‘CanisterWorm’ Springs Wiper Attack Targeting Iran ⭐
Severity: 90/100
金銭目的のデータ窃取・恐喝グループTeamPCPが、Iran戦争への便乗を狙ったワイパー攻撃を展開したとされる。攻撃は、露出したDocker API、Kubernetesクラスタ、Redis、React2Shell脆弱性などの不適切に保護されたクラウド環境を足掛かりに自己増殖型のワームで拡散し、今回のペイロードはタイムゾーンとロケールがIranに一致する場合に破壊動作へ移行する。Aikidoはこの基盤をCanisterWormと呼び、ICPのcanisterを用いた配信を観測した。TrivyのGitHub Actions供給網侵害ではSSH鍵、クラウド認証情報、Kubernetesトークン、暗号資産ウォレットが窃取されたと報告され、Aqua Securityは有害ファイルを削除した。
VoidStealer malware steals Chrome master key via debugger trick ⭐
Severity: 86/100
VoidStealerは、ダークウェブ・フォーラムで少なくとも2025年12月中旬から宣伝されているMaaS型の情報窃取マルウェアで、version 2.0で新しいChrome ABE回避を導入した。攻撃は脆弱性悪用ではなく、ChromeのApplication-Bound Encryptionをデバッガー経由で迂回し、平文で一時的に存在するv20_master_keyをブラウザメモリから抜き取る手法である。対象はChromeおよびmsedge.dllを使うブラウザで、Cookieなどの保護データが狙われる。VoidStealerは隠し状態の停止ブラウザプロセスを起動してデバッガーを付与し、DLL内の特定文字列とLEA命令を基点にハードウェアブレークポイントを設定し、トリガー後にReadProcessMemoryで鍵を取得する。Gen Digitalはこれをワイルドで初確認の手法とし、Googleは既に修正と改善を実施している。
NICKEL ALLEY strategy: Fake it ‘til you make it ⭐
Severity: 86/100
Sophosは、北朝鮮政府のために活動するNICKEL ALLEYが、偽の企業ページ、求人、GitHubリポジトリ、LinkedInを使って技術者を標的にするContagious Interview अभियानを追跡していると報告した。攻撃はClickFix、npm install/npm start、VS Code tasks、curlやPowerShellの実行を悪用し、PyLangGhost RATやBeaverTail、OtterCookieを配信する。対象は主にソフトウェア開発者で、特にテクノロジーおよび金融分野が高リスクとされる。PyLangGhost RATはファイル流出、任意コマンド実行、システムプロファイリング、ブラウザ認証情報とCookie、Chromeの暗号資産ウォレット拡張データの窃取を行う。観測されたIOCには talentacq[.]pro、publicshare[.]org、astrabytesyncs[.]com、astrasbytesyncs のGitHub、Vercel上の複数のステージングURLが含まれる。Sophosは、ブラウザのクリップボード由来のコマンド実行、%TEMP%配下の実行、Node.js起点の通信の監視を推奨している。
Detecting RegPwn by Behavior, Not Binary ⭐
Severity: 82/100
本記事は、RegPwn と呼ばれる Windows 権限昇格チェーンを、実行ファイル名ではなく挙動で検知する手法を扱う。公開報告と MDSec の解説、および CVE-2026-24291 に関連づけられた Windows Accessibility Infrastructure の不適切な権限設定を前提に、atbroker.exe、winlogon.exe、SYSTEM 権限の osk.exe を経由するブローカ化された実行経路を追う。攻撃はセッション依存の ATConfig パスを registry symbolic link に差し替え、OSK の設定値を任意のレジストリ先へ書き込ませる。著者は regpwn.exe や PoC 引数ではなく、HKEY_CURRENT_USER\...\Accessibility\ATConfig\osk の事前書き込み、SymbolicLinkValue、そして msiserver などのサービスキーに書き込まれた OSK 由来の値を相関させる。対処として、PoC 固定の検知を避け、セッション単位でプロセス連鎖とレジストリ差分を結合する行動ベースのハントを推奨している。
M-Trends 2026: Data, Insights, and Strategies From the Frontlines ⭐
Severity: 82/100
