アフリカ全域で実施された1か月間の協調作戦により、19か国の法執行機関がサイバー犯罪対策で大きな成果を挙げ、容疑者574人を逮捕し、約300万米ドルを回収しました。 この取り締まりは、大陸を悩ませているランサムウェア、ビジネスメール詐欺（BEC）、およびデジタル恐喝スキームという脅威が増大していることを浮き彫りにしています。 10月27日から11月27日にかけて実施された「オペレーション・センチネル」は、INTERPOLの「2025年アフリカ・サイバー脅威評価報告書」で特定された主要なサイバー犯罪3分野を標的としました。 作戦期間中、当局は6種類の異なるランサムウェア亜種を解体し、システムを復号して、6,000件を超える悪意のあるリンクを無力化しました。 調査対象となった事案は、推定で2,100万米ドルを超える金銭的損失に結び付いており、アフリカ諸国に影響を及ぼすデジタル脅威の規模を示しています。 複数の国で顕著な成果が見られました。セネガルでは、主要な石油会社のメールシステムに侵入した高度なBECスキームを特定し、7.9百万米ドルの不正送金を未然に防ぎました。 ガーナで容疑者が逮捕された 当局の迅速な対応により送金先口座が凍結され、資金が消える前に窃取は阻止されました。 ガーナは国境を越えて活動するサイバー犯罪者に対して大きな勝利を収めました。当局は、100テラバイトのデータを暗号化し、金融機関から12万米ドルを奪ったランサムウェア攻撃を解体しました。 高度なマルウェア解析を通じて、捜査当局はランサムウェアの系統を特定し、復号ツールを開発して、約30テラバイトのデータを復旧しました。 さらにガーナの法執行機関は、ファストフードブランドを模倣したプロ仕様のウェブサイトを用いて200人超の被害者から40万米ドルをだまし取った高度なサイバー詐欺ネットワークに関与した容疑者10人を逮捕しました。 100台を超えるデジタル機器が押収され、30台の不正サーバーが停止されました。 ベナンでは作戦中に106人が逮捕され、当局は恐喝スキームに関連するソーシャルメディアアカウント4,318件を解体し、悪意のあるドメイン43件を閉鎖しました。 カメルーンはフィッシング・キャンペーンに迅速に対応し、被害報告から数時間以内に緊急の銀行口座凍結を実施しました。 INTERPOLのサイバー犯罪担当ディレクターであるニール・ジェットン氏は、作戦の重要性を強調しました。「アフリカ全域におけるサイバー攻撃の規模と巧妙さは加速しており、特に金融やエネルギーといった重要分野が標的となっています。 オペレーション・センチネルは、国際的パートナーと緊密に連携して取り組むアフリカの法執行機関のコミットメントを反映しています」 この作戦は、Team Cymru、The Shadowserver Foundation、Trend Micro、TRM Labs、Uppsala Securityを含む民間セクターのリーダーとのパートナーシップによって成功し、国境を越えるサイバー犯罪の脅威に対抗するうえで官民連携が極めて重要であることを示しました。 翻訳元:

デンマーク情報機関、ハイブリッド戦の戦術が最新段階へとエスカレートする中、親ロシア系ハッキング集団による協調キャンペーンを明らかに 要約 デンマーク国防情報局（DDIS）は2025年12月18日、重要な2件のサイバー攻撃について、ロシア国家とつながりのある主体によるものだと公に断定した。これは、ウクライナを支援する西側諸国に対するロシアのハイブリッド戦キャンペーンにおける、さらなるエスカレーションを示す。重要な水インフラを標的とした攻撃と、民主的プロセスを妨害した攻撃という2件は、欧州諸国が直面する脅威環境の変化を示すとともに、国家支援のサイバー作戦に対する不可欠なサービスの脆弱性を浮き彫りにしている。 攻撃の概要：重要インフラと民主的プロセスが攻撃下に 水道事業者への侵害 ― 2024年12月 DDISが親ロシア派グループ「Z-Pentest」によるものとする事案では、ハッカーがデンマークのケーエ（Køge）にある水道事業者へ侵入し、運用技術（OT）システムを掌握してポンプ圧力設定を操作した。結果として配管が3本破裂したが、被害は限定的に抑えられた。 技術的な重要性：本件は、OTの操作を通じてサイバー攻撃者が重要インフラに直接の物理的影響を与えることに成功した稀な例である。これはサイバーセキュリティ専門家が長年恐れてきたものの、実際には滅多に現実化しないシナリオだ。この攻撃は次を示している： 産業制御システム（ICS）への侵入成功 運用技術（OT）を操作する能力 物理プロセスとそのサイバー制御メカニズムの理解 単なる妨害ではなく、具体的な損害を与える意図 選挙を標的としたDDoSキャンペーン ― 2025年11月 2つ目のキャンペーンは、ロシア情報機関との確立された関係を持つグループ「NoName057(16)」によるものとされ、2025年11月の地方自治体および地域評議会選挙を前に、デンマークのウェブサイトを標的とした分散型サービス妨害（DDoS）攻撃で構成されていた。 戦略的含意：DDISの評価によれば、これらの攻撃は複数の目的に資するものだった： 民主的プロセスの最中に公衆の不確実性を生み出す 威嚇の一形態としてサイバー能力を誇示する ウクライナ支援に対するデンマークへの報復 西側の対応とレジリエンスを試す 複数の欧州選挙で観測されるパターンを確立する 脅威アクターの状況 Z-Pentest：重要インフラの専門家 Z-Pentestは、ロシア国家と連携するハッキング集団の進化として懸念すべき存在である。金銭的利益を狙う従来型のサイバー犯罪組織とは異なり、Z-Pentestは次を示している： 産業制御システムに関する高度な理解 物理的損害を与える意思 重要インフラに侵入し得る十分なオペレーショナル・セキュリティ ロシアのより広範な戦略目標との連携 NoName057(16)：DDoSの専門家 NoName057(16)は、ロシアの主要な分散型サービス妨害兵器として台頭し、複数の欧州諸国にまたがる協調キャンペーンを実施している。同グループの活動は一貫してロシアの外交政策目標と整合しており、とりわけウクライナに軍事的または人道的支援を提供する国々を標的としている。 関連報道：ロシアのDDoS能力とキャンペーンの詳細については、ウクライナのメディアやロシア占領地域を標的とした類似作戦を詳述する当社分析「2025年7月の主要DDoS攻撃3件」を参照。 確立されたパターン： 政治的に敏感な時期（選挙、政策発表）における標的化 国家レベルの資源を示唆する国境を越えた連携 プロパガンダ価値を狙った公的な犯行声明 攻撃手法の高度化の進行 デンマークの対応：不十分さの認識 驚くほど率直な評価として、デンマーク当局者は国家のサイバーセキュリティ能力に大きなギャップがあることを認めた。レジリエンス・備え担当大臣トルステン・シャック・ペダーセンは、次のように率直に述べた。「我々がサイバーセキュリティの頂点にいると思うなら、信じられないほどナイーブだと思う。」 