The Proliferation of DarkSword: iOS Exploit Chain Adopted by Multiple Threat Actors ⭐
Severity: 97/100
Google Threat Intelligence Groupは、DarkSwordと呼ぶiOSのフルチェーン exploit を確認した。これはJavaScriptCoreのCVE-2025-31277およびCVE-2025-43529、dyldのCVE-2026-20700、ANGLEのCVE-2025-14174、XNUのCVE-2025-43510とCVE-2025-43520を連鎖させ、iOS 18.4〜18.7の端末を完全侵害する。少なくとも2025年11月以降、商用監視ベンダーや国家支援とみられる複数の攻撃者が使用し、サウジアラビア、トルコ、マレーシア、ウクライナの標的に対して、snapshare[.]chat、sahibndn[.]io、e5.malaymoil[.]com、static.cdncounter[.]net などを用いた配信が観測された。成功後はGHOSTKNIFE、GHOSTSABER、GHOSTBLADEを展開し、アカウント、メッセージ、ブラウザデータ、位置情報、ファイル、スクリーンショット等を窃取する。Googleは関連ドメインをSafe Browsingに追加し、iOSを最新へ更新すること、更新できない場合はLockdown Modeを有効化することを推奨した。
DarkSword: iPhone Exploit Kit Serves Spies & Thieves Alike ⭐
Severity: 94/100
DarkSwordは、Google・iVerify・Lookoutが追跡した iOS 向けのフルチェーン攻撃で、複数のゼロデイを連鎖し、商用監視ベンダーや疑わしい国家支援系の攻撃者が少なくとも2025年11月以降、サウジアラビア、トルコ、マレーシア、ウクライナのiPhoneを標的にしている。CVE-2025-31277、CVE-2025-43529、CVE-2026-20700、CVE-2025-14174、CVE-2025-43510、CVE-2025-43520を用い、JavaScriptCore、dyld、ANGLE、カーネル段階でRCE、サンドボックス逃避、権限昇格を実現する。関連マルウェアはGhostblade、Ghostknife、Ghostsaberで、悪性サイト閲覧後のワンクリックで完全侵害し、短時間で機微情報や暗号資産ウォレットを窃取して自己削除する。対策として iOS 18.7.6 または 26.3.1 への更新と Lockdown Mode の検討が挙げられている。
snap-confine + systemd-tmpfiles = root (CVE-2026-3888) ⭐
Severity: 94/100
Qualysは、Ubuntu Desktop 24.04以降のデフォルト構成に存在するローカル権限昇格CVE-2026-3888を報告した。unprivilegedユーザーがsnap-confineとsystemd-tmpfilesの相互作用を悪用し、/tmp/snap-private-tmp/$SNAP/tmp配下の/.snapがsystemd-tmpfilesで削除された後、/tmp上で再作成して競合を起こすことで、snap-confineの特権的な「mimic」作成を乗っ取る。24.04では/usr/lib/x86_64-linux-gnu、25.10では/var/libのbind mountを奪取し、共有ライブラリや動的ローダー、/var/lib/snapd/mount/snap.snap-store.user-fstabを制御してrootシェルに到達する。24.04では30日、25.10では10日の待機が必要とされる。Ubuntu Security Teamはパッチを送付し、25.10では既定rmをGNU coreutils版へ差し替えてuutils coreutilsの別件raceを回避した。
GlassWorm malware hits 400+ code repos on GitHub, npm, VSCode, OpenVSX ⭐
Severity: 92/100
GlassWormによる供給網攻撃が再燃し、GitHub、npm、VSCode/OpenVSXにまたがる433件のコンポーネントが侵害された。Aikido、Socket、Step Security、OpenSourceMalwareの分析では、同一のSolanaブロックチェーンアドレス、類似ペイロード、共通インフラから単一の攻撃者像が示唆されるが、ロシア語話者の関与は示唆にとどまる。初期侵害はGitHubアカウントの乗っ取りとforce-pushで、以降は不可視Unicode文字で難読化したコードをnpmと拡張機能として展開し、5秒ごとにSolanaを照会してmemosに埋め込まれた命令を取得、Node.jsランタイムをダウンロードしてJavaScriptベースの情報窃取を実行する。対象はPython 200件、JS/TS 151件、VSCode/OpenVSX拡張72件、npm 10件で、ウォレット情報、認証情報、アクセストークン、SSH鍵、開発環境データが狙われた。Step Securityは lzcdrtfxyqiplpd、/init.json、/node-v22*、i.js の確認と、コミット時刻の不整合監査を挙げている。
New DarkSword iOS exploit used in infostealer attack on iPhones ⭐
Severity: 92/100
DarkSwordは、UNC6748、UNC6353、PARS Defense関連の攻撃者など複数の主体に利用されているiOS向けエクスプロイト兼配信フレームワークで、少なくとも2025年11月以降、iPhoneの情報窃取に使われている。対象はiOS 18.4から18.7の端末で、Safari起点の1クリック攻撃により、サンドボックス脱出、権限昇格、RCE、kernel read/writeを連鎖させ、pe_main.jsを起点にApp Access、Wi‑Fi、Springboard、Keychain、iCloudなどの特権サービスへJavaScriptエンジンを注入する。CVE-2025-31277、CVE-2025-43529、CVE-2026-20700、CVE-2025-14174、CVE-2025-43510、CVE-2025-43520が関与し、GHOSTBLADE、GHOSTKNIFE、GHOSTSABERがパスワード、写真、メッセージ、暗号資産ウォレット、位置情報などを窃取した。対応策としてiOS 26.3.1への更新とLockdown Mode有効化が挙げられている。
Technical Analysis of SnappyClient | ThreatLabz ⭐
Severity: 88/100
