TBSラジオ『荻上チキ・Session』（平日午後5時～8時までの生放送）『荻上チキ・Session-22』から続く、新世代の評論家・荻上チキと南部広美がお送りする発信型ニュース番組。11/11（火）特集「アサヒビールなど相次ぐ企業へのサイバー攻撃。いまや“災害級”と指摘される脅

米マイクロソフトの基本ソフト（OS）「Windows（ウィンドウズ）10」のセキュリティー対策などのサポートが14日、終了した。対策のされていない機器では、脆…

ホットリンクがDarkOwlと提携し、日本企業に向けたダークウェブ監視ソリューションを提供。サイバー脅威対策を強化します。

コグニティブリサーチラボが主催する「CognitiveHack Japan 2025」が開催。サイバー脅威に立ち向かう若者たちが技術を競い合う場に注目！

スマートシティ開発が進む一方で、政府機関を狙うサイバー攻撃が激化し、都市インフラへの脅威が高まっています。ランサムウェア攻撃やデータ漏洩などのリスク、対策としてセキュリティ・バイ・デザインの採用、官民連携、人材育成などが求められます。

ZDNET Japanは、CIOの課題を解決するオンラインメディアです。CIOや企業の情報システム部門に向けて、ITを活用した課題解決や価値創造のヒントを提供します。

インターネットイニシアティブ（IIJ）は、2024年12月に同社サービスやバックボーンで観測したDDoS攻撃の状況を取りまとめた。攻撃件数はわずかに増加したが、前月のような100Gbpsを大きく上回る規模の攻撃は観測されなかった。 ：Security NEXT

一部のハッキング攻撃は長期戦を仕掛け、複雑な手口を使って相手の警戒心を徐々に解こうとしたり、多段階の手法で脅威を送り込んだりするが、その一方で、より直接的なアプローチを好む攻撃も存在する。フィッシングのような、恐怖や欲望といった感情を狙うソ...

戦略情報サービスを提供する企業によれば中国企業が北朝鮮のIT技術者を先進国の企業に売り込んでいるという。このような事態を回避するにはどうすればよいのだろうか。

The Kaspersky financial threat report for 2024 contains the main trends and statistics on financial phishing and scams, mobile and PC banking malware, as well as recommendations on how to protect…

チェック・ポイント・リサーチが、AIを標的としたプロンプトインジェクション攻撃マルウェアを検出しました。これは新たな脅威の出現を示唆しています。

2024年は不安定な地政学的情勢やAI技術の進化などが影響し、サイバー脅威アクターの活動が全体的に増加しました。本年次レポートではサイバー脅威を取り巻く主なアクター、トレンド、ツール、目的についての考察や、インシデント事例を掲載しています。

NDR helps detect stealthy threats, protect legacy systems, and meet compliance in critical industries.

2025年9月9日Ravie Lakshmananサイバー諜報 / テレコムセキュリティ 脅威ハンターは、中国と関連する脅威アクターであるSalt TyphoonおよびUNC4841に関連する、2020年5月まで遡る未報告のドメイン群を発見しました。 「これらのドメインは数年前にまで遡り、最も古い登録活動は2020年5月に行われており、2024年のSalt Typhoonによる攻撃がこのグループによる最初の活動ではなかったことをさらに裏付けています」とSilent PushはThe Hacker Newsと共有した新たな分析で述べています。 特定されたインフラストラクチャは合計45ドメインにのぼり、これらはまた、中国関連のハッキンググループであるUNC4841とも一部重複が見られます。同グループは、Barracuda Email Security Gateway（ESG）機器のセキュリティ脆弱性（CVE-2023-2868、CVSSスコア: 9.8）のゼロデイ悪用で最もよく知られています。 Salt Typhoonは2019年から活動しており、昨年は米国の通信サービスプロバイダーを標的にしたことで広く注目されました。中国国家安全部（MSS）が運営していると考えられており、この脅威クラスターはEarth Estries、FamousSparrow、GhostEmperor、UNC5807として追跡されている活動と類似点があります。 Silent Pushによると、存在しない住所を使って最大16のドメインを登録するために使用されたProton Mailのメールアドレスが3つ特定されました。 45ドメインに関連するIPアドレスをさらに調査したところ、多くのドメインが高密度IPアドレスを指していたことが判明しました。これは、多数のホスト名が現在または過去に指しているIPアドレスを指します。低密度IPアドレスを指していたものの中で最も早い活動は2021年10月に遡ります。 中国支援のサイバー諜報キャンペーンの一部として特定された最も古いドメインはonlineeylity[.]comで、2020年5月19日にMonica Burchという偽名の人物（カリフォルニア州ロサンゼルスの1294 Koontz Lane在住と主張）によって登録されました。 「そのため、中国による諜報活動のリスクがあると考える組織は、過去5年間のDNSログを調査し、当社のアーカイブフィード内のいずれかのドメインまたはそのサブドメインへのリクエストがないか確認することを強く推奨します」とSilent Pushは述べています。 「また、リストにあるIPアドレスへのリクエストも、特にこのアクターが運用していた期間中に確認することが賢明でしょう。」 翻訳元:

