TeamPCP Supply Chain Campaign: Update 004 - Databricks Investigating Alleged Compromise, TeamPCP Runs Dual Ransomware Operations, and AstraZeneca Data Released ⭐
Severity: 90/100
TeamPCPは、供給網侵害で獲得した約300GBの資格情報を基盤に、複数の収益化段階へ移行していると整理された。DatabricksはTeamPCPのcredential harvestに関連する侵害の疑いを第三者情報で調査中で、AWSアーティファクト、CloudFormationダンプ、STSトークンの痕跡がTeamPCPの手口と一致するとされた。別途、TeamPCPはVectとの提携に加え、自前のCipherForceを運用しており、共有RSA-4096公開鍵が共通の帰属手掛かりとされる。LAPSUS$はAstraZenecaの約3GBアーカイブを無料公開し、GitHubユーザー情報や内部ソースコード構造が部分的に検証された。ownCloudはCVE-2026-33634の影響をビルド基盤に限定して開示した。記事は、Databricks関連資格情報の失効、Vect/CipherForce監視、IOCスイープ、CISA KEV期限前のローテーション完了を推奨している。
Threats based on Clipboards actions (+ KQL Query) ⭐
Severity: 38/100
本稿は特定の攻撃者ではなく、Windows のクリップボード機能を悪用する一般的な脅威手法を扱う。MITRE ATT&CK の T1115 Clipboard Data に関連し、GetClipboardData や PowerShell の Get-Clipboard を使って、コピーされたパスワード、トークン、暗号資産アドレスなどを継続的に収集できると説明する。Clipboard History や Clipboard Sync も、機密情報の露出面を広げる要素として挙げている。例として、.cmd から PowerShell を起動し、コピー内容を C:\temp\clipboard_log.txt に記録するスクリプトを示し、後続のメールや HTTP による持ち出しにも触れている。検知は DeviceProcessEvents で powershell.exe のコマンドラインに clipboard を含むものを抽出する KQL を提示し、GPO での機能無効化や関連レジストリ、EDR 監視を推奨している。
Digital Security Research | Microsoft Security Blog ⭐
Severity: 38/100
Microsoft Security BlogのResearch一覧ページで、個別記事としてAgentic AIのOWASP Top 10リスク、Trivy配布経路のサプライチェーン侵害、GPOを悪用した人手操作型ランサムウェア、Storm-2561によるSEOポイズニングを使った偽VPN配布、税関連ルアーのフィッシング、AIツールへのプロンプト悪用、偽開発者面接経由のマルウェア、北朝鮮系とされるJasper SleetやCoral SleetによるAI活用、LLMチャット履歴を収集する悪性AI拡張機能などを掲載している。攻撃対象はCI/CD、開発者、VPN利用者、AI利用環境で、TTPとして署名付きトロイの木馬、QRコード、プロンプトインジェクション、サプライチェーン改ざんが示される。記事群は検知・調査・防御の研究とガイダンスを提供する。
DShield (Cowrie) Honeypot Stats and When Sessions Disconnect ⭐
Severity: 18/100
DShield/Cowrieのテレメトリを分析した記事で、特定の攻撃者帰属は示されておらず、主に自動化されたSSH/Telnetボット活動とみなされている。約3年・6台のハニーポットで120万件超のセッションを対象に、1セッションあたりのコマンド数と継続時間の分布、終了直前の最後のコマンドを比較した。多くのセッションは20前後のコマンドで約20秒継続し、df -h、uname、/bin/busybox cat /proc/self/exe、kill %1、rm .s; exit などが頻出した。/tmp/anthrax を作成するELF構築の痕跡もあり、同名ファイルはMirai系としても観測されている。著者は、変動する入力を除外した類似セッション判定、Cowrieの応答の実システム寄せ、継続時間やコマンド数の外れ値調査を提案している。
How to Evaluate AI SOC Agents: 7 Questions Gartner Says You Should Be Asking ⭐
Severity: 0/100
Gartnerは、AI SOCエージェント市場が急拡大する一方で、導入効果を得られる組織は限定的だと指摘し、評価のための7項目を提示した。論点は、現行SOC業務のどこを実際に削減できるか、alerts processedではなくMTTD、MTTR、false positive削減やMTTCなどの成果で測れるか、ベンダーが2年後も存続し得るかという供給網リスクである。加えて、分析を通じてアナリストを育成できるか、自律実行の境界と高影響アクションのガードレール、SIEM/EDR/SOAR/ID基盤との統合深度、そして判断と実行を人間が追跡できる説明可能性と監査証跡の有無を重視している。
Critical Fortinet Forticlient EMS flaw now exploited in attacks
Severity: 95/100
Defusedは、Fortinet FortiClient EMSに存在するCVE-2026-21643が実際の攻撃で悪用されていると報告した。これはFortiClient EMSのGUIに対するSQLインジェクションで、細工したHTTPリクエストの「Site」ヘッダーを通じてSQL文を注入し、未認証の攻撃者が未パッチ環境で任意のコードやコマンドを実行できる。影響対象はFortiClient EMS 7.4.4で、Shodanでは約1000件、Shadowserverでは2000件超の公開インスタンスが観測され、米国と欧州に多い。緩和策として、7.4.5以降への更新が示されている。
Hackers now exploit critical F5 BIG-IP flaw in attacks, patch now
Severity: 95/100
