Ransomware Tactics, Techniques, and Procedures in a Shifting Threat Landscape ⭐
Severity: 85/100
この記事は2025年のMandiant調査を基にランサムウェア脅威の全体像を示す。脅威アクターはRaaSエコシステムを中心に依然活発で、QilinやAkiraなどのブランドが台頭しつつCL0PやBABUK等の活動様式も混在している。初期侵入は脆弱性の悪用が約3分の1を占め、特にFortinet(CVE-2024-21762、CVE-2024-55591、CVE-2019-6693)、SonicWall(CVE-2024-40766)、Palo Alto(CVE-2024-3400)、Citrix(CVE-2023-4966)、Microsoft SharePoint(CVE-2025-53770/53771)などのVPN/ファイアウォールや公開サービスが狙われ、ゼロデイ利用の事例も報告されている。攻撃手法はマルバタイジング、盗難資格情報、ブルートフォース、トンネリング(CLOUDFLARED、SYSTEMBC等)、RMMやバックドアの悪用、Rclone/WinRAR等を用いたデータ窃取・外部転送、ESXi/vCenter等仮想化基盤への攻撃の増加(約43%)を含む。技術的指標としてREDBIKEが最頻出(約30%)、BEACON利用の顕著な減少、MIMIKATZ等による資格情報窃取、各種YARAルールが提示されている。推奨対策や対応策は同記事が参照する白書「Ransomware Protection and Containment Strategies」にまとめられている。
GlassWorm Malware Evolves to Hide in Dependencies ⭐
Severity: 80/100
GlassWormファミリのマルウェアキャンペーンはOpen VSX上の拡張機能を標的にし、Socketの調査で72件の悪意ある拡張が確認され、さらに20件以上が追加で特定されている。攻撃者は従来のステージ化されたJavaScriptローダーやロシア回避のジオフェンシング、Solanaブロックチェーンのトランザクションメモを介したC2接続、メモリ内実行などの回避技術を用いるが、最近はトランジティブ依存(extensionPackやextensionDependencies)を悪用してローダーを直接含まない形で配布するよう進化している。被害は開発者ツールチェーン全般に及び、NPMやGitHub/Gitの資格情報、暗号資産ウォレット、macOSやブラウザのデータ、キーチェーンやVPN設定等の窃取が報告されている。技術的指標としてはステージ化ローダー、ロシア向けゲーティング、Solanaメモ参照、後期のマニフェスト変更や重度の難読化が挙げられる。Socketは拡張のバージョン間でのextensionPack/extensionDependenciesの変更監査、インストール・更新チェーンのレビュー、上記の指標を検出するハントを推奨している。
Azureコントロールプレーンを狙った脅威を「TrendAI Vision One™」によって検知 ⭐
Severity: 80/100
記事は攻撃者を特定の集団としてではなく、開発者アカウントやサービスプリンシパル等の侵害を起点にAzureコントロールプレーンの正規管理機能を悪用する脅威アクターとして位置付ける。攻撃技術としては初期侵入後の権限昇格(Contributor、Key Vault Administrator、Owner、RBAC Administrator、User Access Administrator等の割当)、監視や診断設定の削除・無効化、NSGやファイアウォールの改変による外部露出、ストレージの匿名公開やテナント間複製、ストレージキー再生成やRunbook作成による永続化、VMやスナップショット・復旧リソースの削除による復旧妨害が挙げられる。検知ではAzureの管理ログ(アクティビティログ管理カテゴリ)を取り込み、具体的なWorkBenchルール名(例:Azure IAM Over Privileged Contributor Role Assigned To A User、Azure NSG Successfully Updated With Inbound Rule Allowing Any IP、Azure Storage Account Successful Creation Or Update With Public Access等)での検出を説明する。推奨対策としてはMFAや条件付きアクセス、最小権限RBAC、ログ保護と継続的監視、Azure Policy/Microsoft Defender for Cloud準拠、バックアップと復旧機能保護が示される。
Stryker attack wiped tens of thousands of devices, no malware needed ⭐
Severity: 70/100
記事は、医療機器大手Strykerが内部のMicrosoft環境を狙われ、マルウェアを用いずに数万台の従業員デバイスが遠隔で消去された事案を報じている。攻撃はHandalaと名乗るハッカティビスト集団(イランと関連付けられると報じられた)が主張したが、調査ではデータ流出の痕跡は確認されていない。情報筋によれば攻撃者は管理者アカウントを侵害し新たなGlobal Administratorアカウントを作成した後、Microsoft Intuneのワイプコマンドを使い3月11日午前5時〜8時UTCに約80,000台を消去したという。影響はStrykerの社内Microsoft環境と従業員の管理対象デバイス、電子発注システムに限定され、同社は製品は安全と表明している。技術的指標としてはIntuneワイプとグローバル管理者権限の悪用が挙げられ、Microsoft DARTとPalo Alto Unit 42が調査中で復旧と出荷・取引システムの再開が進められている。