この認め方が重要なのは、次の理由による： 通常の政府メッセージングからの逸脱：防御能力への自信を示す傾向が強い一般的な政府発信とは異なる 緊急性のシグナル：サイバーセキュリティ投資の増加と国際協力の必要性を示す 現実の認識：先進的な欧州諸国でさえ国家支援の脅威に苦戦している現実を認める 政治的余地の創出：必要だが高額な安全保障インフラ改善を進めるための政治的空間を作る 外交・防衛面での対応 デンマークの対応には次が含まれる： ロシア大使を召喚し、正式な外交抗議を行う 特定グループを名指しした公的な帰属（アトリビューション） より広範な欧州の安全保障調整との統合 現行の防御が不十分であることの認識 トロエルス・ルンド・ポウルセン国防相は、これらの事案を「我々が話してきたハイブリッド戦が、残念ながら今まさに起きているという非常に明確な証拠」と表現した。 ハイブリッド戦という文脈 これらのサイバー攻撃は、欧州諸国を標的とするロシアのハイブリッド戦作戦という、より広いパターンの中に位置づけられる： 2025年9月：ドローン侵入 コペンハーゲンは、デンマークの空港および軍事施設で発生した一連のドローン侵入を「ハイブリッド攻撃」と分類し、欧州の「ドローン・ウォール」計画につながる脆弱性を露呈させた。 欧州全体でのパターン認識 DDISは、複数の欧州諸国において選挙を標的とする類似の攻撃パターンを特定し、孤立した事案ではなく協調キャンペーンであることを示唆した。 関連報道：ドイツもロシアのハイブリッド戦に直面しており、APT28（Fancy Bear）による攻撃とされた事案を扱う当社レポート「ドイツ、航空管制攻撃でロシアを非難」で詳述している。 戦略目標 ロシアのハイブリッド戦キャンペーンは、相互に関連する複数の目標を追求している： 信頼の毀損：重要インフラの安全性への信頼を揺るがす 政治的圧力の創出：ウクライナ支援を減らすよう圧力をかける 防御能力の試験：防御能力と対応プロトコルを試す 到達力の誇示：西側諸国の最も機微なシステムへの浸透力を示す 低強度紛争の常態化：従来の戦争閾値を下回る低強度の対立を常態化させる デンマークでの攻撃は、ロシア国家支援作戦のより広いパターンに合致しており、とりわけ2004年以降少なくとも活動しているGRU軍事情報部隊のAPT28（Fancy Bear）による作戦と整合する。 APT28の主要作戦： 2016年 DNC侵害：米大統領選への影響を狙った注目度の高い攻撃 2017年 マクロン陣営：メール流出と偽情報でエマニュエル・マクロン陣営を標的化 2021-2025年 フランス・キャンペーン：フランスの省庁、防衛請負企業、シンクタンクを体系的に標的化（詳細分析はこちら） 2024年8月 ドイツ：ドイツ航空管制（Deutsche Flugsicherung）の航空管制システムへの攻撃 2025年11月：APT28メンバー、アレクセイ・ルカシェフをタイで初逮捕（全文はこちら） 組織にとっての技術的・戦略的含意 重要インフラ運用者向け ケーエの水道事業者への攻撃は、いくつかの重要な教訓を提供する： OTセキュリティは先延ばしできない：組織は、運用技術のセキュリティ改善を先送りすることをもはや正当化できない。この攻撃は、理論上のリスクがすでに運用上の現実になったことを示している。 ネットワーク分離は不可欠：IT環境とOT環境の適切なセグメンテーションは、連鎖的侵害に対する主要な防御であり続ける。 物理的影響シナリオの検証が必要：インシデント対応計画は、物理的損害を引き起こすサイバー攻撃を想定しなければならず、サイバーチーム、運用担当、緊急サービス間の連携が必要となる。 サプライチェーンの可視性が重要：重要システムのあらゆる構成要素と、そのセキュリティ態勢を把握することは、もはや任意ではない。 すべての組織向け DDoS耐性は拡張可能でなければならない：国家主体がDDoSを好んで用いる傾向が強まる中、組織は十分な容量と緩和戦略を確保する必要がある。 地政学リスク評価：組織はリスク評価フレームワークに地政学分析を組み込み、自国の外交政策上の立場が標的化につながり得ることを理解しなければならない。 官民のインテリジェンス共有：デンマークの迅速かつ具体的な帰属は、政府と民間部門のインテリジェンス共有パートナーシップの価値を示している。 インシデント対応には帰属の観点を含める：事案が国際的に重要な問題となり得ることを踏まえ、組織はフォレンジック証拠を保全すべきである。 ロシアの進化するサイバー戦術 諜報から物理的影響へ ロシアのサイバー作戦は過去10年で大きく進化してきた： 初期段階（2004-2015）：諜報と情報収集に注力 政府・軍ネットワークを標的とするAPT28作戦 政治組織からの情報収集 高度なマルウェア能力の開発 影響工作段階（2016-2019）：情報戦と選挙干渉 DNC侵害とWikiLeaksとの連携 マクロン陣営の標的化 NotPetyaによる世界的混乱（2017年）- 被害額100億ドル ハイブリッド戦段階（2020-現在）：サイバーと物理作戦を組み合わせた多面的攻撃 ウクライナ重要インフラに対するPathWiperマルウェア 複数の欧州標的に対する協調DDoSキャンペーン 物理インフラへの攻撃（デンマーク水道事業者） 航空システムに対する継続的キャンペーン ウクライナ紛争という触媒 2022年のロシアによるウクライナ侵攻は、ハイブリッド戦作戦を劇的に加速させた： ウクライナへの直接攻撃： 重要インフラを標的とするPathWiperワイパー型マルウェア FSB支援のArmageddonグループによる5,000件超のサイバー攻撃 エネルギー、水、通信の体系的標的化 対抗作戦： ロシア占領地域に対するウクライナのサイバー作戦 クリミアで25万人が通信不能 ロシアの外食・小売インフラに対する標的型攻撃 西側標的の拡大： ウクライナ支援国（デンマーク、ドイツ、フランス）への攻撃 欧州全域での選挙干渉キャンペーン 重要インフラの偵察と攻撃準備 帰属（アトリビューション）の問題：なぜ公表が重要なのか デンマークが、特定グループを名指ししてこれらの攻撃を公に帰属させた判断は、外交およびサイバーセキュリティ上の重要な決定である。このアプローチは： 説明責任を生む 公的帰属は、直接的な結果が限定的であっても、ロシアに評判上・外交上のコストを課す。 同盟国の連携を強化する 詳細な帰属により、他国は特定の脅威アクターのTTP（戦術・技術・手順）に基づいて防御態勢を改善できる。 将来の作戦を抑止する 国家支援作戦を完全に止める可能性は低いが、公的帰属は攻撃者の費用対効果計算を引き上げる。 国民を啓発する ハイブリッド戦に関する透明性は、国民が自国の脅威を理解する助けとなり、必要な安全保障投資への政治的支持を形成する。 関連報道：国家支援の帰属統計を含む2025年の脅威環境の包括的分析については、主要サイバー攻撃の39%が国家支援アクターに帰属されたことを記録する「2025年サイバーセキュリティ情勢ブリーフィング」を参照。 「平和と戦争の間の空間」 MI6の新長官が最近の環境を表現したように、西側諸国は「平和と戦争の間の空間」—伝統的な抑止モデルが適用しにくいグレーゾーン—に置かれている。 この曖昧さは、いくつかの課題を生む： 対応の調整：限定的な損害にとどまる一方で重大な能力を示す攻撃に、民主国家はどう対応すべきか。 同盟調整：NATOやEUの枠組みは通常戦に向けて設計されており、持続的な低強度サイバー作戦には適合しにくい。 