押さえておきたい脅威アクター - 敵を知って攻撃をブロック(1) Qilinランサムウェア:「弁護士に連絡」機能を導入

Severity: 80/100

QilinはRansomware-as-a-Service(RaaS)モデルで2022年半ばに出現し、旧称Agendaとして知られるランサムウェアグループである。2025年中頃、アフィリエイト向けポータルに「弁護士に連絡」機能を導入し、身代金交渉時に法的な姿勢を示して被害者へ支払い圧力をかける手法が確認された。攻撃はデータ暗号化と窃取の二重脅迫を伴い、標的OSはLinux(CentOS/Debian/RHEL/Ubuntu)、VMWare ESXi、Windows系(7/10/11、Server 2012/2016/2019/2022)を含む。影響はエネルギーやヘルスケア、製造業が多く、日本の組織も2023年4月以降情報漏洩サイトに複数掲載されている。使用ツール/TTPとして7-Zip、ブルートフォースツール、カスタムスクリプト、エクスプロイトキット、SMBスキャナ、TOR、脆弱性悪用、ウェブシェルが挙げられ、MITREのS1242への言及がある。DragonForceによるランサムウェアカルテル参加の主張は未確認である。

AppsFlyer Web SDK hijacked to spread crypto-stealing JavaScript code

Severity: 70/100

Proferoの研究者がAppsFlyerのWeb SDKから配信された難読化された攻撃者制御のJavaScriptを検出し、一時的なサプライチェーン乗っ取りを報告しています。攻撃主体の確定はされておらず、AppsFlyerはドメイン登録事象により一部顧客サイトで無断コードが配信されたと説明しています。悪性コードは通常のSDK機能を保ちつつ実行時に難読化文字列を読み解き、ブラウザのネットワークリクエストにフックして暗号通貨ウォレット入力を監視します。検出時には検出されたウォレットアドレスを攻撃者のアドレスに置換し、元のアドレスとメタデータを外部へ送出していました。対象通貨はBitcoin、Ethereum、Solana、Ripple、TRONで、配信元はwebsdk.appsflyer.com、露出期間は3月9日22:45 UTCから3月11日と推定されています。記事はwebsdk.appsflyer.comからの疑わしいAPI要求のテレメトリ確認、既知安全版へのダウングレード、妥協の調査を推奨しています。

Betterleaks, a new open-source secrets scanner to replace Gitleaks

Severity: 40/100

この記事は、公開リポジトリやファイルに誤ってコミットされた資格情報を攻撃者がスキャンして収集する脅威を指摘し、それに対処する新しいオープンソースのシークレットスキャナBetterleaksを紹介する。Betterleaksはディレクトリ、ファイル、Gitリポジトリを走査して有効なシークレットを検出するツールで、CELによるルール定義検証、エントロピーではなくBPEトークン化に基づくToken Efficiency Scanning(CredDataで98.6%のリコールを報告)、純Go実装、二重/三重エンコードされた秘密の自動処理、プロバイダ向け拡張ルール、並列化されたGit走査などの技術的特徴を持つ。Zach Riceが主導しMITライセンスで公開、Royal Bank of CanadaやRed Hat、Amazonの貢献者を含むチームで保守される。記事はBetterleaksを用いて攻撃者が見つける前にシークレットを検出・保護することを推奨している。

FBI seeks victims of Steam games used to spread malware

Severity: 70/100

FBIシアトル支局が、2024年5月から2026年1月の間にSteam上で公開された複数のゲームに埋め込まれたマルウェア被害者の特定を求めていると通知した。調査対象のゲームにはBlockBlasters、Chemia、Dashverse/DashFPS、Lampy、Lunara、PirateFi、Tokenovaが含まれる。記事はマルウェア配布手口としてゲーム実行ファイルへの情報窃取/暗号通貨ドレイン機能の組み込みを指摘し、ChemiaではEncryptHubがHijackLoaderを使ってVidarや同社のFickle Stealerを配布した事例、BlockBlastersで後からクリプトドレイナーが追加された事例、PirateFiの配布で最大約1,500ダウンロードの可能性が報告されたことを挙げる。被害は暗号資産窃取やアカウント乗っ取りが中心で、配布により実被害(金額や被害者数の推定)も確認された。FBIは被害申告フォームとSteam_Malware@fbi.govへの通報を求め、SteamはAVスキャン、インストール済みソフトの確認、OS再インストールの検討を助言している。

Poland’s nuclear research centre targeted by cyberattack

Severity: 55/100

ポーランド国立原子力研究センター(NCBJ)が自組織のITインフラを狙ったサイバー攻撃を検出・阻止したと発表した。組織は侵入の検知と初期対応によってシステムの完全性が維持され、影響は生じなかったと説明している。NCBJは原子力物理や研究用炉MARIAを運用しており、同炉の運転には影響がなくフル出力で稼働していると述べた。攻撃者の帰属は公式には示されていないが、ロイターは調査でイランの示唆があったと報じており、捜査側は工作的な誤誘導の可能性も含め慎重に判断している。技術的なIOCや具体的手口の公開はなく、組織は関係当局への通報、調査開始、内部セキュリティ体制の警戒強化といった対応を実施している。