/proxy/ URL scans with IP addresses - SANS ISC ⭐
Severity: 65/100
攻撃者はプロキシを探索するスキャンを実施しており、ホストヘッダやURLにホスト名を含める手法に加え、/proxy/プレフィックスを使いクラウドメタデータサービスへ到達しようとしています。検出された手口は169.254.169.254へのアクセスを狙い、/latest/meta-data/iam/security-credentials/や/latest/dynamic/instance-identity/documentを取得しようとするもので、IPv4の他にIPv4マッピングIPv6表記(::ffff:a9fe:a9fe)、0:0:0:0形式、長整数表現(2852039166)を用いてフィルタ回避を試みています。これは典型的なSSRF経由の攻撃に類似しつつ、攻撃者はフルプロキシを仮定しているためIMDSv2の単純な対策が効かない可能性があると指摘されています。記事は観測されたURLパターンをテスト用の出発点として挙げ、APIゲートウェイ、ロードバランサ、WAF等プロキシ実装の設定検証とIMDSv2の採用状況に注意を促しています。
Inside Olympic Cybersecurity: From Paris 2024 to Milan 2026 ⭐
Severity: 65/100
フランツ・レグル元パリ2024 CISOとのインタビューを通じ、記事はオリンピックを狙う「悪意ある攻撃者」が開会式を含む主要イベントを狙うことを強調している。具体的な手口としてはフィッシングや偽チケッティングサイト、会場の大型表示・音響システムの乗っ取り、Active Directoryや計時・スコアリング等の基幹システムへの影響が想定されると述べられている。対象は組織委員会、競技会場、選手・観客、そして国全体の重要インフラにまで及び、200以上のアプリと1万超のワークステーションが稼働する大規模環境での影響範囲が示される。技術面ではEDRによる検知や脅威インテリジェンスのリアルタイム共有、インシデント対応体制の整備が言及され、セキュア・バイ・デザインやガバナンス強化、組織間の「サイバー連帯」による協力が主要な対策として提示される。
Attackers Abuse LiveChat to Phish Credit Card, Personal Data ⭐
Severity: 60/100
CofenseのPhishing Defense Centerが報告した攻撃キャンペーンは、PayPalとAmazonを装いLiveChatを悪用するリアルタイムのソーシャルエンジニアリングで、アカウント資格情報、クレジットカード情報、MFAコード、その他の個人識別情報を窃取する手口を示す。研究者は、PayPalの返金誘導でLiveChatホストのページに誘導し外部のフィッシングサイトで資格情報とMFAコードを回収、その後請求情報やカード番号・有効期限・CVCを取得する経路と、未署名の「注文保留」リンクでメールを入力させチャット開始後にAmazonのサポートを装ってカード情報を要求する別経路を確認した。会話の文法の乱れから人間オペレータのスクリプト運用が示唆され、本事例はLiveChat悪用の初確認例とされる。記事はブランドなりすまし、緊急性の強調、資格情報窃取などのTTPを挙げ、IoCはブログに提供されているとし、防御にはソフトウェア対策に加え専門の脅威ハンター、リアルタイムインテリジェンス、ユーザーレポートを組み合わせた人間主導の分析が必要と記載している。
CISA flags Wing FTP Server flaw as actively exploited in attacks
Severity: 80/100
CISAはWing FTP Serverに存在する脆弱性CVE-2025-47813を「実際に悪用されている脆弱性カタログ」に追加し、脅威アクターによる攻撃の懸念を示した。脆弱性はUIDクッキーに長い値を使用した際に生成されるエラーメッセージがローカルの完全なインストールパスなどの機密情報を漏えいさせるもので、低権限から情報開示を引き起こす可能性がある。発見者のJulien AhrensはPoC公開とともに、同脆弱性がRCEのCVE-2025-47812と連鎖して悪用され得ると指摘している。Wing FTP Serverは1万超の顧客に利用され、米空軍や大手企業も含まれるため影響範囲は広い。ベンダーは2025年5月のv7.4.4で修正を提供しており、CISAはFCEB機関に対してBOD 22-01に基づき2週間での対処を指示、ベンダー指示に従った緩和策適用やクラウド向けガイダンスの順守、対策が無い場合は製品の使用中止を推奨している。
UK’s Companies House confirms security flaw exposed business data
Severity: 70/100