民間部門の役割：重要インフラの大半は民間所有であり、責任と能力をめぐる複雑な問題を生む。 法的枠組み：サイバー作戦を規律する国際法は未整備で、サイバー空間における武力攻撃の定義について合意が限定的である。 より広い文脈：ロシアのサイバー戦エコシステム ロシアのサイバー能力は、複数の情報機関に分散している： GRU（軍事情報）： APT28（Fancy Bear、Forest Blizzard、BlueDelta） 複数キャンペーンで文書化されたAPT29の標的化 Sandworm Team（NotPetya、ウクライナ電力網攻撃） FSB（連邦保安庁）： Armageddonグループ ― ウクライナのインフラに対する5,000件超の攻撃 国内監視・統制作戦 防諜作戦 SVR（対外情報庁）： SolarWindsサプライチェーン侵害（2020年） 長期的な諜報キャンペーン 戦略的インテリジェンス収集 親ロシア系プロキシ集団 正式な情報機関に加え、ロシアはプロキシ組織を活用している： Z-Pentest：重要インフラ標的化の専門家 NoName057(16)：DDoS作戦の専門家 各種ハクティビスト集団：もっともらしい否認可能性を伴う協調作戦 反作用：ロシア自身が標的に 興味深いことに、ロシアもまたサイバー作戦の標的となり、数十年にわたる一方向の脅威の流れが逆転しつつある： DarkGaboonキャンペーン：金銭目的のグループが2年にわたり、流出したLockBit 3.0ランサムウェアを用いてロシア企業を標的化し、ロシア全土の銀行、小売、観光、公共サービス部門を攻撃してきた。これはサイバー脅威の伝統的な地理を覆す、注目すべき逆転である。 米連邦裁判所侵害：ロシアの情報収集 デンマークでの攻撃は、他の重要なロシア作戦に続くものでもある。たとえば米連邦司法システムへの侵害では、ロシアのハッカーが： PACER電子提出システムを侵害 ロシアおよび東欧との関連を持つ刑事事件を標的化 秘密情報提供者の身元が露見した可能性 複数の連邦管区にわたる封印事件文書へアクセス この侵害は、重要な司法インフラにおける数十年のサイバーセキュリティ軽視を浮き彫りにし、戦略的関心を持つ特定の個人や事件を狙う情報収集作戦にロシアが注力していることを示した。 組織への提言 直ちに取るべき行動 OTセキュリティ態勢の見直し：産業制御システムを運用している場合、リモートアクセス機能とネットワーク分離に焦点を当てた緊急のセキュリティ評価を実施する。 DDoS耐性のテスト：現実的なDDoSシミュレーションを実施し、容量制限と緩和のギャップを特定する。 脅威モデルの更新：特に重要インフラ分野、またはウクライナ支援姿勢が強い国で事業を行う場合、国家支援アクターを脅威モデリングに組み込む。 監視の強化：特にOT環境における異常な運用変更を検知する能力を導入または改善する。 戦略的取り組み インテリジェンス・パートナーシップの確立：国家のサイバーセキュリティ機関や情報共有組織との関係を構築し、戦術的脅威インテリジェンスを受け取れるようにする。 チームの相互訓練：ITセキュリティチームがOTの含意を理解し、その逆も同様となるようにし、収斂する脅威に対応できる組織能力を高める。 国外との接点の文書化：敵対国とつながりのある技術コンポーネント、ベンダー、サービス提供者をすべて把握し文書化する。 シナリオベース計画：重要システムに対する国家支援攻撃を想定したインシデント対応シナリオを策定し、緊急サービスや政府機関との連携も含める。 統計的背景：2025年のサイバー戦情勢 デンマークの事案は、エスカレートするサイバー戦のより広い文脈の中で発生している： 攻撃量： 組織あたり週次サイバー攻撃数が前年比47%増（2025年Q1） 世界のランサムウェア事案が126%急増 新規被害者2,063件の記録的なランサムウェア四半期 国家支援活動： 主要サイバー攻撃の39%が国家支援アクターに帰属 ロシア、中国、米国でサイバー戦活動の61%を占める 重要インフラ（エネルギー、水、輸送）への攻撃が34%増 経済的影響： 2025年のサイバー戦被害コスト推計は131億ドル 前年比21%増 NotPetya単独で100億ドルの被害（2017年攻撃） 法執行の対応：ロシアの不処罰を崩す 数十年にわたり、ロシアのサイバー犯罪者や国家支援ハッカーは、ロシアが自国民の引き渡しを拒否してきたことに守られ、ほぼ完全な不処罰のもとで活動してきた。しかし、最近の動きは、この計算が変わりつつあることを示唆している： Operation Endgame（2025年）：国際的な法執行作戦が主要サイバー犯罪インフラを標的とし、世界で1,000件超の逮捕につながった。 Operation Cronos（2024年2月）：LockBitランサムウェアのインフラを解体し、同グループの不誠実さ（約束にもかかわらず被害者データを削除していなかった）を明らかにした。 アレクセイ・ルカシェフ逮捕（2025年11月）：ロシア国外でのAPT28 GRU将校の初逮捕として、タイで拘束された。この逮捕が示すもの： ロシアの「聖域」保護の崩壊 ロシア国境外への渡航に伴う現実的リスク 訴追を超える潜在的な情報価値 米国とタイの強固な安全保障協力のシグナル Operation Moonlander（2025年）：20年にわたるボットネット帝国を解体し、侵害ルーター上に構築されたプロキシサービスを運用していたとして、ロシア国籍3名とカザフスタン国籍1名を起訴した。 今後：新たな常態 デンマークが「サイバーセキュリティの頂点にいるわけではない」と率直に認めたことは、より広い現実を反映している。すなわち、国家支援のサイバー作戦から重要インフラを守る防御を完璧にした国は存在しない。デンマークの水道事業者と選挙関連ウェブサイトへの攻撃は、例外ではなく、ハイブリッド戦の新たなベースラインとして現れつつある。 組織と国家はこの現実に適応しなければならない： 持続的脅威：国家支援作戦は継続し、地政学的緊張の高まりとともにエスカレートする可能性が高い。 標的の拡大：どの分野も、ハイブリッド戦作戦の対象外だと想定できない。 能力ギャップ：多くの組織と多くの国家は、国家レベルの脅威に単独で対抗する資源を欠いている。 集団防衛：国際的な協調、官民パートナーシップ、強固な情報共有を通じてのみ、民主国家は十分なレジリエンスを構築できる。 デンマークの事案は、警告であると同時に機会でもある—より深刻な攻撃が起きる前に防御を強化する好機であり、脅威が現実かつ差し迫っていることを思い起こさせる。 結論：激化するデジタル戦場 デンマークが、ロシア国家とつながる集団にサイバー攻撃を帰属させたことは、外交抗議以上の意味を持つ。ハイブリッド戦が理論上の懸念から運用上の現実へ移行したという、厳然たる認識である。水インフラと選挙システムへの攻撃は、ロシアが民主社会の基盤要素を標的にする意思を示している。 要点： 物理的影響は現実：ケーエの水道事業者への攻撃は、サイバー作戦が重要インフラに具体的な物理損害を与え得ることを証明した。 民主的プロセスが標的：選挙に焦点を当てたDDoSキャンペーンは、民主制度への信頼を損なうことを狙う。 