Category: CyberAttack

CISA KEV 警告 25/12/09:React Server Components の RCE 脆弱性 CVE-2025-55182 を登録

CISA Adds Critical React2Shell Vulnerability to KEV Catalog Following Active Exploitation

2025/12/09 CyberSecurityNews — Meta React Server Components に影響を与える、深刻な脆弱性 CVE-2025-55182Known Exploited Vulnerabilities (KEV) カタログに追加された。それが意味するのは、米連邦政府においても、この脆弱性 React2Shell が広範に悪用されている状況である。このリモート・コード実行の脆弱性は、React Server Components を利用する組織にとって差し迫った脅威となっている。脆弱性 CVE-2025-55182 は、React Server Function エンドポイントに送信されるペイロードを、React Server Components がデコードする際の方法に起因する。

Continue reading “CISA KEV 警告 25/12/09:React Server Components の RCE 脆弱性 CVE-2025-55182 を登録”

Akira が標的にする Hyper-V と ESXi:3% から 25% に急増した攻撃試行

Akira Group Targets Hyper-V and VMware ESXi with Ransomware Exploiting Vulnerabilities

2025/12/09 gbhackers — 現代の企業 IT において、目に見えないバックボーンとして機能しているハイパーバイザーが、ランサムウェア集団の新たな主戦場となっている。Huntress の最新データによると、ランサムウェアを仕掛ける下準備として、ハイパーバイザーを標的とする攻撃が 2025 年後半に急増している。

Continue reading “Akira が標的にする Hyper-V と ESXi:3% から 25% に急増した攻撃試行”

React2Shell の悪用試行の拡大を観測:中国に支援される脅威アクターによる攻撃キャンペーン

React2Shell Vulnerability Under Attack From China-Nexus Groups

2025/12/08 DarkReading — 人気のオープンソース JavaScript ライブラリ React に影響を与える深刻な脆弱性が、中国の国家に支援される脅威アクターたちの攻撃対象となっている。2025年12月3日 (水) に公開された CVE-2025-55182 は、未認証の攻撃者にリモート・コード実行 (RCE) を許す脆弱性である。この脆弱性は、安全でないデシリアライゼーションに起因し、React の広範な利用と、認証前の RCE の可能性により、深刻度は CVSS 10.0 と評価されている。

Continue reading “React2Shell の悪用試行の拡大を観測:中国に支援される脅威アクターによる攻撃キャンペーン”

WordPress Sneeit プラグインの CVE-2025-6389 が FIX:ICTBroadcast の脆弱性 CVE-2025-2611 とボットネット攻撃

Sneeit WordPress RCE Exploited in the Wild While ICTBroadcast Bug Fuels Frost Botnet Attacks

2025/12/08 TheHackerNews — WordPress 用プラグイン Sneeit Framework に存在する、深刻なリモートコード実行の脆弱性 CVE-2025-6389 (CVSS スコア: 9.8) が、脅威アクターたちにより悪用されていることが明らかになった。その影響が及ぶ範囲は、Sneeit Framework のバージョン 8.3 以下となる。この脆弱性は、2025年8月5日にリリースされたバージョン 8.4 で修正されている。Wordfence のデータによると、このプラグインは 1,700 以上のアクティブ・インストールを保有するという。

Continue reading “WordPress Sneeit プラグインの CVE-2025-6389 が FIX:ICTBroadcast の脆弱性 CVE-2025-2611 とボットネット攻撃”

LockBit 5.0 のインフラが漏洩:判明した IP アドレスとドメインのブロックが必須

LockBit 5.0 Infrastructure Exposed in New Server, IP, and Domain Leak

2025/12/07 CyberSecurityNews — LockBit 5.0 の主要インフラが漏洩した。それにより明らかになったのは、IP アドレス “205.185.116.233” とドメイン “karma0.xyz” が、このランサムウェア・グループの最新リークサイトをホストしているという事実である。研究者 Rakesh Krishnan によると、このサーバは違法行為に頻繁に悪用されるネットワーク AS53667 (PONYNET:FranTech Solutions が運営) でホストされている。

Continue reading “LockBit 5.0 のインフラが漏洩:判明した IP アドレスとドメインのブロックが必須”