Zscaler ThreatLabzは、SnappyClientと呼ぶ新たなC2フレームワーク用インプラントを2025年12月に確認し、HijackLoader経由で配布されたと報告した。攻撃はTelefónicaを偽装したサイトでドイツ語話者を狙い、別経路としてClickFixを用いたHijackLoader侵入も観測された。SnappyClientはAMSI回避、Heaven’s Gate、直接システムコール、transacted hollowingを用い、ChaCha20-Poly1305で暗号化した独自プロトコルで通信する。ブラウザの保存パスワード、Cookie、拡張機能、クリップボード、スクリーンショット、キーログを収集し、暗号資産ウォレット関連のウィンドウやクリップボード内容を条件に監視する。IOCとして151.242.122.227:3333/3334と179.43.167.210:3333/3334、複数のSnappyClientハッシュが示され、ZscalerはWin32.Trojan.SnappyClientとWin32.Downloader.HijackLoaderで検出するとしている。
C2 Implant ‘SnappyClient’ Targets Crypto Wallets ⭐
Severity: 84/100
Zscaler ThreatLabzは、2025年12月に初観測されたC++製C2インプラント「SnappyClient」を分析し、主用途が暗号資産窃取だと述べた。攻撃者は既知のモジュラー型ローダーHijackLoaderで配信し、別経路ではClickFixのソーシャルエンジニアリングも用いた。SnappyClientはスクリーンショット取得、キーロギング、リモートシェル、ブラウザや拡張機能からの資格情報・Cookie窃取を行い、Chrome、Firefox、Edge、Brave、Operaを対象とする。永続化にはスケジュールタスクやWindowsのRunキーを利用し、AMSI回避、64ビット実行、直接システムコール、正規プロセスへのコード書き込みなどの回避機能を備える。C2通信はChaCha20-Poly1305で暗号化される。
New ‘Perseus’ Android malware checks user notes for secrets ⭐
Severity: 84/100
ThreatFabricは、Perseusと呼ばれる新しいAndroidマルウェアを確認した。攻撃者は未公認ストアでIPTVアプリを装って配布し、Android 13以降のサイドロード制限を回避するドロッパーを使う。主な標的はトルコとイタリアの金融機関、ならびに暗号資産サービスで、影響対象としてGoogle Keep、Xiaomi Notes、Samsung Notes、ColorNote、Evernote、Microsoft OneNote、Simple Notesなどのメモアプリも挙げられた。PerseusはAccessibility Servicesを悪用して画面操作を乗っ取り、start_vncによる継続的なスクリーンショット取得、start_hvncによるUI階層送信、タップや入力のシミュレーション、黒画面オーバーレイ、オーバーレイ攻撃、キーロギングを実行する。加えて、rootやエミュレータ、SIM、Bluetooth、Google Play Servicesなどを確認して疑わしさスコアをC2へ送る。対策として、怪しいソースからのAPK導入回避、Google Play利用、Play Protect有効化が示された。
Researchers disclose vulnerabilities in IP KVMs from four manufacturers ⭐
Severity: 83/100
Eclypsiumの研究者が、4社のIP KVMに計9件の脆弱性を公開した。対象はGL-iNet Comet RM-1、Angeet/Yeeso ES3 KVM、Sipeed NanoKVM、JetKVMで、IP KVMはBIOS/UEFIレベルの遠隔操作を可能にするため、侵害されると接続先システム全体に影響し得る。最も深刻なのはAngeet/Yeeso製品のCVE-2026-32297とCVE-2026-32298で、認証不要のファイル操作とOSコマンドインジェクションによりroot奪取や悪意あるコード実行が可能とされ、修正は未提供。ほかに、CVE-2026-32290のファームウェア真正性検証不備、CVE-2026-32291のUART root access、CVE-2026-32292とCVE-2026-32295のブルートフォース対策・レート制限不足、CVE-2026-32293の初期プロビジョニング不備、CVE-2026-32294の更新検証不備、CVE-2026-32296の設定エンドポイント露出が挙げられた。研究者らとrunZeroは、未把握のIP KVMの棚卸し、強固なパスワード設定、信頼できるVPNの使用を推奨している。
Less Lucrative Ransomware Market Makes Attackers Alter Methods ⭐
Severity: 78/100
Google Threat Intelligence Groupは、2025年のランサムウェア活動で攻撃者がCobalt Strike Beaconへの依存をほぼやめ、PowerShell、WMI、cmd/batch、ipconfig、netstat、ping、nltestなどのWindows標準機能へ移行していると報告した。初期侵入は脆弱性悪用が最も多く、特にVPNとファイアウォールが狙われ、盗難認証情報も21%を占めた。Mandiant対応事案では、77%でデータ窃取、43%で仮想化基盤への侵入が確認され、横展開にはRDP、SMB、SSHが使われた。GTIGは、EDRとID管理の強化、強いコンテキスト相関による検知を重視している。
SideWinder Espionage Campaign Expands Across Southeast Asia ⭐
Severity: 76/100
インド系とみられるSideWinder(RagaSerpent)は、2012年以降の諜報活動を継続し、東南アジアでインドネシアとタイを含む政府、通信、重要インフラを標的に拡大している。侵入には政府監査を装うスピアフィッシング、窃取した認証情報、長年修正済みのMicrosoft Office脆弱性、DLLハイジャックを用い、侵入後はWindowsサービス上の永続化、段階的なペイロード配信、頻繁なドメイン変更でC2を維持する。最近のキャンペーンでは設定、主にC2アドレスを実行時に動的生成し、再ビルドなしでインフラを切り替えている。ITSECはIOC依存ではなく、TTPを継続的に遮断する防御を求めている。
Everyday tools, extraordinary crimes: the ransomware exfiltration playbook ⭐
Severity: 76/100
Cisco Talosは、ランサムウェアや窃取活動で、rclone、Syncthing、PowerShell、AWS CLI、AzCopyなどの正規ツールがデータ流出に悪用されていると分析した。攻撃者は、クラウドCLI、同期ユーティリティ、OS標準コマンドを使い、HTTPSやクラウドAPIを介して長時間かつ低速な転送を行い、正規の業務通信に紛れ込ませる。さらに、バイナリ名の変更や信頼済みパスへの配置、バックグラウンド実行により、allow-listベースの制御を回避しやすい。Talosはこれを整理するため、実行コンテキスト、親子プロセス関係、ネットワーク挙動、永続化痕跡、送信先特性を正規化するExfiltration Frameworkを提示した。対策としては、静的IOCやポート制御に依存せず、エンドポイント、ネットワーク、クラウドの各テレメトリを相関し、通常時のベースラインとの差分で検知する必要がある。
