCBJ）がサイバー攻撃の標的になったが、攻撃は検知され阻止され、システムの整合性は損なわれなかった。組織はセキュリティシステムおよびインシデント対応手順が早期検知と迅速対応に寄与し、IT担当者が標的システムを速やかに保護したと発表している。攻撃手法や悪用された脆弱性の具体的開示はなく、技術的なIOCやATT&CKマッピングの提示もない。NCBJは原子力物理や炉技術などで国の原子力計画を支援し、研究用原子炉MARIAの運転には影響が出ていない。研究所は関係当局へ通報し調査を開始、内部セキュリティチームを高警戒に置いている。ロイターは調査でイラン関与の指標が見つかったと報じたが、捜査当局は偽装の可能性も含め慎重に調査している。記事はまた今年初めに報告されたロシア系APT44による電力網攻撃にも言及している。 Microsoft: Windows 11 users can’t access C: drive on some Samsung PCs Severity: 50/100 ...