Google UUID/pborman ライブラリを装う悪意の Go パッケージ:開発者を標的に4年間も存続

Malicious Go Packages Impersonate Google’s UUID Library to Steal Sensitive Data

2025/12/06 gbhackers — Go プログラミング/エコシステムには、4年以上も前から危険な要素が潜んでいた。人気の Google ツールを装う2つの悪意のソフトウェア・パッケージを、Socket Threat Research Team のセキュリティ研究者が発見した。これらの偽パッケージは、多忙な開発者を欺くように設計され、2021年5月以降において秘密裏にデータを盗み続けていた。

Continue reading “Google UUID/pborman ライブラリを装う悪意の Go パッケージ:開発者を標的に4年間も存続”

Palo Alto GlobalProtect/SonicWall SonicOS API を標的とするスキャン活動:VPN ログイン試行が再び増加

New wave of VPN login attempts targets Palo Alto GlobalProtect portals

2025/12/06 BleepingComputer — Palo Alto Networks の GlobalProtect ポータルを標的とするログイン試行と、SonicWall SonicOS API エンドポイントに対するスキャン活動が確認された。それらの活動は 12月2日に開始され、ドイツの IT 企業 3xK GmbH が運営するインフラからの 7,000 以上の IP アドレスを起源としている。3xK GmbH は独自の BGP ネットワーク (AS200373) を運用し、ホスティング・プロバイダーとして活動している企業である。

Continue reading “Palo Alto GlobalProtect/SonicWall SonicOS API を標的とするスキャン活動:VPN ログイン試行が再び増加”

React を用いるサービス 215 万件以上が攻撃対象:React2Shell 公開直後から積極的な悪用を確認

2.15M Next.js Web Services Exposed Online, Active Attacks Reported – Update Immediately

2025/12/06 gbhackers — React の深刻な脆弱性 CVE-2025-55182 (通称 “React2Shell”) の公表を受け、世界中のセキュリティ・チームがシステムへのパッチ適用を急いでいる。この欠陥は React Server Components (RSC) に影響を及ぼし、CVSS スコアは最高評価の 10.0 に達しており、深刻な影響と悪用されやすさを示している。

Continue reading “React を用いるサービス 215 万件以上が攻撃対象:React2Shell 公開直後から積極的な悪用を確認”

Perplexity Comet 標的の Zero-Click 攻撃:悪意のメールを介した Google Drive 操作

Zero-Click Agentic Browser Attack Can Delete Entire Google Drive Using Crafted Emails

2025/12/05 thehackernews — Perplexity の Comet ブラウザを標的とする、新たなエージェント型ブラウザ攻撃が、最新の調査により発見されたと Straiker Labs が公表した。この攻撃は、無害に見えるメールを破壊的なアクションに変貌させ、ユーザーの Google Drive コンテンツ全体を消去する能力を持つ。ゼロクリックの Google Drive ワイパー攻撃は、Comet ブラウザを Gmail や Google Drive などのサービスに接続して定型タスクを自動化し、メール閲覧/ファイルとフォルダの閲覧に加えて、コンテンツの移動/変更/削除といった操作へのアクセスを許可するものだ。

Continue reading “Perplexity Comet 標的の Zero-Click 攻撃:悪意のメールを介した Google Drive 操作”

Cloudflare で保護されるフィッシング・ドメインは全体の 70%:防御戦略の見直しが必要

Cloudflare Shielding Nearly 70% of Active Phishing Kits, New Report Reveals

2025/12/04 gbhackers — SicuraNext の包括的な脅威インテリジェンス調査により、現代のフィッシング・インフラの懸念すべき実態が明らかになった。それにより、活発なフィッシング活動の大部分が、単一の Content Delivery Network (CDN) に保護されていることが判明した。この調査では、フィッシング・キットや C2 (Command and Control) インフラとして実際に機能している、42,000 件以上の検証済みの悪意の URL とドメインが分析された。そこで浮き彫りにされたのは、高度に組織化され運営される犯罪組織が、脅威の形態を根本から変更している状況である。

Continue reading “Cloudflare で保護されるフィッシング・ドメインは全体の 70%:防御戦略の見直しが必要”

Chrome/Edge のエクステンションを悪用:430万人を感染させた ShadyPanda のキャンペーンとは?