Mandiantは、2025年の500,000時間超の調査に基づくM-Trends 2026で、攻撃者の分業化と高速化を指摘した。初期侵入はエクスプロイトが32%で最多、音声フィッシングが11%まで増加し、UNC3944のようなグループはヘルプデスクを狙ってMFAを回避する。高技術業界と金融が主な標的で、サプライチェーン経由のSaaS侵害ではOAuthトークンやセッションCookie、ハードコード鍵の窃取が確認された。ランサムウェアはREDBIKE(Akira)やAGENDA(Qilin)を含め、AD CSの誤設定、バックアップ削除、ハイパーバイザーや仮想化基盤の破壊で復旧阻止へ移行。UNC6201やUNC5807はVPNやルータなどのエッジ機器を標的に、ゼロデイやBRICKSTORMのようなメモリ常駐型マルウェアで長期潜伏した。対策として、低優先度アラートの即時対応、制御プレーンの分離、継続的なID検証、IOC依存からの行動検知、ログ保持期間の延長が挙げられた。
NICKEL ALLEY strategy: Fake it ‘til you make it ⭐
Severity: 78/100
Sophosは、北朝鮮政府のために活動するNICKEL ALLEYが、技術系人材を狙って偽の企業、求人、GitHub/LinkedInページ、npmやVS Codeのリポジトリを使い、ClickFixや偽の面接課題でマルウェアを配布していると報告した。攻撃では、curlやPowerShell、%TEMP%配下への展開、wscriptやNode.js経由の実行が使われ、PyLangGhost RATのほか BeaverTail や OtterCookie の取得も確認された。対象は主にソフトウェア開発者、特に金融・テクノロジー、Web3関連の人材と企業端末で、目的は暗号資産窃取に加え、供給網侵害や企業スパイ活動の可能性も示されている。観測されたIOCには talentacq[.]pro、publicshare[.]org、astrabytesyncs[.]com、hxxps://github[.]com/astrasbytesyncs/web3-social-platform、Vercel上の複数のステージングURLが含まれる。対策として、ブラウザのクリップボード由来のコマンド実行、curl/PowerShell/%TEMP%関連の挙動、Node.jsプロセス起点の通信を監視し、不審な採用 संपर्कを報告させるよう勧告している。
Attackers Hide Infostealer in Copyright Infringement Notices ⭐
Severity: 77/100
Trend Microは、著作権侵害通知を装うファイルレスのフィッシングキャンペーンを報告した。攻撃者は緊急性を煽るメールで、利用者のローカル言語に合わせた悪意ある実行ファイルのダウンロードを促し、PDFに見せかけた添付や圧縮アーカイブ、改名した正規ツールを用いてPureLog Stealerを展開する。対象は医療、政府、教育、宿泊業で、主にドイツとカナダの組織が狙われ、米国と豪州でも確認された。TTPとして、Pythonベースの初期ローダー、二段階の.NETローダー、AMSI回避、仮想環境検知、難読化、実行時の復号鍵取得、メモリ上での実行が挙げられる。PureLogはレジストリ改変で永続化し、スクリーンショット、Chrome資格情報、拡張機能、暗号資産ウォレット、システム情報を窃取する。対策として、法的脅威を含むメッセージのフィルタリングやサンドボックス、Python実行の制御、アプリケーション許可制、EDR/XDRのメモリスキャンと振る舞い検知が推奨された。
2025 Talos Year in Review: Speed, scale, and staying power ⭐
Severity: 62/100
Cisco Talosは、2025年の脅威活動が業界横断で防御側に持続的な圧力を与えたと総括した。新規の大規模脆弱性は公開直後にほぼ即座に武器化される一方、何年も前に公表されたCVEの悪用も継続し、公開PoCや自動化されたエクスプロイト開発、成熟した攻撃者連携が背景にあるとした。12月公開のReact2Shellは3週間で年末の悪用ランキング1位となり、12年前の脆弱性も上位に入った。攻撃は認証、認可、端末信頼を担う基盤に集中し、侵害済み資格情報、内部フィッシング、ID制御の悪用で権限を拡張した。さらに、管理プラットフォームや広く使われるフレームワーク、ライブラリなど中央集権的な共有基盤が狙われ、単一CVEで業界横断の大量悪用や横展開が可能になった。Talosは露出の低減と防御強化を優先すべきだと述べた。
「MFAだけでは守れない」時代へ ― パスキー・FIDO2が実現する“フィッシング耐性”認証の新基盤とは ⭐
Severity: 56/100
攻撃者はPhaaSやAIを活用し、リアルタイムフィッシングとAitM攻撃でMFAのワンタイムコードやセッションCookieを奪い、正規ユーザーとして企業システムへ侵入している。対象は国内企業を含むID/パスワード前提のログインやSSOで、従来型MFAだけでは防御が不十分と指摘する。対策として、共有秘密を持たないFIDO2/パスキーによるパスワードレス認証へ移行し、秘密鍵を端末内にのみ保持、公開鍵で検証する方式を採用する。さらに、ユーザー認証に加えて端末状態やポリシー遵守を確認し、Entra IDなど既存IDaaSと連携して段階的に導入することが推奨される。
Introducing the Wiz Red Agent- AI-Powered Attacker ⭐