‘Claudy Day’ Trio of Flaws Exposes Claude Users to Data Theft ⭐
Severity: 72/100
Oasis Securityの研究者が、AnthropicのClaude AIエージェントに見つかった3件の欠陥を連鎖させる攻撃「Claudy Day」を報告した。攻撃は、Claude.aiのURLパラメータを使った不可視のprompt injection、Claude.aiのopen redirect、Anthropic Files APIを使ったデータ流出経路で構成される。攻撃者はclaude.ai/new?q=に隠し指示を埋め込み、claude.com/redirect/で正規ドメインに見せかけたGoogle広告URLを作成し、被害者を誘導する。被害者がクリックしてプロンプトを送ると、会話履歴やmemory、MCPサーバーや連携先へのアクセスを悪用され、ファイル、メッセージ、API操作を経て機微情報がapi.anthropic.comへ流出し得る。Anthropicはprompt injectionの欠陥を修正済みで、他の問題にも対処中とされ、研究者はAIツールへのアクセス制限と初回利用時の明示的承認を推奨した。
The Refund Fraud Economy: Exploiting Major Retailers and Payment Platforms ⭐
Severity: 67/100
Flareの分析によると、地下フォーラムやTelegramでは、返金fraudの手法、教材、代行サービスが商品化され、少ない技術知識でも参入できる市場が形成されている。手口はマルウェアではなく、返品保証、チャージバック、顧客対応のエスカレーション手順を悪用する社会工学で、商品未着の虚偽申告、空箱返品、商品のすり替え、ポリシー悪用などが含まれる。標的としてAmazon、PayPal、Apple、eBay、Walmart、Best Buy、配送サービス、決済サービスが繰り返し言及され、影響は大量取引と顧客優先の返金設計により大きくなる。対策として記事は、脅威インテリジェンスの継続収集、従業員と委託先の教育、より効果的な不正防止策の整備を挙げている。
サプライチェーンセキュリティ評価制度に備え、いま知っておきたい脅威の現状と対策 - NTT西日本が名古屋でセミナー開催 ⭐
Severity: 60/100
愛知県警とトレンドマイクロ、NTT西日本によるセミナーでは、ランサムウェアグループのQlinやRansomHouseを含む近年の攻撃動向と、経産省のサプライチェーンセキュリティ対策評価制度の概要が紹介された。攻撃手口としては、フィッシング、ボイスフィッシング、サポート詐欺、BEC、メール添付やURLを起点とするランサムウェアが取り上げられ、県内では年間20件程度のランサムウェア被害、フィッシング報告は6年で約31倍増と説明された。中小企業はリソース不足とサプライチェーン上の踏み台化のしやすさから標的になりやすく、制度は★3~★5の共通指標で可視化する枠組みとして整理された。対策として、OS・ソフト更新、MFA、強固なパスワード、バックアップのオフライン保管、権限最小化、監視強化、侵入時のLAN切断や電源維持が挙げられた。
Hackers Target Cybersecurity Firm Outpost24 in 7-Stage Phish ⭐
Severity: 58/100
Outpost24の脅威インテリジェンス部門は、特定グループに帰属できないPhishing-as-a-Service系の攻撃を確認した。標的は同社のC-suite役員で、CiscoやJP Morganを装う7段階のリダイレクト連鎖によりMicrosoft Officeの資格情報フィッシングページへ誘導された。メールはAmazon SES由来の有効なDKIM署名を持ち、Cisco Secure Web、Nylas、侵害されたインド企業のPDF、期限切れドメインの再登録、Cloudflare配下の最終ドメインが利用された。さらにアンチボットと人間検証で自動防御を回避した。Outpost24は被害前に検知して阻止し、記事は信頼されたサービスを悪用した層状回避とゼロトラスト、人間リスク管理の重要性を示している。
AIにより脅威が増した2025年のランサムウェア攻撃、対策のポイントは(3) なぜランサムウェア被害は止まらないのか - 中小企業が取るべき対策 ⭐
Severity: 58/100
本稿は、ランサムウェア被害が中小企業を中心に継続している状況を整理し、サプライチェーン上流への波及も踏まえて警戒を促している。攻撃は単純な暗号化ではなく、企業内部への侵入後に重要データを窃取して暗号化する二重恐喝へ移行しており、認証情報の悪用やソフトウェア悪用、ラテラルムーブメント、Living Off The Landも挙げている。リモートワークとクラウド移行により、従来の境界型対策だけでは不十分だとし、ゼロトラスト、NDR、UTM、SASE、IAM、MFAの活用を推奨している。復旧面では、改変や暗号化が困難な不変バックアップ、DR計画、従業員教育、部門横断プレイブック、経営層の関与を含む「システムと人」の両面の強化が必要と説明している。
[tl;dr sec] #320 - Ramp’s Security Agents, How Datadog Caught Malicious OSS Contributions, Obliterating Model Refusals ⭐
Severity: 58/100
Datadogは、Open Sourceリポジトリへの悪意ある寄稿を狙うAIエージェント「hackerbot-claw」を、自社のLLMベースコードレビューシステムBewAIreで検知したと報告した。攻撃者はGitHub Actionsのワークフローに対し、ファイル名を利用したコマンドインジェクションで侵入を試み、1つのワークフローではコード実行に成功したが、組織全体のGitHub rulesetによるmainブランチへの直接push制限、GITHUB_TOKEN権限の絞り込み、機密シークレットを露出させない設計により、実害は非保護ブランチへの無害なコミットに限定された。記事は、AIを使った悪意あるPR検知と、GitHub Actionsを前提にした防御の有効性を示している。
Detection Logic Bugs: Abusable Gaps in Detection Coverage ⭐
Severity: 52/100