米国連邦政府は、主要な連邦サイバー脅威情報共有プログラムへの支援を削減しています。 9月29日に公開された公式声明で、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、インターネットセキュリティセンター（CIS）との協力協定が9月30日で終了することを確認しました。 これは、CISが運営するマルチステート情報共有・分析センター（MS-ISAC）への連邦資金が停止されることを意味し、プログラムの将来に疑問が投げかけられています。 CISAのウェブサイトのページによると（執筆時点でまだアクセス可能）、MS-ISACは「米国の州、地方、準州、部族（SLTT）政府のための中央サイバーセキュリティリソースとして機能するよう設計されています。」 SLTTとは、連邦レベル以下のさまざまな政府レベルを指し、州政府、市・郡政府、ネイティブアメリカン部族および米国領土の政府を含みます。 MS-ISACは、政府機関、法執行機関、教育機関、公共事業、交通当局など、あらゆる種類のSLTT組織が参加できる会員制の取り組みです。 CISのウェブサイトは、MS-ISACの会員が18,000以上いると主張しています。 「会員は、サイバーセキュリティ勧告やアラート、安全な情報共有、机上演習、週次の悪意あるドメイン/IPレポートなどを含む一連のサービスや情報製品に直接アクセスできます」とCISAのMS-ISACページは述べています。 MS-ISACがSLTTに提供するサービスの一例として、Albertネットワーク監視・管理侵入検知システム（IDS）があり、従来型および高度なネットワーク脅威の両方に対する自動アラートを提供します。 MS-ISAC、2025年3月に資金削減の影響を受ける 最近まで、米国連邦政府はニューヨークに拠点を置くCISと契約し、MS-ISACおよび選挙インフラ情報共有・分析センター（EI-ISAC）を運営していました。 2月には、複数のメディアが、当時のCISA代理ディレクター、ブリジット・ビーン氏の内部メモで、連邦政府がEI-ISACへの資金提供を打ち切ったと報じました。 3月11日、CISAの親機関であるDHS（国土安全保障省）は、MS-ISACへの1,000万ドルの資金削減を発表しました。 CISAの広報担当者は後に、Infosecurityに対し、これら2つの削減を確認しました。 それ以来、多くの関係者がプログラムの資金復活を求めてきました。 8月7日、全米郡協会（NACo）と他の4つの政府間組織の連合が、上院および下院の歳出委員会メンバーに公開書簡を送りました。 この書簡では、議会指導者に対し、MS-ISACを2026会計年度の連邦歳出プロセスに含めるよう求めています。 9月3日に議会に送られた別の公開書簡では、30人のサイバーセキュリティ専門家グループが同様の要望を同じ委員会に提出しました。 署名者には、元NSAサイバーセキュリティディレクターのロブ・ジョイス氏、元DHS副国家サイバー局長のカミーユ・スチュワート・グロスター氏、インターネットセキュリティアライアンス現会長のラリー・クリントン氏など、複数の元米国政府指導者や他のサイバーセキュリティリーダーが含まれていました。 これらの要請は無視されたようで、MS-ISACへの連邦資金は9月30日に終了する見込みです。 CIS、MS-ISACを有料会員モデルへ移行へ それにもかかわらず、CISはその日以降もプログラムを継続する意思を示しているようです。 非営利団体であるCISは3月に、DHSによる資金提供終了に伴いEI-ISACへの支援を終了すると発表しましたが、MS-ISACへの対応はより段階的なものとなっています。 3月の削減以降、CISはサイバーセキュリティサービスの継続に月額100万ドル以上を一時的に拠出していますが、この資金も今後数か月で段階的に終了する予定です。 MS-ISAC資金削減がSLTTに与える影響。出典：Center for Internet Security 現在のMS-ISACの特典は10月1日に失効する予定であり、CISは会員に対し、重要なサービスへのアクセスを維持するために9月30日までに有料会員への移行を促しています。また、新たにMS-ISACシングルオーガニゼーションメンバーシップに申し込む方には、12か月分の料金で18か月の会員期間を提供しています。 CISA、SLTT支援の「新モデル」へ移行 MS-ISACへの連邦資金の終了は、CISAが「全国的な共同責任を強化するためにSLTT政府をより良く支援する新モデル」への移行を開始する中で行われています。 同庁はまた、州・地方サイバーセキュリティ助成金プログラムなどを通じて、DHSの助成金資金への継続的なアクセスを含む、SLTT政府のサイバーセキュリティ戦略支援の方法をいくつか説明しました。 CISAはまた、脆弱性スキャンやフィッシング評価などの無償ツール、地域サイバーセキュリティアドバイザーによる実践的なガイダンスも提供します。 追加支援として、インシデント対応調整や、地方自治体が新たな脅威に先んじて対応できるよう定期的なブリーフィングも含まれます。 サイバーセキュリティ庁はまた、MS-ISACとの情報共有や共同製品開発で引き続き連携していくことも明らかにしました。 「Albertセンサーを利用しているSLTTパートナーは、そのサービスについて引き続きCIS/MS-ISACと直接調整してください」とCISAは付け加えました。 この資金打ち切りは、失効が迫るサイバーセキュリティ情報共有法（CISA 2015）が、米国連邦政府のシャットダウンの懸念が高まる中、10月1日にも失効する可能性が高いという状況で行われています（議会で土壇場の合意がない限り）。 翻訳元:

最近パッチが適用されたOracle E-Business Suite（EBS）のゼロデイ脆弱性について、脅威アクターが少なくともパッチが適用される2か月前からこの脆弱性を知っていたことを示す証拠が明らかになりました。 Google Threat Intelligence Group（GTIG）とMandiantは、10月2日に多くの組織の幹部がCl0pサイバー犯罪グループから恐喝メールを受け取った後、Oracle E-Business Suiteを標的とした攻撃について警告を発しました。 その後、Cl0pがこれらの攻撃の背後にいることが確認され、サイバー犯罪者たちは8月以降、標的となった組織のEBSインスタンスから大量のデータを盗み出した可能性が高いことが判明しました。 Oracleは当初、攻撃は7月にパッチが適用された未特定の脆弱性の悪用によるものと述べていましたが、10月4日にはゼロデイ脆弱性も悪用されていたことを認めました。 このゼロデイはCVE-2025-61882として追跡されており、CVSSスコアは9.8です。Oracle Concurrent ProcessingのBI Publisher Integrationコンポーネントに影響し、認証されていない攻撃者によるリモートコード実行が可能となります。 CrowdStrikeはCVE-2025-61882を利用した攻撃を監視しており、Cl0pランサムウェアによる攻撃で知られるGraceful Spiderというロシア関連の脅威アクターと中程度の確信度で関連付けています。しかし、同社は複数のグループがこのゼロデイを悪用した可能性もあると述べています。 CrowdStrikeの調査は継続中ですが、これまでに収集された情報によると、このゼロデイは8月9日に初めて悪用されたとされています。 ハッカーグループのShinyHuntersとScattered Spider（現在は協力関係によりScattered LAPSUS$ Huntersと名乗っている）が、CVE-2025-61882の概念実証（PoC）エクスプロイトを公開しました。 当初はScattered LAPSUS$ HuntersがCl0pのハッカーと協力しているように見えましたが、エクスプロイトと共に公開されたファイルの一つに記載されたメッセージから、脅威グループ間で対立があることが示唆されています。 Oracleが公開した侵害の痕跡（IoC）から、流出したPoCが本物であることが示されており、これはセキュリティ企業WatchTowrによるPoCの分析によって確認されています。 「この[エクスプロイト]チェーンは高度なスキルと労力を示しており、少なくとも5つの異なるバグが組み合わされて認証前のリモートコード実行を実現しています」とWatchTowrは述べています。 PoCが公開されたことで、サイバーセキュリティ業界は他の脅威アクターもCVE-2025-61882を攻撃手法に加えると予想しており、依然として多くの標的が残っている可能性があります。 Censysは、Oracle E-Business Suiteのインターネットに公開されたインスタンスが2,000件以上存在することを報告しています。Shadowserver Foundationは570件以上の潜在的に脆弱なインスタンスを特定しています。CensysとShadowserverの両方で、EBSインスタンスの最多所在国は米国であり、次いで中国が続いています。 翻訳元:

要点： Googleは水曜日、サイバー脅威アクターが最近AIを使ってマルウェアを開発し始めており、ハッキングエコシステムにおける技術の役割が劇的に進化していると発表した。 新種のマルウェアは攻撃フェーズ中にAIを使ってリアルタイムで成長・変化し、検知や防御をはるかに困難にする可能性があると、Googleの脅威インテリジェンス研究者がレポートで述べた。 この最近の傾向は、攻撃者と防御者の間で進行中のAI軍拡競争の最新段階を示している。 詳細分析： ここ数年、研究者たちはハッカーがAIをマルウェア生成の補助というよりも、フィッシングの誘引強化に使う傾向が強いことを一貫して発見してきた。AIマルウェアツールキットはダークウェブ上に存在するが、専門家によれば、それが技術の最も広範かつ懸念される用途というわけではない。しかしGoogleの新たな発見は、攻撃におけるAIの役割が新たな段階に入ろうとしていることを示唆している。 Googleによると、新たに発見された5つのマルウェアファミリー—FRUITSHELL、PROMPTFLUX、PROMPTSTEAL、PROMPTLOCK、QUIETVAULT—は、セキュリティソフトからコードを隠したり、必要に応じて攻撃機能を生成したり、動的にスクリプトを作成するなど、AIによる新しい能力を示している。「まだ初期段階ではあるが」とGoogleは述べ、「これはより自律的で適応的なマルウェアへの大きな一歩である」としている。 PROMPTFLUXはGoogleのGemini AIを使い、自身のコードを再生成して検知を回避しやすくし、新たに再構成されたファイルをWindowsのスタートアップフォルダに隠す。マルウェアのあるバージョンは、Geminiを使って1時間ごとにソースコード全体を書き換えていた。「この種の難読化技術は、悪意あるオペレーターが今後AIで攻撃活動を強化していく初期かつ重要な兆候だ」とGoogleは述べている。同社はPROMPTFLUXを特定の脅威アクターに帰属させていないが、マルウェアを落とすために使われたファイル名は「金銭目的のアクター」の行動と一致しているとした。 現在、PROMPTFLUXのコードには非アクティブなコンポーネントやGemini APIとのやり取りを制限する機能が含まれており、開発中であることが示唆される。Googleは「この活動に関連する資産を無効化する措置を講じた」とし、PROMPTFLUX単体ではシステムへの侵入はできないと付け加えた。 一方、PROMPTSTEALはHugging Faceのプラットフォームを使って大規模言語モデル（LLM）にクエリを送り、ターゲットシステムから情報を収集・窃取する短いWindowsコマンドを生成する。このソフトウェアは画像生成ツールを装い、バックグラウンドで偵察コマンドを生成・実行する。コマンドを実行するための新しいスクリプトを動的に生成することで、防御側が特定のコード断片を探している場合でも、ハッカーがターゲットマシン上で活動を継続しやすくなる。 Googleは、ロシアのGRU軍事情報機関と関連するAPT28がウクライナでPROMPTSTEALを使用しているのを観測したと述べた。同国当局は以前にこのマルウェアの出現を報告している。Googleによれば、野生環境でマルウェアがLLMにクエリを送るのを確認したのはこれが初めてだった。 「最近の新しいAI技術の一部は実験的な実装だが」とGoogleは述べ、「脅威がどのように進化しているか、今後どのようにAI機能を侵入活動に統合しうるかの初期兆候を提供している」とした。 マルウェアにおけるAIの新たな利用は、防御側が従来の静的検知ツールを、より広範な異常活動を特定できるソフトウェアに置き換える必要性を浮き彫りにしている。 「攻撃者は『雰囲気コーディング』や、2024年に観測されたAIツールによる技術サポートの基本的な使い方を超え始めている」とGoogleの研究者は記した。「この種の活動は今まさに見え始めたばかりだが、今後増加すると予想される。」 脅威アクターは他の目的でもAIを使い続けている。Googleのレポートでは、中国関連グループがGeminiを「誘引コンテンツの作成、技術インフラの構築、データ流出用ツールの開発」に利用していると記述されている。Geminiの悪用防止機能を回避するため、脅威アクターはキャプチャ・ザ・フラッグ演習の参加者を装い、Geminiに「標的システムを悪用するのに悪用されうる有用な情報」を提供させた。その後、この中国関連アクターは多くのGeminiプロンプトでCTFの偽装を利用した。 他の国家関連グループはそれほど幸運ではなかった。イラン関連のハッキンググループはGeminiを使ってカスタムマルウェアを開発しようとしたが、その過程でコマンド＆コントロールサーバーのドメインなど、自身の活動に関する情報を明かしてしまい、Googleが活動を妨害する助けとなった。 翻訳元:

中国の脅威アクターがVisual Studio Codeを悪用してサイバー攻撃 #ITニュース

Open Cyber Threat Intelligence Platform. Contribute to OpenCTI-Platform/opencti development by creating an account on GitHub.

https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_kojo/007.html

A Dragos report observed 23 new ransomware groups targeting industrial organizations in Q3 2024