4.3 Million Chrome and Edge Users Hacked in 7-Year ShadyPanda Malware Campaign

2025/12/01 CyberSecurityNews — ShadyPanda という高度な攻撃グループが、7年間にわたり Chrome および Edge の 430万人のユーザーをマルウェアに感染させてきたという。この攻撃グループは、ブラウザ・マーケットプレイスへの信頼を悪用し、おすすめ/検証済みと表示されたエクステンションを武器化することで、従来のセキュリティ・アラームにより検知されることなく、リモート・コード実行 (RCE) バックドアおよび大規模スパイウェア攻撃を展開してきた。

Continue reading “Chrome/Edge のエクステンションを悪用:430万人を感染させた ShadyPanda のキャンペーンとは?”

200 件以上の CVE を標的とする大規模攻撃キャンペーン:Google Cloud を悪用する非公開 OAST ツール

Mystery OAST Tool Exploits 200 CVEs Using Google Cloud for Large-Scale Attacks

2025/11/29 gbhackers — Google Cloud インフラ上で、非公開の Out-of-band Application Security Testing (OAST) サービスを運用する高度な脅威アクターが、VulnCheck の最新調査により発見された。このキャンペーンでは、200 以上の CVE を標的とする大規模なエクスプロイトが展開されているという。

Continue reading “200 件以上の CVE を標的とする大規模攻撃キャンペーン:Google Cloud を悪用する非公開 OAST ツール”

Google Meet の偽ページによるマルウェア攻撃:ClickFix 手法で悪意のペイロードを配信

Beware of Weaponized Google Meet Page uses ClickFix Technique to Deliver Malicious Payload

2025/11/29 CyberSecurityNews — 偽の Google Meet ランディングページを通じてリモート・ワーカーや組織を標的とする、高度なマルウェア攻撃が確認された。この攻撃は、偽装ドメイン “gogl-meet[.]com” 上で展開され、ClickFix と呼ばれるソーシャル・エンジニアリング手法でブラウザのセキュリティ制御を迂回し、リモート・アクセス型トロイの木馬 (RAT:Remote Access Trojan) を被害者のシステムに直接送り込むものである。

Continue reading “Google Meet の偽ページによるマルウェア攻撃:ClickFix 手法で悪意のペイロードを配信”

Next.js の脆弱性 CVE-N/A が FIX:認証不要の DoS 攻撃でセルフホスト型サーバがクラッシュ

New Unauthenticated DoS Vulnerability Crashes Next.js Servers with a Single Request

2025/11/27 CyberSecurityNews — Next.js フレームワークに発見された深刻な脆弱性 CVE-N/A を悪用する攻撃者は、単一の HTTP リクエストの送信のみで、ごくわずかなリソースを使用するだけで、セルフホスト型サーバをクラッシュさせる可能性がある。Harmony Intelligence の研究者が発見した、このサービス拒否 (DoS) 脆弱性は、パッチ適用前の最新の 15.x ブランチを含む広範なバージョンに影響を与える。

Continue reading “Next.js の脆弱性 CVE-N/A が FIX:認証不要の DoS 攻撃でセルフホスト型サーバがクラッシュ”

2025年のアカウント乗っ取りの被害額は $262 Million:金融機関を装う状況を FBI が報告

Account Takeover Fraud Caused $262 Million in Losses in 2025: FBI

2025/11/26 SecurityWeek — FBI の報告によると、アカウント乗っ取り (ATO:account takeover) 詐欺に関与するサイバー犯罪者により、2025年1月以降において $262 million 以上の損失が引き起こされているという。FBI が受け取った 5,100件以上の報告や苦情から確認されたのは、金融機関になりすました脅威アクターが、さまざまな規模の組織や個人から、金銭や情報を盗んでいる状況である。

Continue reading “2025年のアカウント乗っ取りの被害額は $262 Million:金融機関を装う状況を FBI が報告”

HashJack という間接プロンプト・インジェクション:Comet/Copilot/Gemini などが標的

HashJack: A Novel Exploit Leveraging URL Fragments To Deceive AI Browsers

2025/11/26 gbhackers — HashJack という攻撃手法が、Cato CTRL のセキュリティ研究者たちにより発見された。この革新的な間接プロンプト・インジェクション攻撃は、URL の “#” 記号以降のフラグメント部分に有害なコマンドを隠蔽するものだ。この手法は、信頼できる Web サイトを武器化するものであり、その標的は、Perplexity Comet/Microsoft Copilot/Google Gemini といった AI ブラウザ・アシスタントとなる。

Continue reading “HashJack という間接プロンプト・インジェクション:Comet/Copilot/Gemini などが標的”

NTLM 認証への攻撃:いまもハッカーたちが悪用する4つの脆弱性とは?