本記事は、SIEMやカスタム検知ルールに潜む「Detection Logic Bugs」を、攻撃者が検知回避に悪用できる構造的欠陥として整理している。対象は Sigma、Elastic、Microsoft Sentinel などの公開ルールセットと企業環境全般で、著者は文字列連結、バイナリ名の変更、イベント間の数秒遅延、イベントの分割、追加情報の挿入といった単純な操作でも false negative を生み得ると指摘する。ADE フレームワークとして ADE1 から ADE4 を提示し、substring manipulation、normalization asymmetry、method/binary の代替、version/location/file type の見落とし、process cloning、aggregation hijacking、timing and scheduling、gate inversion などの類型を挙げる。対策としては、ルール数ではなく false negative リスクを把握し、検知ロジックの不整合を系統的に特定・分類・修正することが強調されている。
Interesting Message Stored in Cowrie Logs - SANS ISC ⭐
Severity: 40/100
SANS ISCは、CowrieとDShieldのログで確認されたボット活動を報告した。観測された文字列には「MAGIC_PAYLOAD_KILLER_HERE_OR_LEAVE_EMPTY_iranbot_was_here」が含まれ、19日には少なくとも2台のセンサーで同様のechoコマンドが記録された。関連するソースIPは64.89.161.198で、30 Janから22 Feb 2026にかけてポートスキャン、Telnet(TCP/23)での成功したログイン、Webアクセスが確認され、15日と19日にTelnet経由で2回ログインしていた。19日にアップロードされたシェルスクリプトは、IoT機器と64ビットLinuxシステムの侵害を狙うものとされ、IOCとして188.214.30.5、http://188.214.30.5/r.sh、ハッシュf1c0e109640d154246d27ff05074365740e994f142ef9846634bec7b18e3b715が示された。記事は同様の活動を検知した場合の情報提供を求めている。
Researchers: Meta, TikTok Steal Personal & Financial Info When Users Click Ads ⭐
Severity: 38/100
Jscramblerの研究は、MetaとTikTokの広告トラッキングピクセルを、利用者の同意設定に反して個人情報や決済情報を収集する「実質的なinfostealer」と位置づけている。対象は、両社のピクセルを埋め込んだ広告主サイトで、ユーザーが広告をクリックして遷移した後も収集が続き、氏名、メール、電話番号、位置情報、クレジットカード下4桁や有効期限、購入品目、カート情報、Checkoutフォーム構造などが取得されるとされる。MetaのピクセルはTikTokよりもフォームやボタン構造まで記録するという。ピクセルは拒否やカスタマイズ以前、ページ初回読込時から動作する点も問題視された。対処として、広告主は第三者ツールを十分にレビューし、制限または削除し、地域法とユーザー選択に沿うよう実装を見直す必要がある。
Turning historical patterns into actionable detection pipelines with Microsoft Sentinel data lake ⭐
Severity: 12/100
Microsoft は、Microsoft Sentinel data lake 上で履歴データを用いた Password Spray 検知パイプラインを紹介している。対象となる脅威は、単一アカウントへの総当たりではなく、少数のパスワードを多数アカウントへ長期間試行する低速な攻撃で、攻撃者は IP のローテーション、共有 ASN、プロキシ基盤を活用する。パイプラインは raw sign-in logs を日次要約と 4 時間ごとの feature 計算に分離し、30〜90 日の lookback と直近 4 時間の活動を結合する。分析対象は IP、ASN、City、Country で、attempt 数、distinct users、success rate、username entropy、spray score を算出し、LOW/MEDIUM/HIGH に分類する。対処として、3 つの notebook をデプロイし、backfill を任意で実行、日次要約と feature ジョブを定期実行し、高リスク結果は Analytics tier に昇格して alert や hunting、blocklist 連携に利用する。
Zero Trust Purdue Model: What It Is and Why OT Needs It ⭐
Severity: 12/100
本記事は特定の攻撃者や個別脆弱性を扱うものではなく、製造業のOT環境における防御モデルの再設計を論じている。Purdue Modelは依然有効だが、工場内のIT/OT接続やクラウド連携が進み、従来の「空気ギャップ」前提は崩れている。火壁、VLAN分離、NACは北南方向の制御や旧式機器への適用に限界があり、単一セグメント内での横展開を十分に抑えられない。AIにより脅威は高速化し、脆弱性探索、ネットワーク列挙、ラテラルムーブメント、情報流出が短時間で進むと指摘する。対策として、Purdueの層構造を維持しつつ、資産単位のセグメンテーション、必要最小限の認証済み接続、VPNの代替となるブラウザベースの特権アクセス、外向き通信の統制、デコイを用いた検知を組み合わせるZero Trust Purdue Modelを提示している。
World ID wants you to put a cryptographically unique human identity behind your AI agents ⭐
Severity: 8/100
Worldは、AIエージェントの大量自動化によるSybil型リクエストを抑えるため、World IDの「proof of human」を組み込むAgent Kitのbetaを公開した。虹彩スキャン由来のトークンを使い、利用者が自分のAIエージェントに一意の人間IDを紐付けて、サイト側が実在の人間の代理であることを検証できる。対象はレストラン予約、チケット購入、無料トライアル、帯域、オンライン掲示板や投票などで、単一利用者による匿名ボットの洪水を防ぐ狙いがある。x402プロトコルのマイクロペイメントによるレート制限にも触れつつ、World IDがその代替として提示された。
Okta、安全なAIエージェントを運用する新たなフレームワーク「Okta for AI Agents」 ⭐
Severity: 8/100
Oktaは、エージェンティック企業でAIエージェントを正規のアイデンティティとして管理・制御する新フレームワーク「Okta for AI Agents」を発表し、4月30日から一般提供するとした。同社は、AIエージェントのセキュリティを「どこに存在するか」「何に接続できるか」「何ができるか」の3点で再設計する考えを示している。Shadow AI Agent Discoveryで未承認エージェントを自動検出し、Okta Integration Network経由でBoomi、DataRobot、Google Vertex AIなどの基盤と連携する。Agent Gatewayは仮想MCPサーバを通じてツールやAPIアクセスを集約・記録し、Privileged Credential ManagementはVaultで認証情報を管理して自動ローテーションする。API Access Managementによる最小権限化、Universal Logout for AI Agentsによる即時失効、System LogsのSIEM連携も含まれる。