防御ギャップは大きい：先進的な欧州諸国でさえ、国家レベルの脅威に対してサイバーセキュリティ能力が不十分であることを認めている。 ハイブリッド戦はすでに到来：サイバー攻撃、ドローン侵入、情報作戦の組み合わせは、地政学的競争における新たな常態を示す。 集団的対応が必要：どの国も単独では防げない—国際協力と情報共有が不可欠である。 当社の包括的な2025年サイバーセキュリティ情勢分析で記録したとおり、国家支援のサイバー作戦は主要攻撃の39%を占め、観測されたサイバー戦活動の61%はロシア、中国、米国の3か国が共同で担っている。デンマークの事案は孤立した出来事ではなく、今後数年の安全保障環境を規定する、攻撃的サイバー作戦のより広いパターンの一部である。 もはや問題は、組織が国家支援のサイバー脅威に直面するかどうかではない。いつ直面するのか、そして効果的に対応できる準備ができているかどうかである。 ロシアのAPT28作戦： フランス対ロシア：APT28のサイバー諜報キャンペーンを暴く ロシアGRU将校アレクセイ・ルカシェフ、タイで逮捕 ドイツ、航空管制攻撃でロシアを非難 フランス内務省のメールサーバーが侵害 ロシアのより広範なサイバー作戦： ロシア関連サイバー攻撃、連邦裁判所システムの重大な脆弱性を露呈 2025年7月の主要DDoS攻撃3件が示す進化するサイバー戦術 デジタルの反作用：サイバー犯罪者が今やロシアを標的にしている理由 最近の世界的サイバー攻撃：ウクライナに対するPathWiperマルウェア 世界の脅威環境： 2025年サイバーセキュリティ情勢ブリーフィング 世界サイバーセキュリティ・インシデントレビュー：2025年1月〜4月 脅威インテリジェンス・レポート：2025年夏 サイバー脅威情勢 誰がハッキングされているのか？ 2025年後半の主要サイバー攻撃 法執行作戦： 世界サイバー犯罪取り締まり2025：年央評価 世界サイバー犯罪取り締まり：2024-2025年の主要法執行作戦 本分析は、デンマーク国防情報局（DDIS）、The Guardian、その他のオープンソース・インテリジェンスによる公的報道に基づく。国家支援の脅威への曝露を懸念する組織は、各国のサイバーセキュリティ機関および適格なセキュリティ・コンサルタントに相談すべきである。 翻訳元:

同社によると、この脅威活動はエッジデバイスおよびインターネットに露出したインフラを狙う、より大規模なキャンペーンの一部だという。 WatchGuardは、エッジデバイスを標的とするキャンペーンの一環として、同社のFireboxデバイスに存在する重大な脆弱性が悪用されていると警告している。 同社のアドバイザリによると。 この欠陥は CVE-2025-14733 として追跡されており、Fireware OSのインターネット鍵交換（IKE）デーモンプロセスにおける境界外書き込みの脆弱性に関するものだ。認証されていない攻撃者がリモートコード実行を達成できる。 WatchGuardは、社内プロセスを通じてこの欠陥を発見し、木曜日にパッチを公開したと述べた。 「修正が利用可能になって以降、当社のパートナーおよびエンドユーザーは影響を受けるFireboxアプライアンスに対して積極的にパッチ適用を進めています」とWatchGuardの広報担当者はCybersecurity Diveに語った。「セキュリティ衛生の中核となるベストプラクティスとして、迅速なパッチ適用を引き続き強く推奨します。」 WatchGuardは、この脅威活動は エッジデバイスを標的とするより広範なキャンペーンの一部であり、多数のベンダーにまたがるインターネットに露出したインフラも狙っていると述べた。同社は、標的となっている他のベンダーを特定せず、悪用に関連している可能性のある脅威グループについても具体的には言及しなかった。 Shadowserverの研究者は土曜日、 最大12万5,000件のIPが脆弱と見なされたと報告した。 米サイバーセキュリティ・インフラストラクチャ安全保障庁（CISA）は金曜日、 この欠陥を「既知の悪用されている脆弱性（Known Exploited Vulnerabilities）」カタログに追加した。 アドバイザリによると、WatchGuardは、この脆弱性が、IKEv2を使用するモバイルユーザーVPN、または動的ゲートウェイピアとして設定されている場合のIKEv2を使用するブランチオフィスVPNに影響すると警告した。. 同社によると、悪用が成功するとIKEDプロセスがハングする。これにより、VPNトンネルのネゴシエーションおよび再鍵交換（rekey）が中断されるという。 ユーザーが直ちにアップグレードできず、Fireboxが静的ゲートウェイピアへのブランチオフィスVPNトンネルのみで構成されている場合は、 同社の手順に従って一時的な回避策を実施できる。 翻訳元:

米司法省は、検索エンジン広告を悪用したオンライン詐欺スキームを通じて米国人の銀行口座から数百万ドルを吸い上げるために使用されていたウェブドメインとデータベースを押収したと発表した。 捜査当局によると、web3adspanels.orgというウェブサイトは、いわゆる銀行口座乗っ取り詐欺を実行する犯罪者のためのコントロールパネルとして機能し、米国全土の被害者から盗み取った銀行認証情報を保存・管理できるようにしていた。 FBIはこれまでに少なくとも19人の被害者を特定しており、ジョージア州の2社を含む。被害未遂額は合計約2,800万ドル、確認された損失は約1,460万ドルに上る。 押収されたサイトにアクセスすると、現在は摘発を告知する法執行機関のスプラッシュページが表示される。関係当局は、ドメインへのアクセスを遮断することで、犯罪者が盗まれた認証情報を悪用して追加の資金を盗む能力を妨害できると述べた。 このスキームの背後にいるグループは、GoogleやBingを含む主要検索エンジンで不正な広告を購入し、著名な銀行の正規のスポンサーリンクに極めて似せて作っていた。広告をクリックしたユーザーは自分の銀行のウェブサイトに誘導されると思い込むが、実際には犯罪者が管理する偽サイトへ転送されていた。 被害者がログイン情報を入力すると、偽サイトに埋め込まれた悪意あるコードが認証情報を取得した。攻撃者はその情報を使って実際の銀行口座にアクセスし、資金を引き出したと、司法省は月曜日に述べた。 捜査当局は、押収されたドメインに数千人分のログイン認証情報が保管されており、2025年11月という最近まで詐欺作戦を支え続けていたと述べた。 今回の押収は、全国的に急増している銀行口座乗っ取り詐欺に対する米政府のより広範な取り締まりの一環だ。2025年1月以降、FBIのインターネット犯罪苦情センターには、こうしたスキームに関連する苦情が5,100件以上寄せられ、報告された損失は2億6,200万ドルを超えている。 翻訳元:

19か国にまたがる画期的な協調作戦により、国際的な法執行機関は「オペレーション・センチネル」と呼ばれる1か月間のキャンペーンで、574人のサイバー犯罪者を逮捕し、約300万米ドルを回収した。この作戦は、アフリカ全域におけるランサムウェア、ビジネスメール詐欺（BEC）、デジタル恐喝の手口を標的とした。 10月27日から11月27日にかけて実施されたこの作戦では、6種類のランサムウェア亜種を解体し、6,000件超の悪意のあるリンクを無力化した。 この取り組みで捜査された事案は、推定で総額2,100万米ドル超の金銭的損失に関連しており、大陸を脅かすサイバー犯罪の規模を浮き彫りにしている。 この作戦は即座に成果を上げた。セネガルでは当局が、大手石油会社を狙った高度なBECスキームを摘発した。 詐欺師は社内メールシステムに侵入し、幹部になりすまして、790万米ドルの電信送金を承認させていた。 セネガル当局の迅速な介入により送金先口座は凍結され、資金が引き出される前に送金は阻止された。 ガーナは主要な作戦上の成功例となった。ある金融機関がランサムウェア攻撃を受け、100テラバイトのデータが暗号化され、12万米ドルの身代金を要求された。 ガーナ当局は高度なマルウェア解析を実施し、ランサムウェアの系統を特定したうえで復号ツールを開発し、約30テラバイトのデータを復旧した。 別の事案では、ガーナの法執行機関が、ガーナとナイジェリアで活動する越境型のサイバー詐欺ネットワークを解体した。 犯人らは、有名なファストフードブランドを模倣したプロ仕様のウェブサイトやモバイルアプリを用い、200人超の被害者から40万米ドルをだまし取っていた。 容疑者10人が逮捕され、デジタル機器100台が押収され、詐欺に用いられたサーバー30台が無効化された。 ベナンは、106人の逮捕とデジタル基盤への大きな打撃により、卓越した取締りへのコミットメントを示した。 当局は悪意のあるドメイン43件を停止し、恐喝や詐欺行為に関連するソーシャルメディアアカウント4,318件を閉鎖した。 カメルーンの法執行機関は、オンライン車両販売プラットフォームを装った詐欺に迅速に対応し、フィッシング・キャンペーンを侵害されたサーバーまで追跡し、数時間以内に緊急の銀行口座凍結を実施した。 「アフリカ全域でのサイバー攻撃は規模と高度化が加速しており、特に金融やエネルギーといった重要分野が狙われています」と、インターポールのサイバー犯罪部門ディレクターであるニール・ジェットン氏は述べた。 「オペレーション・センチネルの成果は、国際的なパートナーと緊密に連携して取り組むアフリカの法執行機関のコミットメントを反映しています。」 この作戦は、Team Cymru、The Shadowserver Foundation、トレンドマイクロ、TRM Labs、Uppsala Securityなどの民間セクターのリーダーとの連携により成功し、IPアドレスの追跡や不正な金融資産の凍結に不可欠な技術支援が提供された。 オペレーション・センチネルは、アフリカ全域で重要インフラおよび民間人を標的とする進化するサイバー犯罪の脅威に対抗するうえで、協調した国際的行動が依然として不可欠であることを示している。 翻訳元:

University of Phoenix, Inc.は、2025年11月に発見された外部システムの侵害を受け、約350万人に影響する重大なデータ侵害を公表しました。 不正アクセスは2025年8月13日に発生しましたが、2025年11月21日まで検知されず、3か月間の露出期間が生じました。 侵害の概要 本件は、教育機関のシステムを標的とした外部からのハッキング攻撃によって発生しました。 正確な侵入経路は公表されていないものの、この侵害により、現役および元学生、教職員、ならびに大学に関連する可能性のあるその他の個人に関する個人識別情報と機微情報が組み合わさった形で漏えいしました。 影響を受けた人のうち9,131人はメイン州の居住者であり、州の義務的な通知要件が発動しました。 アリゾナ州フェニックスの4035 South Riverpoint Parkwayに本社を置くフェニックス大学は、2025年12月22日に影響を受けた個人へ送付した正式な書面通知により、本侵害を確認しました。 この開示は、メイン州のデータ侵害通知法を含むデータ保護法に基づき求められる調査および通知手続きに従って行われました。 同大学は、影響を受けた個人に対し、無償で身元盗難保護サービスを提供することを約束しています。 州規制当局に提出された書簡によれば、同社は包括的な保護サービスを提供しているものの、提供事業者およびサービス期間に関する具体的な詳細は、当局に提出された補足資料に記載されていました。 大学の法務代理人を務めるConstangy, Brooks, Smith & Prophete, LLPが、侵害通知プロセスを調整しました。 パートナーのSean B. Hoar氏は、影響を受けた各管轄区域における適用されるすべての通知要件および規制上の義務に準拠していることを確認しました。 本侵害は、複数の州の司法長官および消費者信用情報機関への通知を要する重大な事案です。 約350万人分の個人情報の露出により、本件は2025年に報告された教育分野の侵害の中でもより重大なものの一つとなっています。 侵害の影響を受けた州居住者が1,000人を超えるという基準を満たしたため、メイン州当局は正式な通知を受領しました。 3か月に及ぶ検知までの期間は、同機関のセキュリティ監視能力およびインシデント対応手順に疑問を投げかけます。 教育機関は、学生記録や管理システムに保管される価値の高い個人情報および金融情報へのアクセスを狙うサイバー攻撃者の標的となるケースが増えています。 影響を受けた個人には、信用情報レポートを監視し、提供される身元盗難保護サービスを活用するよう助言されています。 フェニックス大学は現時点で、是正措置、インフラ改善、または侵害の根本原因分析に関する追加の詳細を開示していません。 本件は、膨大な機微な学生情報の保管庫を管理する高等教育機関が直面する継続的なサイバーセキュリティ上の課題を浮き彫りにしています。 同機関が正式なインシデントレビュー手続きを完了するにつれ、調査およびセキュリティ改善に関するさらなる更新が見込まれます。 翻訳元:

著名なデジタル保存プラットフォームであるAnna’s Archiveは、これまでに記録された中で最大となる、Spotifyの音楽データの無断抽出が行われたと発表しました。 ハクティビストグループは、ストリーミングサービスから約8,600万曲をスクレイピングし、プラットフォーム上の全ユーザーの視聴活動の約99.6%に相当するとしています。 総量約300TB弱に及ぶこのコレクションには、Spotifyにある約2億5,600万トラックのうち推定99.9%のメタデータが含まれています。 これは、書籍や学術論文の保存に重点を置いてきたAnna’s Archiveの従来の焦点を大きく超えるものであり、人類の文化的知識を守るという同グループのより広範な使命を示しています。 Anna’s Archiveによると、既存の音楽保存の取り組みには重大な制約があります。 同一ISRCのトラック数 多くの取り組みは人気アーティストに大きく偏り、知名度の低いミュージシャンの膨大なカタログを見落としています。 さらに、多くのアーカイブはロスレス形式による最高音質を優先するため、保存に必要なストレージが劇的に増加し、包括的な保存を妨げています。 「これまでに制作されたあらゆる音楽を網羅することを目指す権威あるアーカイブは存在しない」と、同グループは発表の中で説明しました。 