Companies House の WebFiling サービスに導入された更新が原因で、2025年10月以降 約五百万社の企業情報が露出した脆弱性が確認された。発見者は Ghost Mail の John Hewitt で、Dan Neidle が機関に報告した。脆弱性は、ログイン済みユーザーが自身のダッシュボードから「他社の申請」を選び 企業番号を入力し 認証コード画面で戻る操作を行うことで 別の企業のダッシュボードにアクセスできるという認証フローの不備であり、ログインユーザーに限定され 1件ずつの閲覧が可能だった。露出した情報には 生年月日 住宅住所 企業メールアドレス および経営陣の自宅やメールアドレスが含まれる。機関はサービスを一時停止して修正を適用し、ICO と NCSC に報告し 調査を継続中であるが パスワードや身分証明データはアクセスされていないとしている。
Microsoft Exchange Online outage blocks access to mailboxes
Severity: 60/100
MicrosoftはExchange Onlineのサービス障害を調査中で、Exchange Onlineのメールボックスやカレンダーへのアクセスが一部の接続手段で遮断されていると発表した(管理センター更新 EX1253275)。影響を受けるのはOutlook on the web、Outlookデスクトップ、Exchange ActiveSyncおよびその他の接続プロトコルで、Office.comは一時的にエラー表示になった報告がある。別件でMicrosoft 365 CopilotのWebサインインとWebクライアントにもアクセス問題が発生しており(MO1253428)、同社はCopilot利用者にデスクトップアプリ、Teams内Copilot、Officeアプリ内Copilotの使用を推奨している。Microsoftは「サービスインフラの一部がトラフィックを効率的に処理していない」と診断し、構成変更と監視で影響を軽減中と説明した。16日14:20 EDTにExchange Onlineの障害は緩和されたと報告されているが、原因究明と事後報告を継続している。
Microsoft pulls Samsung app blocking Windows C: drive from Store
Severity: 55/100
MicrosoftとSamsungの合同調査により、問題はGalaxyデバイスとWindows PC間の画面共有・ファイル転送を行うSamsung Galaxy Connectアプリに起因すると特定されました。影響を受けたシステムでは「C:\ is not accessible – Access denied」のエラーが発生し、ファイルアクセス不能やOutlook、Officeアプリ、ウェブブラウザ、システムユーティリティ、Quick Assist等の起動阻害が生じています。対象はWindows 11を搭載する複数のSamsung Galaxy Book 4およびデスクトップ機種(NP750XGJ、NP750XGL、NP754XGJ、NP754XFG、NP754XGK、DM500SGA、DM500TDA、DM500TGA、DM501SGA)で、権限昇格や更新のアンインストール、ログ収集ができない事例も報告されています。対策としてMicrosoftは当該アプリをStoreから一時削除し、Samsungは安定版の旧バージョンを再公開、影響端末の復旧手段は限定的であり利用者はSamsungに連絡するよう案内されています。
Shadow AI is everywhere. Here’s how to find and secure it.
Severity: 50/100
記事はシャドウAIが組織のSaaS環境や従業員の利用を通じて機密データにアクセスするリスクを指摘し、Nudge Securityによる検出と統制の方法を解説している。具体的にはMicrosoft 365やGoogle WorkspaceといったIdPとの軽量連携で機械生成メール(例: noreply@dropbox.com)を解析し、新規アカウント作成やパスワード変更、セキュリティ設定変更を検出して過去のツール導入も可視化する方式を説明している。ブラウザ拡張でAI会話内のPIIや機密情報の共有、ファイルアップロードを監視し、SaaS⇄AI間の統合とスコープをインベントリ化、部門別利用状況と承認済み/未承認アプリの追跡、ポリシー違反や新規ツール検出時のアラート、ユーザへのナッジやポリシー周知の自動化を推奨している。
Sophos Workspace Protection is Now Available
Severity: 5/100
本記事はSophosが「Sophos Workspace Protection」を正式リリースしたことを案内する製品紹介であり、リモートやハイブリッド勤務者、契約者、ゲストとそれらがアクセスするネットワークやデータの保護を目的としている。中心となるのはハード化されたChromiumベースのSophos Protected Browserで、アプリ使用制御やローカルデータ制御、ウェブフィルタリング、ZTNA統合、SSH/RDPのサポートを備える。Sophos ZTNAはエージェントレスまたは薄いエージェントで動作し、既存ZTNA顧客は2月28日からフルバンドルへのアクセスが提供される。加えてWindows端末向けのDNS Protection for Endpoints(DNS over HTTPS対応)と、Google/Microsoftと併用するEmail Monitoring Systemがモジュール形式で提供される。製品は単体購入可能でユーザー単位ライセンス制、EAPの早期アクセスは4月7日に終了すると記載されている。