Transparent COM instrumentation for malware analysis ⭐
Severity: 8/100
Cisco Talosは、マルウェア解析向けのオープンソースツールDispatchLoggerを紹介した。これはWindowsのCOM自動化、とくにlate-boundなIDispatch呼び出しを透明なプロキシで横取りし、実行時の意味情報を可視化する手法である。対象はVBScript、JScript、PowerShell、AutoIT、VBA、VB6、.NET COM Interopなどのスクリプト系マルウェアで、WMIやGetObject/CreateObjectを使う挙動の解析に有効とされる。実装ではCoCreateInstance、CoGetClassObject、GetActiveObject、CoGetObject、MkParseDisplayName、CLSIDFromProgIDをフックし、IDispatch、IEnumVARIANT、IClassFactory、IMonikerを再帰的にラップすることで、メソッド名、引数、戻り値、オブジェクト関係を記録する。記事には、VBScriptがIUnknownを先に要求するためCoGetClassObject側のフックが重要だと説明されている。
Building a Unified Data Security Platform across DSPM and DLP | Zscaler ⭐
Severity: 3/100
本記事はZscalerによる製品解説で、攻撃者や具体的な侵害事例は扱っていない。クラウドアプリ、管理外デバイス、生成AIの利用拡大によりデータが分散し、従来の境界型セキュリティやレガシーDLPでは可視化と制御が追いつかない状況を指摘する。DSPMはデータの所在、アクセス権、過剰露出、誤設定などを把握する可視化層として、DLPは分類に基づく持ち出し防止の制御層として位置づけられる。両者を連携させることで、可視性がポリシーを改善し、DLPの実施結果がデータ移動の理解を深める継続的なフィードバックループを形成できるとしている。あわせて、エンドポイント、メール、Web、クラウド、AIツールを横断する監視と、DLP、DSPM、脆弱性管理の統合が示されている。
Clear Communication: The Missing Link in Cybersecurity Success ⭐
Severity: 0/100
本記事は、Rebecca Grapsy氏とKevin Grapsy氏がRSAC 2026で語る、技術部門と非技術部門の間に生じる摩擦を、明確なコミュニケーションで解消する重要性を扱う。脅威アクターや攻撃手法ではなく、サイバーセキュリティの成功要因として、技術的に優れた人材でも意思決定層に伝わる言葉へ翻訳できなければ価値が失われると指摘する。両氏は「Five Points of Friction Framework」を示し、目標の不一致には全員が共有できる平易なNorth Starを置くこと、信頼には境界線と安全な対話環境を設けることを挙げた。また、技術側では「分からない」と答えることも正当だとしている。
How to Lead Effective Tabletops ⭐
Severity: 0/100
本稿は、サイバー攻撃そのものではなく、効果的なテーブルトップ演習の進め方を解説する。著者は、参加者が退屈な会議として受け止めがちなTTXを、ゲーム性を取り入れて学習効果の高い協働型演習に変えるべきだと述べる。実施にあたっては、対象が技術者か非技術系の経営層かを見極め、訓練目的を明確にし、現実的な前提を置きつつ参加者の思い込みを揺さぶることが重要とされる。MITRE ATT&CKやMITREの脅威インテリジェンスを参考に、実在のキャンペーンやツールの流れを踏まえたシナリオにすること、また計画に固執せず柔軟に進行し、ダイス判定で不確実性を加えることが推奨されている。
Ransomware gang exploits Cisco flaw in zero-day attacks since January
Severity: 95/100
Interlockランサムウェア・ギャングが、Cisco Secure Firewall Management Center(Secure FMC)の重大なRCE脆弱性CVE-2026-20131を、1月26日からゼロデイとして悪用していたとAmazon脅威インテリジェンスが報告した。Ciscoは3月4日に修正を公開し、この欠陥により未認証の攻撃者が影響を受ける機器上でroot権限で任意のJavaコードを遠隔実行できると警告した。攻撃は企業向けファイアウォールを標的としており、公開前に少なくとも36日間、Interlockが脆弱性を悪用していたことが確認されている。記事ではIOCは示されていない。Ciscoはセキュリティアドバイザリを参照し、顧客に速やかなアップグレードを強く求めている。
Russian hackers exploit Zimbra flaw in Ukrainian govt attacks
Severity: 93/100
ロシアの軍事情報機関GRUに結び付けられた国家支援型グループAPT28(Fancy Bear/Strontium)が、Zimbra Collaboration SuiteのCVE-2025-66376を悪用し、ウクライナ政府組織を標的にした攻撃を実行した。脆弱性は保存型XSSで、未認証の攻撃者がRCEとメールアカウント侵害に到達できる。Seqrite LabsはOperation GhostMailとして観測し、対象にウクライナ国家水文庁が含まれた。攻撃は添付やリンク、マクロを含まない単一メールのHTML本文内で完結し、難読化されたJavaScriptが脆弱なZimbra Webmailセッション上で静かに実行された。認証情報、セッショントークン、バックアップ2FAコード、保存済みパスワード、直近90日分のメール内容を収集し、DNSとHTTPSで外部送信した。CVEは2025年11月に修正済みで、CISAはKEVに追加し、FCEB機関に2週間以内の対処を求めた。
Critical Microsoft SharePoint flaw now exploited in attacks
Severity: 92/100
CISAは、Microsoft SharePointのCVE-2026-20963が実際の攻撃で悪用されていると警告した。対象はSharePoint Enterprise Server 2016、SharePoint Server 2019、SharePoint Server Subscription Editionで、2007/2010/2013もサポート終了済みながら攻撃対象となり得る。脆弱性は信頼されないデータのデシリアライズに起因し、認証不要・低複雑度のネットワークベース攻撃により、未パッチのサーバーでリモートコード実行が可能になる。Microsoftは1月のPatch Tuesdayで修正したが、現時点で同社はまだ野外悪用を明示していない。CISAはKEVに追加し、FCEB機関に3月21日までの対処を要求した。対策として、パッチ適用、サポート終了版のアップグレード、ベンダー指示に従った緩和策の適用、緩和策がない場合の製品廃止が挙げられている。