Spotifyには一部の希少な録音が欠けているものの、真に包括的な音楽保存データベースを構築するための理想的な出発点になったとしています。 技術的な実行 スクレイピングでは、Spotifyの「人気度」指標を用いてアーカイブ対象トラックの優先順位を付けました。人気度の高いファイルは、元のOGG Vorbis形式のまま160kbit/s品質で保存されました。 同一UPCのアルバム数 人気度の低いトラックについては、OGG Opusの75kbit/sに再エンコードし、ほとんどのリスナーにとって許容できる音質を維持しつつ、ストレージ需要を削減しました。 抽出されたメタデータはトレントファイルを通じて配布されており、音楽ファイルは人気度ランキングに基づいて段階的に公開されています。 データには、アーティスト情報、アルバム詳細、ジャンル分類、そしてSpotifyのアルゴリズムが生成した音声分析機能が含まれます。 この事件は、大規模音楽ストリーミングプラットフォームにおける根強いセキュリティ脆弱性を浮き彫りにし、データ保護基準に関する疑問を提起しています。 Spotifyから約8,600万曲をアーカイブ Anna’s Archiveはこの取り組みを文化保存として位置付けていますが、音楽の権利者やSpotifyは、この作戦を大規模な違法著作権侵害とみなす可能性が高いでしょう。 ハクティビストグループは、アーカイブされたコンテンツの長期保存を確実にするため、トレントのシーディングや寄付によるコミュニティ支援を呼びかけています。 学術論文や書籍の世界最大のシャドーライブラリを運営していることで知られるAnna’s Archiveは、従来のテキスト中心の資料を超えて、その使命を拡大し続けています。 同グループは、プラットフォームの停止、ライセンス紛争、技術的陳腐化による喪失から文化遺産を守ることで、音楽保存は公共の利益に資すると主張しています。 このアプローチが正当な保存に当たるのか、それとも大規模な海賊行為なのかは、デジタル権利および保存コミュニティにおいて依然として議論の的となっています。 翻訳元:

Jamf Threat Labsは、Apple自身の信頼メカニズムを悪用することでmacOS向けマルウェア配布の水準を大きく引き上げる、新たなMacSync Stealerキャンペーンを発見しました。 最新の亜種は、完全にコード署名されノータライズされたSwiftアプリケーションとして配布され、正規ソフトウェアを装いながら、バックグラウンドでステルス性の高い多段階の情報窃取ルーチンを実行します。 社内のYARAルールによる検知結果をレビューする中で、Jamfの研究者は、従来のMacSync Stealerサンプルで見られた一般的な実行チェーンに一致しない、異例の署名済み・ノータライズ済みスティーラーを特定しました。 ペイロード自体は既知のMacSync Stealerスクリプトに非常によく似ていましたが、配布メカニズムは完全に刷新されていました。 ドラッグ＆ドロップでターミナルに実行させるスクリプトや、ClickFix風の手順でユーザーにbase64エンコードされたコマンドをターミナルへ貼り付けさせる手口に大きく依存していた従来の亜種とは異なり、このキャンペーンは、より欺瞞的で、ユーザーの手をほとんど煩わせないアプローチを採用しています。 実行ファイルは署名済みでこの手順を必要としないにもかかわらず、このサンプルにはおなじみの「右クリックで開く」指示が依然として含まれています。 インストール手順。 マルウェアはzk-call-messenger-installer-3.9.2-lts.dmgという名前のディスクイメージとして配布され、 でホストされています。内部にはSwiftベースのアプリケーションが含まれており、コード署名とノータライズの両方が施されているため、インストール時の摩擦が減り、明示的にターミナルを使用する必要がなくなっています。 MacSync Stealer脅威の概要 Jamfは、Mach‑OバイナリがDeveloper Team ID GNJLS3UYZ4で署名されたユニバーサルビルドであり、分析時点でAppleによりノータライズされていることを確認しました。 コードディレクトリのハッシュをAppleの失効リストと照合したところ、当初は失効が確認されず、アプリは標準的なGatekeeperチェックを通過する状態でした。Jamfが悪用を報告した後になって初めて、Appleは関連する証明書を失効させました。 ディスクイメージ自体は25.5MBと非常に大きく、これはアプリ内に同梱された一連のデコイファイルによってサイズが水増しされています。これにはLibreOfficeに関連する無害に見えるPDFなどが含まれており、正当性を装い、悪意あるコンポーネントから注意を逸らす意図があると考えられます。 サイズを水増しするためのデコイファイルを含むディスクイメージ。 初期の検知はまばらでした。VirusTotal にアップロードされたサンプルは、最少で1、最大でも13のアンチウイルスエンジンにしか検知されず、多くの場合「coins」または「ooiid」マルウェアファミリーに紐づくダウンローダーとして一般的に分類されていました。 この低い検知カバレッジは、コード署名とノータライズが、キャンペーン初期段階においてマルウェアが従来型防御をすり抜けるのにいかに有効であるかを浮き彫りにしています。 JamfのYARAベースの脅威防止は、/tmp/runnerから実行される難読化されたbashスクリプトを検知したことで、最終的にこの脅威を露見させました。 さらなる調査により、このスクリプトが、マウントされたディスクイメージから直接実行されている署名済みアプリケーションに関連付けられ、一見信頼できるアプリがドロッパーとして機能しているという疑いが裏付けられました。 デコードすると、base64ペイロードは既知のMacSync Stealerの挙動と一致し、focusgroovy[.]comドメインの再利用や、過去のキャンペーンで使用されたものと同一のdaemon_function()が含まれていました。 runtimectlという名前の同梱ユニバーサルMach‑Oバイナリを詳しく調べたところ、Swiftで書かれた高度な第2段階ローダーが明らかになりました。 _main関数は~/Library/Logs/UserSyncWorker.log配下にログを設定し、~/Library/Application Support/UserSyncWorker/に作業ディレクトリを作成します。そこでは、実行タイミングと更新状態を追跡するためにlast_upやgateといったファイルを保持します。 インターネット接続性のチェックを行い、実行間隔をおよそ3600秒以上に制限しており、注意を引いたりサンドボックス解析を誘発したりし得る繰り返し実行を避ける狙いがあるとみられます。 中核となる悪意あるロジックはrunInstaller()にあり、レート制限の実装、接続性の再検証、/tmp内の過去の痕跡のクリーンアップを行ったうえで、/bin/zsh -lcを用いた細工済みHTTPリクエストを発行し、第2段階ペイロードを取得します。 応答は/tmp/runnerに書き込まれ、関連ヘッダーは/tmp/runner.headersに保存されます。 