Severity: 38/100
Wizは、AIを使ってWebアプリケーションとAPIの複雑なロジック欠陥を自律的に見つける攻撃エージェント「Red Agent」を公開した。対象は独自APIやAI生成コードで、静的スキャンでは検出しにくい認可不備、認証不備、ビジネスロジック欠陥、インジェクション、複数段階の攻撃連鎖を、API仕様やクライアント側コードを解析しながら適応的に探索する。事例として、公開ログインページのHTMLから抽出したtenant UUIDとカスタムヘッダーx-tn-idを用いて/api/internal/headless/membersの認証を回避し、メンバー一覧、投稿、コメント、添付ファイルへ到達したほか、公開AIチャットボットでは無効なBearerトークンを受け入れる不備から内部ツールを操作し、DBテーブル列挙とPII、住所、社内情報の抽出に成功した。Wizは高・重大度の検出をIssuesとして優先化し、Green Agentで修正担当者特定と是正支援を行うとしている。
Introducing Wiz AI Application Protection Platform (AI-APP) ⭐
Severity: 18/100
Wizは、AIアプリケーションをコードから実行時まで保護するAI Application Protection Platform(AI-APP)を発表した。記事では、顧客向けAIチャットボットが内部ツールやデータ基盤に接続されている例を挙げ、公開エンドポイント上の認証バイパス脆弱性とプロンプト注入を起点に、エージェントが意図しない動作を行い敏感データへ到達する攻撃経路を説明している。個別の挙動は通常のモデル対話、コード実行、クラウド操作に見えるが、複数レイヤーを相関させることで実際の攻撃として把握できるとしている。AI-APPは、AWS Bedrock、Azure AI、Google Vertex AI、OpenAI、Copilot Studio、自社運用のAIを横断して可視化し、モデル入力出力、ワークロード実行、クラウド層のテレメトリを結合して検知と対応を行う。
Varonis Atlas: Securing AI and the Data That Powers It ⭐
Severity: 1/100
Varonisは、企業向けAIセキュリティ基盤「Atlas」の一般提供開始を発表した。記事は攻撃者を特定しておらず、焦点はAIエージェント、コパイロット、LLMが人手より高速にデータへ直接アクセスし、過剰な権限や設定不備が情報漏えいやコンプライアンス違反につながるという企業リスクにある。Atlasは、サンクション済みツール、カスタムエージェント、埋め込みAI、シャドーAIを継続検出し、コード、プロンプト、モデル、依存関係、設定を評価するAI-SPMを提供する。さらに、ライブLLMエンドポイントに対するプロンプトインジェクション、ジェイルブレイク、ポリシーバイパスの動的テスト、実行経路上でのガードレール制御、SIEM/SOAR連携、EU AI ActやNIST AI RMFに沿った監査報告、第三者AIリスク管理も含む。
CISA orders feds to patch DarkSword iOS flaws exploited attacks
Severity: 92/100
CISAは、DarkSwordエクスプロイトキットを用いた攻撃で悪用されたiOS脆弱性の修正を米政府機関に命じた。記事では、Google Threat Intelligence GroupとiVerifyの報告として、DarkSwordがCVE-2025-31277、CVE-2025-43529、CVE-2026-20700、CVE-2025-14174、CVE-2025-43510、CVE-2025-43520の連鎖を悪用し、サンドボックス脱出、権限昇格、リモートコード実行を可能にしたと説明している。影響はiOS 18.4〜18.7の未修正iPhoneに及び、資金窃取とサイバー諜報の両面で使われた。GTIGは、GhostBlade、GhostKnife、GhostSaberという情報窃取系マルウェアを確認し、UNC6748と、ロシア系とみられるUNC6353への関連も示した。UNC6353は侵害されたウクライナの商取引、産業機器、地域サービス系サイトを踏み台にしたウォータリングホール攻撃を実施した。CISAは3件のCVEをKEVに追加し、4月3日までの修正、ベンダー指示に従うこと、必要なら製品利用停止を求めている。
FBI warns of Handala hackers using Telegram in malware attacks
Severity: 78/100
FBIは、イランのMOISに関連するとみられる攻撃者がTelegramを悪用したマルウェア攻撃を行っていると警告した。対象は、イラン政府を批判するジャーナリスト、イランの反体制派、そして世界各地の対立的なグループで、Handala Hack Team、Hatef、Hamsa、さらにIRGC関連のHomeland Justiceが関与するとされた。攻撃ではソーシャルエンジニアリングを用いてWindowsマルウェアを感染させ、侵害端末からスクリーンショットやファイルを窃取する。TelegramはC2基盤として使われており、関連ドメインとしてhandala-redwanted.to、handala-hack.to、justicehomeland.org、karmabelow80.orgが挙げられ、これらは漏えいサイト運用にも利用されていた。FBIは脅威認知を高めるためこの情報を公開した。