Max severity Ubiquiti UniFi flaw may allow account takeover
Severity: 92/100
UbiquitiはUniFi Network Applicationに2件の脆弱性を修正した。CVE-2026-22557は最大深刻度のpath traversalで、権限のない攻撃者がネットワーク経由で対象システム上のファイルにアクセスし、ユーザーアカウントを乗っ取る可能性がある。影響範囲はUniFi Network Application 10.1.85以前で、10.1.89以降で修正された。認証済みの低権限攻撃者が権限昇格できるAuthenticated NoSQL Injectionも併せて修正された。いずれもユーザー操作は不要で、低複雑度の攻撃とされる。
CISA orders feds to patch Zimbra XSS flaw exploited in attacks
Severity: 89/100
CISAは、Zimbra Collaboration Suite(ZCS)の既知悪用脆弱性CVE-2025-66376について、米連邦民間行政部門機関に対し4月1日までの修正を命じた。脆弱性はClassic UIに存在する保存型XSSで、リモートの未認証攻撃者がメールHTML内のCSS @import指令を悪用して、悪意あるHTMLメールから任意JavaScriptを実行できる。成功すると、Zimbra環境内でユーザーセッションの乗っ取りや機微情報窃取につながる可能性がある。Zimbraは世界中の多数の企業や政府機関で利用されており、CISAは民間を含む全組織に迅速なパッチ適用を勧告した。対処として、ベンダー指示に従った緩和策の適用、BOD 22-01のガイダンス順守、緩和策がない場合の製品利用停止が挙げられている。
ConnectWise patches new flaw allowing ScreenConnect hijacking
Severity: 88/100
ConnectWiseは、ScreenConnectのバージョン26.1未満に存在する暗号署名検証の脆弱性CVE-2026-3564を修正した。攻撃者はASP.NET machine key materialを抽出して悪用し、ScreenConnect内で未承認のセッション認証、アクセス制御回避、権限昇格を行える可能性がある。対象はMSP、IT部門、サポートチームが利用するリモートアクセス基盤で、クラウド版とオンプレミス版の双方に影響する。ベンダーは、公開されたASP.NET machine key materialの悪用試行が実際に観測されたとしつつ、本件CVEの確定的な侵害証跡やIOCは提示していない。クラウド利用者は自動的に安全な版へ移行済みで、オンプレミス管理者は26.1へ更新し、設定ファイルとシークレットへのアクセス制限、異常な認証ログの確認、バックアップや古いスナップショットの保護、拡張機能の更新を求められている。
Marquis: Ransomware gang stole data of 672K people in cyberattack
Severity: 87/100
テキサス州の金融サービス企業Marquisは、ランサムウェア攻撃により672,075人分の個人・金融情報が流出したと公表した。攻撃は2025年8月14日に発生し、侵入の起点としてSonicWallファイアウォールの侵害が使われたとされる。流出した情報には氏名、生年月日、住所、電話番号、社会保障番号、Taxpayer Identification Number、暗証やアクセスコードのない金融口座情報が含まれる。Marquisは全米700超の銀行、信用組合、住宅ローン貸金業者向けにデジタルマーケティング、データ分析、コンプライアンス、CRMサービスを提供しており、攻撃は74の銀行の業務にも影響した。SonicWallはMySonicWall認証情報のリセットを促しており、同社のクラウドバックアップに関連する侵害ではアクセス資格情報とトークンが露出した可能性が指摘された。
CISA urges US orgs to secure Microsoft Intune systems after Stryker breach
Severity: 87/100
CISAは、米国の医療技術企業Strykerに対する3月11日の侵害を受け、Microsoft Intuneを含むエンドポイント管理環境の強化を米国組織に促した。攻撃は、イラン系とされるプロ・パレスチナのハクティビスト集団Handalaが主張しており、侵害した管理者アカウントを起点に新たなGlobal Administratorアカウントを作成し、Intuneの組み込みwipeコマンドを使って約8万台の端末を消去したとされる。さらに50TBのデータ窃取も主張されている。CISAとMicrosoftは、IntuneのRBACに基づく最小権限、Entra IDのConditional Accessやリスクシグナルを含むMFAと特権アクセス衛生、多管理者承認を、device wipe、アプリ更新、RBAC変更などの重要操作に対して適用するよう求めている。
More Attackers Are Logging In, Not Breaking In
Severity: 86/100
攻撃者は個別の脆弱性を突くより、流出した資格情報で正規ログインする手口へ移行している。Recorded Futureの分析では、2025年に盗まれた認証情報が急増し、インフォスティーラーの産業化、MaaS、AI支援のフィッシングやソーシャルエンジニアリングが増加を後押しした。対象はOkta、Microsoft Azure Active Directory、企業VPN、RMM、クラウド、メール基盤などで、MSPとその下流顧客への影響も示されている。解析した約700万件のうち、31%にあたる2億7600万件は有効なセッションCookieを含み、MFAを迂回したセッションハイジャックに悪用され得る。Googleはランサム事案の21%で盗難資格情報による初期侵入を確認し、Verizonも22%を報告した。対策として、デバイス・行動ベースの条件付きアクセス、FIDO2などのフィッシング耐性MFA、継続的監視、露出資格情報の迅速な失効、IAMやSIEMなどTier-0資産の分離と保管・ローテーションが挙げられている。
Multiple Privilege Escalation Vulnerabilities in Arturia Software Center MacOS
Severity: 85/100