From VMware to what’s next: Protecting data during hypervisor migration

Severity: 50/100

BroadcomによるVMware買収後の移行潮流を背景に、VMwareからHyper‑V、Azure Stack HCI、Nutanix AHV、Proxmox VE、KVM等へ移行する際の技術的・運用上のリスクを解説している。ハイパーバイザ間でディスク形式、ドライバ、仮想ハードウェア、スナップショット挙動などが互換せず、移行中に稼働不安定や長時間ダウンが発生する可能性があると指摘する。また移行により攻撃対象が拡大し、バックアップリポジトリやイメージが高価値ターゲットになるリスクを明示している。対策としては、検証済みかつ復元可能なフルイメージおよびアプリケーション整合性のあるバックアップ、移行前の復旧訓練、プラットフォーム非依存のバックアップ設計、移行期間中の並行保護、バックアップの不変化(immutability)、厳格なRBACと管理者権限制限、3-2-1ルールと孤立コピーによる保護、ロールバック経路の維持とデータ整合性検証を挙げている。

Microsoft: Windows 11 users can’t access C: drive on some Samsung PCs

Severity: 50/100

Microsoftは2026年2月のセキュリティ更新を適用した後、一部のSamsungノートPCでC:\ドライブへのアクセスができずアプリが起動しない問題を調査している。ユーザーには「C:\ is not accessible – Access denied」のエラーが表示され、OutlookやOfficeアプリ、Webブラウザ、システムユーティリティ、Quick Assistなどの起動が阻害される。権限問題により特権昇格や更新のアンインストール、ログ参照ができないケースもある。主にブラジル、ポルトガル、韓国、インドで報告され、Samsung Galaxy Book 4およびその他のSamsung消費者向けデバイスで発生し、影響はWindows 11の25H2および24H2に限定される。MicrosoftはSamsungと連携して原因を調査しており、Samsung Shareアプリが関連する可能性を示唆しているが原因は未確定である。公式の暫定対処はなく、Redditで共有されたC:\配下の所有権をEveryoneに変更する回避策はセキュリティ保護を弱めるため推奨されないと報告されている。

Microsoft releases Windows 11 OOB hotpatch to fix RRAS RCE flaw

Severity: 40/100

記事はMicrosoftがWindows 11のhotpatchプログラム向けにKB5084597を公開し、Routing and Remote Access Service(RRAS)管理ツールの脆弱性によるリモートコード実行を修正したと報告している。攻撃者はドメインに認証された存在で、ドメイン参加済みユーザーをだましてRRASスナップイン経由で悪意あるサーバーへリクエストを送らせることで悪用可能と説明されている。影響はhotpatch更新を受けるEnterpriseクライアントに限定され、Windows 11 25H2/24H2およびEnterprise LTSC 2024が対象で、遠隔サーバー管理の特定シナリオに該当する。修正はCVE-2026-25172、CVE-2026-25173、CVE-2026-26111として扱われ、3月のPatch Tuesdayで既に修正済みだが再配布されたhotpatchはインメモリ適用で再起動不要、Windows Autopatch管理下の対象デバイスへ自動インストールされると記事は伝えている。

Microsoft investigates classic Outlook sync and connection issues

Severity: 25/100

MicrosoftはクラシックOutlookデスクトップクライアントで発生している複数の同期および接続不具合を調査中である。グループ作成時にExchange Web Servicesが有効なテナントで「Can’t connect to the server」が発生する問題は、ValidateUnifiedGroupPropertiesのAD Graph呼び出しが「An internal server error occurred. The operation failed. Both AAD and MSGraph clients are null or AAD Graph is disabled for this API.」というエラーで失敗することが原因とされ、OutlookチームはREST APIを使う更新で対処予定と述べている。またGmail/Yahooアカウント同期で0x800CCC0Fおよび0x80070057エラーが発生し、パスワード変更後にサインインを促されないケースが報告されている。回避策としてはグループ操作を新しいOutlookクライアントまたはOWAで行う、同期問題はレジストリのComputer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\Identities以下の該当アドレスのエントリ削除で対応できると案内されている。マウスポインタ消失問題は診断ログ提出を求め、クリック操作やアプリ切替、再起動で一時回避可能とされる。

OpenAI says ChatGPT ads are not rolling out globally for now

Severity: 15/100

OpenAI は ChatGPT の広告 が 現時点 で グローバル に 展開 されていない と BleepingComputer に 伝えた。更新 された プライバシー ポリシー に 広告 の 記載 が あった ため 一部 ユーザー が 海外 展開 を 憶測 した が、OpenAI は 広告 を 米国 のみ に 限定 している と 確認した。広告 は 2026年2月9日 に 米国 で ロールアウト され、米国内 で 段階的 に 拡大 している。広告 は 回答 下部 に 表示 され、ログイン した Free および Go プラン 利用者 のみ が 対象 で、行動 に 基づき 18歳未満 には 表示 されない と 説明 された。OpenAI は 広告 を チャット モデル と 別 系統 で 運用 し、広告主 に 対話内容 を 共有 しない と 述べる一方、広告 が ユーザー の クエリ に 応じて パーソナライズ される ため 購買 意思 へ 影響 を 与える 懸念 が 指摘 されている。OpenAI は 実運用 から 学ぶ ため フェーズド アプローチ を 採用 している とした。