New KB5085516 emergency update fixes Microsoft account sign-in
Severity: 18/100
Microsoftは、KB5079473の累積更新後に発生していたMicrosoftアカウントのサインイン障害を修正する緊急のオプション更新KB5085516を公開した。影響はTeams、OneDrive、Microsoft Edge、Microsoft 365 Copilot、Excel、Wordなど、Microsoftアカウント認証を要するアプリに及び、デバイスがインターネット未接続であるかのようなエラーが表示される。Microsoftによると、この問題はMicrosoftアカウントでのサインイン操作に限定され、Entra IDを使う企業環境は影響を受けない。暫定回避策として再起動が案内されていたが、修正はWindows 11 25H2および24H2向けの更新としてWindows UpdateまたはMicrosoft Update Catalogから適用できる。
Microsoft Exchange Online service change causes email access issues
Severity: 14/100
Microsoftは、Exchange Onlineで一部ユーザーがOutlookモバイルアプリと新しいOutlook for Macデスクトップクライアントからクラウドメールボックスに断続的にアクセスできなくなるサービス障害を調査している。原因は新たに導入した仮想アカウント変更で、再起動では解消できず、影響緩和のため対象環境全体でこの変更を無効化し、長期的にはロールバックを進めている。同社は本件をインシデントとして扱っているが、影響地域やユーザー数は公表していない。
Windows 11更新後にサインインできない不具合、Microsoftが緊急修正
Severity: 8/100
Microsoftは3月21日、Windows 11 version 25H2および24H2向けの3月セキュリティ更新プログラム適用後に、一部Microsoftアプリへのサインインに失敗する不具合を修正したと公表した。影響はMicrosoft Teams(無償版)、OneDrive、Microsoft Edge、Excel、Word、Microsoft 365 Copilotに及び、接続は有効でも「インターネット未接続」と誤判定してサインインできない。対象は一般的なMicrosoftアカウントでのサインインで、Entra ID認証を使う企業環境は影響しない。この問題は定例外アップデートKB5085516、またはそれ以降の更新で修正される。適用できない場合は、インターネット接続を維持したまま再起動すると一時的に回避できる可能性がある。
Beers with Talos breaks down the 2025 Talos Year in Review
Severity: 8/100
Cisco Talosの「Beers with Talos」チームが、公開された2025 Talos Year in Reviewの内容を紹介するポッドキャスト記事である。記事では、2025年の主要なサイバーセキュリティ動向として、新たな脆弱性の急速な武器化、各所で目立ったIDの悪用、ランサムウェアの動向、APT関連調査の増加、そして翌年に向けて防御側が優先すべき事項が取り上げられている。また、中東情勢に関連するサイバー活動についても先に議論していると述べている。本文中に、特定の攻撃者、脆弱性、対象組織、IOC、TTP、あるいは具体的な緩和策は示されていない。
ISC Stormcast For Monday, March 23rd, 2026
Severity: 0/100
この記事はISC Stormcastの2026年3月23日配信案内であり、本文には個別の脅威事例や技術分析は含まれていない。記載内容はハンドラー担当者、Threat Levelがgreenであること、次回講座の案内、ポッドキャストへのリンクなどに限られる。攻撃者の帰属、悪用された脆弱性や攻撃手法、対象となる組織やシステム、IOC、TTP、MITRE ATT&CKの関連付け、また具体的な対処策や緩和策は示されていない。
Just a moment…
Severity: 0/100
提供されたページはDark Readingの「AI dominates RSAC Innovation Sandbox」という記事だが、取得時点では403 Forbiddenとなり、JavaScriptとCookieの有効化を求める画面しか確認できない。本文が取得できないため、脅威アクター、脆弱性、攻撃手法、対象組織やシステム、IOC、TTP、MITRE ATT&CKの対応関係、ならびに記事内で言及された対策や緩和策は抽出できない。したがって、本件は記事内容に基づく脅威評価を行うための情報が不足しており、セキュリティインテリジェンスとして利用可能な実質的所見はない。