SEC Consultは、Arturia Software Center for macOS 2.12.0.3157に2件のローカル権限昇格脆弱性を報告した。CVE-2026-24062はPrivileged HelperのXPCクライアント検証不備で、署名検証なしに任意プロセスが接続し、特権操作を誘発できる。CVE-2026-24063は、プラグイン配下のuninstall.shが/Library/Arturia/…/Contents/Resourcesにroot所有で配置される一方、権限777で書き込めるため、アンインストール時にrootで実行される点を悪用する。PoCではcom.Arturia.InstallHelperへの接続、FINISHMとUNINSTAメッセージの送信、/tmp/test/uninstall.shのroot実行が示された。影響はmacOS上のローカル権限昇格で、SIP有効環境でも確認されている。ベンダーは未応答で、パッチと回避策は提示されていない。
EU Sanctions Companies in China, Iran for Cyberattacks
Severity: 72/100
欧州評議会は、EU域内のサイバー攻撃を支援または実行したとして、中国のIntegrity Technology GroupとAnxun Information Technology(iSoon)、イランのEmennet Pasargadを制裁対象に指定した。Integrity Technology Groupは、2022~2023年にEU6カ国で6万5000台の侵害端末に関連した製品提供に関与したとされ、iSoonは中国政府・軍向けのハッキング請負組織として位置付けられた。Emennet Pasargadは、スウェーデンのSMSサービスへの侵害、フランス組織へのデータ漏えい攻撃、2024年パリ五輪での広告看板を使った情報操作への関与が挙げられている。制裁により、対象はEUでの取引禁止、EU内資産凍結、iSoon創業者2名への渡航制限が課される。
Europe sanctions Chinese and Iranian firms for cyberattacks
Severity: 68/100
欧州連合は、デバイスや重要インフラを狙ったサイバー攻撃に関与したとして、中国2社とイラン1社、ならびに2人を制裁対象に追加した。Integrity Technology Groupは2022年から2023年にかけて技術的・物的支援を提供し、EU6加盟国で6万5000台超のデバイス侵害につながったとされる。Anxun Information Technologyは、加盟国および第三国の重要インフラと重要機能を標的にしたハッキングサービスを提供し、同社の共同創業者2人も制裁を受けた。イランのEmennet Pasargadは影響工作やスウェーデンのSMSサービス侵害、2024年パリ五輪での広告ボード乗っ取りに関与したとされ、2023年にはCharlie Hebdo購読者情報の販売も示唆した。制裁は資産凍結、資金供与禁止、渡航禁止を含む。
Nordstrom’s email system abused to send crypto scams to customers
Severity: 67/100
正体不明の攻撃者がNordstromの正規メール基盤を悪用し、顧客に暗号資産詐欺メールを送信した。メールはSt. Patrick’s Dayの販促を装い、2時間以内に送金すれば200%を返すと誘導し、件名の綴り誤り「Normstorm」も含まれていた。送信元はnordstrom@eml.nordstrom.comで、信頼された送信者表示が用いられた。関係者筋によると侵害経路はOkta SSOからSalesforceへの侵害で、Salesforce Marketing Cloud経由で配信された。少なくとも一部の受信者は送金し、詐欺ウォレットは約5,600ドル超を受領した。Nordstromは当該メッセージを無許可とし、顧客に無視を求め、調査と対処を進めている。
Multiple vulnerabilities in PEGA Infinity platform
Severity: 67/100
SEC Consult Vulnerability LabがPEGA Infinity platformの複数脆弱性を公開した。CVE-2025-62181はログイン画面の不十分なブルートフォース対策で、同一パスワードを複数ユーザーに試すパスワードスプレーとユーザー名列挙が可能だった。CVE-2025-9559はIDORで、他ユーザーが共有設定していない画像ファイルを直接参照できた。影響範囲はPega Platform 7.1.0からInfinity 25.1.0、別途8.7.5からInfinity 24.2.2までとされ、PoCでは同一IPから1分未満で8,000件の失敗認証が観測され、user_1がuser_2の画像を/datacontent/image/DOCUMENT/DOC-1008.png経由で取得できた。ベンダーは即時のパッチ適用を推奨し、CVE-2025-62181は24.1.4、24.2.4、25.1.1 patch、CVE-2025-9559は24.2.3が修正版で、回避策はない。
Aura confirms data breach exposing 900,000 marketing contacts
Severity: 61/100
身元保護企業Auraは、従業員を狙ったボイスフィッシングにより不正アクセスを受けたと確認した。ShinyHuntersはこの攻撃を自ら主張し、12GBのファイル窃取と顧客および社内データの流出を掲示したが、記事上でAuraはその主張の詳細にはコメントしていない。影響範囲は約90万件のマーケティング連絡先で、これは2021年に買収した企業由来のツールに保存されていたデータであり、Aura顧客は3.5万人規模に限られる。流出した情報は氏名、メールアドレス、自宅住所、電話番号で、HIBPは顧客対応コメントとIPアドレスも含まれるとした。SSN、パスワード、金融情報は漏えいしていない。Auraは外部専門家と内部調査を進め、法執行機関へ通報し、影響を受けた個人へ個別通知を送るとしている。
APPLE-SA-03-17-2026-1 Background Security Improvements for iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1, and macOS 26.3.2
Severity: 58/100
Appleのセキュリティ告知で、iOS 26.3.1、iPadOS 26.3.1、macOS 26.3.1、macOS 26.3.2向けのWebKit修正が示された。影響は、悪意あるWebコンテンツの処理によりSame Origin Policyを回避できる可能性で、Navigation API内のクロスオリジン問題が原因とされる。Appleは入力検証の改善で対処したと説明し、CVE-2026-20643として公開、WebKit Bugzillaでは306050として追跡されている。特定の攻撃者や実被害の記載はなく、主な対応は該当バージョンへの更新である。
Hacktivist campaigns increase as United States, Iran, and Israel conflict intensifies
Severity: 43/100