F5は、BIG-IP APMのCVE-2025-53521を当初のDoS脆弱性から重大なRCEに再分類し、認証不要の攻撃で未修正デバイスにwebshellを展開する実際の悪用を確認した。対象は、仮想サーバーでアクセスポリシーが設定されたBIG-IP APMで、Shadowserverはオンライン公開中のBIG-IPを24万台超把握しているが、脆弱構成や修正済みかは不明である。F5はIOCを公開し、ディスク、ログ、端末履歴の確認を推奨した。CISAもKEVに追加し、連邦機関に3月30日までの対処を求め、緩和策がなければ製品利用停止を指示した。
F5 BIG-IP Access Policy Managerの脆弱性(CVE-2025-53521)に関する注意喚起
Severity: 93/100
F5はBIG-IP Access Policy ManagerのCVE-2025-53521に関するアドバイザリを更新し、当初はサービス妨害とされていた脆弱性を、認証不要のリモートコード実行につながる問題へと修正した。開発元は、この脆弱性を悪用する攻撃を確認している。対象はBIG-IP APMの17.5.0~17.5.1、17.1.0~17.1.2、16.1.0~16.1.6、15.1.0~15.1.10で、JPCERT/CCは国内で影響を受ける可能性のある製品の利用を確認している。対策として、開発元の最新情報を確認し、影響バージョンでは修正済みバージョンの適用を検討することが求められる。侵害確認では、F5が公表したIOC、ディスク上のファイルやログの調査項目、sys-eicheckツール、侵害時の考慮事項を参照して調査するよう案内している。
European Commission confirms data breach after Europa.eu hack
Severity: 86/100
欧州委員会は、Europa.euのWebプラットフォームがShinyHuntersと名乗る恐喝グループによるサイバー攻撃で侵害され、データ漏えいが発生したと確認した。影響は少なくとも同委員会のAWSアカウント1件に及び、内部システムやEuropaサイトの運用停止は起きていない一方、調査の初期結果では当該サイト群からデータが持ち出されたとされる。攻撃者はアクセス遮断前に350GB超、複数データベースを窃取したと主張し、メールサーバーのダンプ、データベース、機密文書、契約書などを含む90GB超のアーカイブを漏えいサイトに掲載した。委員会は封じ込め措置を実施し、影響を受けた可能性のあるEU機関への通知と継続調査を進めている。
FBI confirms hack of Director Patel’s personal email inbox
Severity: 38/100
イラン関連のハクティビスト集団Handala(Handala Hack/Hatef/Hamsa)が、FBI長官Kash Patelの個人Gmailアカウントに侵入し、写真や文書を公開した。FBIは侵害を認め、対象は政府情報ではなく履歴的な個人メールで、漏えいデータも最近のものではないと説明した。攻撃者は、FBIによるHandala関連ドメインの押収と、米政府の懸賞金への報復であると主張した。公開された内容は、Patelの個人写真、文書、長官就任前のメール往復で、攻撃側はFBIの“impenetrable”なシステムを数時間で破ったと誇示した。FBIは、関連リスクを抑えるため必要な対策を講じたとしている。
Apple adds macOS Terminal warning to block ClickFix attacks
Severity: 22/100
Appleは macOS Tahoe 26.4 で、Terminal に貼り付けた危険なコマンドの実行を遅延させ、リスク警告を表示する新しい保護機能を追加した。主目的は ClickFix 攻撃の抑止で、ユーザーに「修正」や「確認」を装って悪性コマンドを貼り付けさせるソーシャルエンジニアリングを対象としている。記事では、Safari からコピーしたコマンドを Terminal に貼り付けた際に警告が出る例が報告されており、実行は一時停止される。Appleは公式サポート文書を出しておらず、警告の発火条件はまだ不明だが、ユーザーは理解できない命令をオンラインで実行しないこと、警告を無視して続行するのは内容を把握している場合に限ることが推奨されている。
Microsoft pulls KB5079391 Windows update over install issues
Severity: 5/100
Microsoftは、Windows 11 24H2および25H2向けの任意の非セキュリティ累積プレビュー更新KB5079391の配信を一時停止した。更新のインストール時に0x80073712エラーが発生し、影響を受けた端末では「Some update files are missing or have problems. We’ll try to download the update again later. Error code: (0x80073712).」という失敗が報告されている。KB5079391はSmart App ControlやDisplayの改善、Windows Hello Fingerprintの信頼性向上、Windows REのARM64環境での安定性向上など29件の変更を含んでいた。Microsoftは追加影響を防ぐため提供を制限し、修正時期は未公表だが、4月14日の次回Patch Tuesdayまでに対応する可能性があるとしている。
The Wiz Blue Agent, now Generally Available
Severity: 3/100
Wizは、Wiz Defend顧客向けに Blue Agent を一般提供開始したと発表した。これはクラウドとAI環境でのインシデント調査を支援するAIエージェントで、Security Graph、コードからクラウドへの可視化、ランタイムシグナルを組み合わせて、検知時に自動収集されるフォレンジックパッケージ、スクリプト、バイナリ、各種アーティファクトを解析する。さらに、実行時の挙動をソースコード、PR、コード変更、コードオーナーへ関連付け、正当な挙動と攻撃を切り分ける。調査結果は説明可能な形で提示され、Wiz Workflows により、信頼度に応じたインシデントのエスカレーション、対応チームへの通知、封じ込めプレイブックの自動起動が可能とされている。
ISC Stormcast For Monday, March 30th, 2026
Severity: 0/100
このページはISC Stormcastの2026年3月30日配信回の案内であり、掲載内容からは特定の脅威アクター、脆弱性、攻撃手法、被害対象、IOC、MITRE ATT&CK対応、あるいは具体的な緩和策は確認できない。ページ上ではThreat Levelがgreenと示されているが、実際のインシデントや悪用事例の説明はなく、主眼はポッドキャスト回の導線とサイト内ナビゲーションにある。したがって、個別の脅威情報としては実質的な分析材料は提示されていない。