Hackers Exploit NTLM Authentication Flaws to Target Windows Systems

2025/11/26 CyberSecurityNews — 最初の問題の発見から 20年以上が経った今でも、NTLM 認証プロトコルは世界中の Windows システムを悩ませ続けている。この問題は、2001年に理論上の脆弱性として始まったが、広範囲にわたるセキュリティ危機へと発展し、複数の NTLM の脆弱性を積極的に悪用する攻撃者は、さまざまな地域のネットワークに侵入している。

Continue reading “NTLM 認証への攻撃:いまもハッカーたちが悪用する4つの脆弱性とは?”

Canon に Clop ランサムウェア攻撃:広がる Oracle EBS ハッキング・キャンペーンの被害者 

Canon Says Subsidiary Impacted by Oracle EBS Hack 

2025/11/25 SecurityWeek — 画像/光学の大手である Canon が認めたのは、最近の Oracle E-Business Suite (EBS) ハッキング攻撃の標的となったことだ。ただし、調査の結果として、この攻撃は Canon USA の子会社に限定されていることが判明したと、同社は声明で述べている。Canon は、「この攻撃が影響を与えた範囲は Web サーバのみであり、すでにセキュリティ対策を講じ、サービスを再開した。他への影響がないことを確認するために、引き続き調査を進めている」と述べている。

Continue reading “Canon に Clop ランサムウェア攻撃:広がる Oracle EBS ハッキング・キャンペーンの被害者 “

ClickFix 亜種の新たな攻撃:フルスクリーンの偽 Windows Update と高度なステガノグラフィー

ClickFix attack uses fake Windows Update screen to push malware

2025/11/24 BleepingComputer — ClickFix 亜種による攻撃が確認されている。これらの攻撃で、ユーザーを欺くために脅威アクターが表示するのは、フルスクリーンのブラウザ・ページに描かれるリアルな Windows Update アニメーションであり、その画像内に悪意のコードを隠している。ClickFix はソーシャル・エンジニアリング攻撃であり、ユーザーを誘導して Windows コマンド・プロンプトにコードやコマンドを貼り付けて実行させ、システム上でマルウェアを実行させる手法である。この攻撃は、その高い効果からあらゆる階層のサイバー犯罪者に広く採用されており、より高度で巧妙なルアーにより進化を続けている。

Continue reading “ClickFix 亜種の新たな攻撃:フルスクリーンの偽 Windows Update と高度なステガノグラフィー”

Salesforce に浮上した Gainsight OAuth 関連の情報漏洩の可能性:ShinyHunters による犯行か?

Salesforce alerts users to potential data exposure via Gainsight OAuth apps

2025/11/21 SecurityAffairs — Salesforce が警告するのは、Gainsight にリンクされた OAuth アプリの異常なアクティビティに関する情報であり、これらの連携を悪用する脅威アクターが、一部のユーザーの Salesforce データに不正アクセスした可能性があるとしている。同社が公開した通知には、「Salesforce に接続された Gainsight の公開アプリケーションに関する異常なアクティビティを、我々は確認した。これらのアプリケーションは、ユーザー側が直接インストールし管理している。調査の結果が示すのは、Gainsight アプリ接続におけるアクティビティにより、一部の顧客の Salesforce データへの不正アクセスが生じた可能性である」と記載されている。

Continue reading “Salesforce に浮上した Gainsight OAuth 関連の情報漏洩の可能性:ShinyHunters による犯行か?”

CISA が公開:ISP などへのガイドでサイバー犯罪を助長する BPH に対抗

CISA Issues New Guidance on Bulletproof Hosting Threat

2025/11/21 InfoSecurity — 防弾ホスティング (BPH:bulletproof hosting) インフラを利用したサイバー犯罪を抑制するために、米国の CISA はパートナーと共同で、ISP (internet service providers) やネットワーク防御担当者向けの新たなガイドを発表した。このガイドが詳述するのは、ランサムウェア/フィッシング/マルウェア配布などにより重要セクターを狙う攻撃において、脅威アクターたちが BPH を利用する方法である。

Continue reading “CISA が公開:ISP などへのガイドでサイバー犯罪を助長する BPH に対抗”

BlueVoyant 年次レポート 2025:世界規模のサプライチェーン侵害と TPRM プログラムの現状

Supply Chain Breaches Impact Almost All Firms Globally, BlueVoyant Reveals

2025/11/20 InfoSecurity — BlueVoyant の新たな調査によると、圧倒的多数 (97%) の組織がサプライチェーン侵害による悪影響を受けている。2024 年に実施された年次調査では、サードパーティ・リスク管理 (TPRM:Third-Party Risk Management) プロバイダーからの回答の 81% が、こうしたインシデントを報告していた。それと比べると、数値が大幅に増加している。

Continue reading “BlueVoyant 年次レポート 2025:世界規模のサプライチェーン侵害と TPRM プログラムの現状”

Asus Router 50,000 台を侵害:Operational Relay Box を構築する WrtHug とは?