Sophos CTUは、2026年2月28日の米国とイスラエルによる対イラン攻撃後、Telegram、X、地下フォーラムでイラン系ハクティビストの動きが活発化したと報告した。Handala Hack Team、APTIran、Cyber Toufan、Cyber Support Front、Iranian Avenger、Cyb3r Drag0nz、Troll Hacker Teamなどが言及され、主な主張はイスラエル政府・軍・関連組織への攻撃である。確認済みの実害は限定的で、手口はウェブ改ざん、DDoS、個人や組織のドクシング、フィッシング、パスワードスプレー、公開済み脆弱性の悪用が中心とされる。HandalaはRedWantedサイトを公開し、APTIranはTelegram上でイスラエルの重要インフラや水制御への侵害 দাবを共有した。推奨事項として、米国・中東での防御態勢強化、インターネット公開面の縮小、迅速なパッチ適用、CISA KEV優先対応、AV/EDR監視、ランサムウェアやワイパーを想定したBCPと復旧手順の確認が挙げられている。
Scans for “adminer” - SANS Internet Storm Center
Severity: 41/100
攻撃者によるものとみられるスキャン活動が、SANSのハニーポットでAdminerを対象に活発化している。Adminerは単一PHPファイルのDB管理ツールで、利用者がSQL認証情報を入力して接続する設計だが、著者は弱いパスワードを狙った総当たりの余地を指摘している。Adminer側は30分あたり30回のログイン試行制限を設け、OTPなどを追加するセキュリティプラグインも用意している。スキャンでは、phpMyAdminのような隠しパスではなく、adminer-5.4.2-mysql-en.phpのようなバージョン付きファイル名を探索しており、検索されるURL数も増加している。記事は、Adminerのセキュリティ助言を確認し、インターネットに公開しないよう勧めている。
Apple pushes first Background Security Improvements update to fix WebKit flaw
Severity: 38/100
Appleは、Thomas Espachが発見したWebKitのCVE-2026-20643を修正するため、初のBackground Security Improvements更新を配信した。欠陥はNavigation APIのクロスオリジン問題で、悪意あるWebコンテンツがSame Origin Policyを回避でき、iPhone、iPad、Macに影響する。Appleは改良された入力検証で対処し、iOS 26.3.1、iPadOS 26.3.1、macOS 26.3.1/26.3.2向けに提供した。背景更新はSafari、WebKit、関連システムライブラリへ小規模な外部配信パッチを適用する仕組みで、アンインストールすると既存の背景パッチがすべて外れ、ベースライン状態に戻る。
7 Ways to Prevent Privilege Escalation via Password Resets
Severity: 38/100
本記事は、特定の攻撃者ではなく、パスワードリセット経路を悪用した権限昇格の典型的な手口を整理している。低権限アカウントの侵害、ヘルプデスクへのソーシャルエンジニアリング、リセットトークンや一次コードの奪取、過剰な管理者権限の悪用により、攻撃者が高権限アカウントへ移行しうると説明する。主な対象はActive Directoryを含む企業の認証・復旧フローで、影響は特権アカウントの乗っ取りや横展開に及ぶ。対策として、MFAの必須化、特にFIDO2などのフィッシング耐性MFA、管理端末や端末状態に基づく制御、強固なパスワードポリシー、利用者とサポート担当者の教育、リセット操作の監査と異常検知、最小権限の徹底、秘密の質問など知識ベース認証の回避を挙げている。
警察庁が詐欺対策アプリを初認定 - 「詐欺対策 by NTTタウンページ」など
Severity: 18/100
警察庁は特殊詐欺の急増を受け、携帯電話用アプリを国民に推奨する制度を2025年12月に導入し、2026年3月5日に「詐欺対策 by NTTタウンページ」と「トレンドマイクロ詐欺バスターLite」を初の推奨アプリとして認定した。特殊詐欺の被害額は令和7年中で約1414億円に達し、前年の2倍で過去最悪とされ、被害は20代・30代にも拡大している。特に偽警察詐欺では携帯電話の利用が約7割を占める。該当アプリは、着信時に詐欺利用番号を自動で警告・遮断し、発着信ブロックや警察庁の防犯情報通知を提供する。NTTタウンページは約500万件の企業情報を使った発信元表示も備え、無料で提供される。
ISC Stormcast For Wednesday, March 18th, 2026
Severity: 0/100
本記事はISC Stormcastの2026年3月18日版を案内するページで、提示された本文には具体的な脅威アトリビューション、悪用された脆弱性、攻撃手法、対象組織、IOC、緩和策は記載されていない。内容はポッドキャストへの導線と関連サイトのナビゲーションが中心で、セキュリティ上の実質的な分析やインシデント情報は確認できない。
Empower and Accelerate Your SOC with the Blue Agent
Severity: 0/100
Wizは、Wiz Defendに統合されたAI搭載の「Blue Agent」を発表した。これはSOC向けの脅威トリアージ自動化機能で、Wizプラットフォームの環境コンテキストと社内IRチームの知見を用いて、新規に発生した脅威を即時に調査し、透明性のある判定を提示する。対象はクラウド環境全体で、ランタイムシグナル、ネットワークテレメトリ、クラウドコンテキスト、検知情報、リスク分析結果を相関させ、調査の各ステップと根拠、信頼度を分析者が確認できる。記事は攻撃者、脆弱性、IOC、MITRE ATT&CKを扱わず、主に手動でのピボット重視のトリアージを減らし、MTTRとMTTAの短縮、アラートの優先度付け、SOCの拡張を狙うとしている。
ISC Stormcast For Thursday, March 19th, 2026
Severity: 0/100
本記事は、ISC Stormcastの2026年3月19日配信ページで、ポッドキャスト題名とサイト内ナビゲーションが中心であり、脅威インテリジェンスの本文は掲載されていない。記事内には、脅威アクターの帰属や攻撃の特徴、悪用された脆弱性、対象となる組織・システム、IOC、TTP、MITRE ATT&CK対応は示されていない。緩和策や対応手順についても具体的な記載はなく、Threat Levelはgreenと表示されているのみである。
Red Hat、オープンソースで実現するフェデレーテッドAI導入法を解説
Severity: 0/100
Red Hatは、オープンソースのFlowerとOpen Cluster Management(OCM)を組み合わせ、企業規模でフェデレーテッドラーニングを導入する方法を解説した。フェデレーテッドラーニングは、学習データを外部に持ち出さずローカル環境で訓練し、中央にはモデル更新のみを共有する方式で、医療や金融のような厳格なプライバシー要件に適するとしている。Flowerはハブアンドスポーク構造を採り、SuperLinkとSuperNode、ServerAppとClientAppに処理を分離する。OCMは複数Kubernetesクラスタの管理基盤として機能し、flower-addonによりマルチクラウド環境での分散とオーケストレーションを支援する。