マルウェアがmacOSシステムに感染する仕組み 興味深いことに、curlの呼び出しは従来のMacSync Stealerスクリプトから逸脱しています。典型的な-fsSLフラグの組み合わせではなく、新しいサンプルではフラグを-fLと-sSに分け、–noproxyのようなオプションに加え、動的に埋め込まれる変数を導入しています。 ペイロード取得のためのcurlコマンド。 これらの調整は、信頼性を高め、特定のネットワーク制御を回避し、シグネチャベースの検知を妨げることを狙ったものとみられます。 ダウンロードしたスクリプトを実行する前に、マルウェアはcom.apple.quarantine属性を削除し、POSIXパーミッションを750に設定して実行可能にします。 その後、/usr/bin/file –mime-type -bを用いてファイルがシェルスクリプトであることを検証し、「Paul Falstad’s zsh script text executable, ASCII text」といった文字列を含むzshスクリプトのパターンに一致するかを確認します。 Jamfは、Odysseyインフォスティーラーも同様の配布戦略を採用し始めていると指摘しており、ノータライズ済みアプリをmacOSマルウェアの運搬体として活用する方向への、より広範なシフトを示唆しています。 spctl -a -vによるGatekeeperチェックも実行され、悪意ある挙動を想定されるシステムセキュリティのフローにさらに紛れ込ませています。実行後、/tmp/runnerは削除され、クールダウンを強制するためにlast_updateタイムスタンプが更新されます。 ペイロードが実行されると、被害者にはおなじみのosascriptプロンプトが表示され、その後、認証情報やデータの窃取など、MacSync Stealerの活動と一致する挙動が続きます。 この進化により、攻撃者はより正当な存在に見せかけ、ユーザー、セキュリティ製品、プラットフォーム制御による初期段階の検知を回避できるようになります。 セキュリティチームには、コード署名とノータライズだけを信頼の指標として頼らないよう強く求められています。 Jamfは、Mac環境において脅威防止と高度な脅威制御をブロックモードで有効化し、機密データが持ち出される前に、ますますステルス化するインフォスティーラーキャンペーンを検知・阻止することを推奨しています。 翻訳元:

Genians Security Centerの脅威インテリジェンス調査によると、北朝鮮支援の脅威アクターが韓国の主要放送局の脚本家になりすまし、悪意のある文書を配布して標的システムへの初期アクセスを確立しているという。 APT37グループによるものと帰属される「Artemis」キャンペーンは、ソーシャルエンジニアリングと高度な技術的回避手法を組み合わせ、エンドポイント防御を回避する。 攻撃は綿密な偵察と信頼関係の構築から始まる。脅威アクターは、著名な韓国テレビ番組の脚本家を装って標的に連絡し、当初は北朝鮮の人権や脱北者に関する話題に関連したインタビューやキャスティングの機会を依頼する。 この手口は、正規のメディア組織の信頼性を利用して被害者との関係を築く。 複数回の信頼構築のやり取りの後、攻撃者はインタビュー用質問票やイベントガイドを装った悪意のあるHangul Word Processor（HWP）文書を送付する。 調査により、脅威アクターが別々の放送番組に所属する脚本家の実名を無断で使用していたことが確認され、信憑性が増し、警戒していない標的が文書を実行する可能性が高まっていた。 多段階の技術的回避 悪意のあるHWP文書が被害者に届くと、高度な攻撃チェーンが起動する。文書には、ハイパーリンクに偽装した悪意のあるOLE（Object Linking and Embedding）オブジェクトが埋め込まれている。ユーザーがリンクをクリックすると、侵害プロセスが開始される。 この攻撃ではDLLサイドローディングを悪用する。これは、正規のMicrosoft Sysinternals ユーティリティ（VolumeId.exe、vhelp.exe、mhelp.exeなど）を利用し、同一ディレクトリから悪意のあるDLLを読み込ませる手法である。 ステガノグラフィ攻撃で使用された写真。 この手法は特に実用的である。シグネチャベースのセキュリティソリューションは正規のシステムユーティリティを許可しがちなため、マルウェアが信頼されたプロセスを装って実行できるからだ。 悪意のあるペイロードは、連続する復号段階にわたり、異なるキー値（0xFA、0xF9、0x29）を用いた複数層のXOR暗号化を施される。 この難読化手法により静的解析が複雑化し、研究者が攻撃の仕組みを理解するまでの時間が引き延ばされる。最終的に復号されたペイロードは、APT37に帰属される高度なリモートアクセス型トロイの木馬であるRoKRATとして起動する。 C2インフラの分析により、APT37 がコマンド＆コントロールに正規のクラウドサービスを引き続き活用していることが明らかになった。 DLLサイドローディングに使用された「version.dll」ファイルは、2025年10月から11月にかけて継続的に利用されていた。 DLLロジック解析。 具体的には、脅威アクターは識別子「tanessha.samuel」を用いて、Yandex Cloud（ロシア拠点）およびpCloud（スイス拠点）のアカウントを登録しており、いずれも2023年10月19日に作成されていた。 この地理的・法域的な分離は、帰属の特定を困難にし、地理的ブロッキングを回避するための意図的な戦略を反映している。 感染システムから回収されたアカウントトークンは、アクターが長期間にわたりインフラを積極的に維持・更新していたことを示している。1つは2023年10月に作成され、もう1つは2025年2月に作成されていた。 このパターンは、単発のキャンペーン活動ではなく、持続的な運用能力と長期的な戦略意図を示している。 検知と対応 正規プロセスの悪用と多段階暗号化により、従来のシグネチャベースのセキュリティツールではこの攻撃への対処が困難である。 このモジュールは、連続する16バイトキー（0xF9）を用いてXORによりメモリ上で暗号化ブロックを復号し、その後制御を移譲する。これは典型的なシェルコードローダーのパターンの特徴を明確に示している。 シェルコード復号ロジック。 挙動分析が可能なEndpoint Detection and Response（EDR）ソリューションは、異常な実行フローを特定するうえで不可欠である。特に、正規ユーティリティが不審なパスからDLLを読み込む場合や、HWPプロセスがrundll32.exeやcmd.exeのような想定外の子プロセスを生成する場合に重要となる。 組織は、以下の監視を優先すべきである： 正規プロセスによる異常なパスからのDLL読み込み。 HWPアプリケーションからの子プロセス生成。 通常の業務時間外におけるクラウドストレージサービスへの外向き通信。 偵察、ファイル投下、クラウドベースのC2通信を含む連続的な攻撃チェーン。 Artemisキャンペーンは、APT37の進化する能力と運用成熟度を浮き彫りにしている。信頼性の高いソーシャルエンジニアリングと高度な技術的回避を組み合わせることで、この脅威アクターは、韓国および同盟国における高価値標的に対して永続的なアクセスを確立しようとする明確な戦略意図を示している。 翻訳元:

サイバー犯罪者は、インドの所得税申告（ITR）シーズンに乗じて、所得税局（ITD）からの公式連絡を装った標的型フィッシングおよびマルウェアキャンペーンを展開している。 セキュリティ研究者は、インド企業を標的とする多段階マルウェア攻撃の侵入口となる、詐欺的な「Tax Compliance Review Notice（税務コンプライアンス審査通知）」メールの最近の波を確認した。 これらのメールは見た目こそ正規の政府通知に似ているが、永続的な制御を維持しデータを流出させるリモートアクセス型トロイの木馬（RAT）やインフォスティーラーを配布するために設計された、高度な感染チェーンの基盤を成している。 このキャンペーンは、インド政府の紋章、公式ヘッダー、捏造されたDIN番号、厳格な遵守期限などを備え、本物らしく見えるよう作り込まれたスピアフィッシングメールから始まる。 メール本文にはテキストがなく、代わりに正規の通知を模した埋め込み画像が含まれており、従来のスパムフィルターを回避する狙いがある。 送信者ドメインは多くの場合Outlook.com上でホストされており、公的なインド機関が連絡に公開Webメールサービスを使うことは稀なため、直ちに不審点として目立つ。 メールには「Review Annexure.pdf」という添付ファイルが含まれており、調査すると、hxxps://www.akjys.top/ にホストされた偽の「Income Tax Compliance Portal（所得税コンプライアンス・ポータル）」へ誘導する悪意のあるURLが含まれている。 被害者がリンクをクリックすると、サイトは正規のログインページを表示しない。代わりに、「Review Annexure.zip」というファイルのダウンロードが自動的に開始される。 この偽ポータルは、互換性の問題を理由にアンチウイルスソフトを無効化するよう指示してユーザーを欺こうとするが、これは攻撃者が検知回避とペイロード実行の成功率向上のために頻繁に用いる手口である。 展開後、ZIPファイルには「setup_Ir5swQ3EpeuBpePEpew=.exe」というNSISインストーラーが含まれており、中国企業のHengshui Shenwei Technology Co., Ltd.によってデジタル署名されている。 この第1段階インストーラーは、追加ファイルをサイレントにドロップし、同名の第2の実行ファイルを起動するが、こちらはShandong Anzai Information Technology Co., Ltd.によって署名されている。 中国製アプリケーションを装った第2段階インストーラーは、「C:\Program Files\Common Files\NSEC」ディレクトリに多数のバイナリ、DLL、ドライバーを展開する。これらのコンポーネントを組み合わせると、正規ソフトウェアパッケージではなく、フル機能のRATとして動作する。 マルウェアは「Windows Real-time Protection Service」というWindowsサービスを作成して永続化を実現し、NSecRTS.exeというコンポーネントを自動実行する。 Seqrite サービスはシステムおよびアプリケーションのデータを収集し、48991や48992といった非標準ポートを用いて、154.91.84.3、45.113.192.102、103.235.46.102を含む複数のコマンド＆コントロール（C2）サーバーと通信する。 このキャンペーンのコード署名、言語に関する痕跡、コンパイル時の詳細は総合的に、中国に関連する開発環境を示している。 この作戦は、馴染みのある税関連のテーマが、単純なコンプライアンス詐欺から、インド企業を標的とする本格的なリモートアクセス侵入へと発展し得る、高度に連携したフィッシングキャンペーンへと転用されていることを示している。 翻訳元:

Genians Security Centerは、北朝鮮のAPT37（Reaper）グループに関連する「Artemis」と呼ばれる新たなサイバー諜報キャンペーンを発見しました。 このキャンペーンは巧妙なソーシャルエンジニアリングを用い、正規文書に偽装した悪意のあるHangul Word Processor（HWP）ファイルを配布して、韓国の標的を侵害します。 攻撃者は韓国の主要テレビ番組の作家を装い、主にジャーナリスト、学術研究者、政治の専門家といった潜在的な被害者に連絡し、キャスティングやインタビューの機会を持ちかけました。 信頼関係を築くためのやり取りを数回行った後、偽のインタビュー質問票やイベント案内文書をHWP形式で送付しました。 これらの武器化されたファイルには、正規のMicrosoft Sysinternalsユーティリティを起動する悪意のあるOLEオブジェクトが含まれていました。 マルウェアはDLLサイドローディングを使用し、改ざんされた.dllが正規の実行ファイルと同じ場所に配置され、読み込まれることで攻撃の次段階を引き起こしました。 この手法により、ペイロードは信頼されたプロセス内で実行され、従来のアンチウイルスのシグネチャ検知を回避できました。 有効化されると、DLLは複数層のXOR暗号化を用いて隠されたシェルコードを復号し、C2（コマンド＆コントロール）運用、データ窃取、システム監視にAPT37が長年使用してきた諜報ツールRoKRATを実行しました。 最終ペイロードはC2通信のためにロシア拠点のYandex Cloudに接続されており、Dropbox、OneDrive、pCloudなどの正規クラウドサービスを悪用して通常のインターネット活動にトラフィックを紛れ込ませるという、APT37の継続的な戦略に沿った手法です。 アカウント「philp」に登録された2つのYandexトークン。StwartおよびTanessha.Samuelが、運用をまたいで再利用されていることが確認され、APT37の「ToyBox Story」作戦に以前関連付けられていたpCloudアカウントと一致しました。 このインフラ横断の重複は、同一のアクターがクラウド資産を管理し、地理的追跡を回避しながらペイロード配布とデータ流出を調整していることを裏付けています。 専門家は、ソーシャルエンジニアリング、ステガノグラフィによる秘匿、そして多層暗号化のこのハイブリッドが、APT37の継続的な技術的成熟を示していると警告しています。 同グループは、信頼された実行経路と適応的な難読化を組み合わせることで、ステルス能力を体系的に強化しています。 Artemisキャンペーンにより、APT37は国家支援グループが正規の技術と人間の信頼を悪用し、韓国の機関への持続的アクセスを維持する手口を改めて示しました。 翻訳元:

ドナルド・トランプ米大統領は12月22日、米海軍で戦艦と呼ばれる重武装艦を復活させ、核巡航ミサイルを含む最新鋭兵器を搭載する構想を発表した。新型艦について、トランプ氏は、第2次世界大戦で活躍し、199