Over 50,000 Asus Routers Hacked in ‘Operation WrtHug’

2025/11/20 SecurityWeek — Operational Relay Box (ORB) キャンペーンの一環として、ハッカーたちは既知の脆弱性を悪用し、インターネットからローカル・ストレージへのアクセスを可能にする、ASUS ルーターの AiCloud サービスを侵害した。この Operation WrtHug と呼ばれる攻撃で悪用されたバグは、CVE-2023-41345/CVE-2023-41346/CVE-2023-41347/CVE-2023-41348/CVE-2023-39780 (CVSS:8.8) などである。これらの脆弱性は、特殊文字に対する不十分なフィルタリングに起因し、深刻なコマンド・インジェクションを引き起こすものである。

Continue reading “Asus Router 50,000 台を侵害:Operational Relay Box を構築する WrtHug とは?”

Palo Alto の GlobalProtect VPN Portal に 230万件の不正ログイン・アクセス:狙いはブルートフォース攻撃?

Hackers Attacking Palo Alto Networks’ GlobalProtect VPN Portals with 2.3 Million Attacks

2025/11/20 CyberSecurityNews — 2025年11月14日以降において、Palo Alto Networks の GlobalProtect VPN ポータルに対して、230 万件以上の悪意のセッションが仕掛けられていると、脅威インテリジェンス企業 GreyNoise が公表した。この攻撃は 24 時間以内に 40 倍に急増し、過去 90日間で最も活発な活動レベルを記録したという。このインシデントが浮き彫りにするのは、世界中のリモート・アクセス・システムに対するリスクの増大である。

Continue reading “Palo Alto の GlobalProtect VPN Portal に 230万件の不正ログイン・アクセス:狙いはブルートフォース攻撃?”

Akira ランサムウェアの活動が急拡大:Nutanix 仮想マシンの標的化と重要インフラの侵害

Akira RaaS Targets Nutanix VMs, Threatens Critical Orgs

2025/11/15 DarkReading — 複数の米欧政府機関が公表したのは、最近の Akira ランサムウェアの活動が、重要インフラに差し迫った脅威を及ぼしているという警告である。その一方で、大半のサイバー犯罪グループと同様に、Akira Ransomware-as-a-Service (RaaS) は中小企業 (SMB) を標的にする傾向がある。また、医療/製造/農業といった重要分野の大企業も標的としている。

Continue reading “Akira ランサムウェアの活動が急拡大:Nutanix 仮想マシンの標的化と重要インフラの侵害”

Claude Code を悪用するサイバー攻撃を観測:侵害タスクの 80%~90% を AI が自動実行

Chinese Hackers Automate Cyber-Attacks With AI-Powered Claude Code

2025/11/14 InfoSecurity — Anthropic の GenAI コーディング・アシスタント Claude Code を悪用する、史上初めてのサイバー攻撃が観測された。11月13日に Anthropic が発表した報告書によると、この攻撃者は中国政府に支援されたハッカーである可能性が高く、サイバー・スパイ活動を目的とした攻撃が展開されたという。標的となった組織には、大手テクノロジー企業、金融機関、化学製造会社、政府機関などが含まれていた。脅威アクターは、わずかな人的介入により、これらの被害者のシステムに侵入した。

Continue reading “Claude Code を悪用するサイバー攻撃を観測:侵害タスクの 80%~90% を AI が自動実行”

AI Chat におけるプライバシーとリスク:Microsoft が詳述する Whisper Leak というサイドチャネル攻撃

AI chat privacy at risk: Microsoft details Whisper Leak side-channel attack

2025/11/09 SecurityAffairs — Microsoft が発表したのは、Whisper Leak と呼ばれる新たなサイドチャネル攻撃に関する情報である。具体的に言うと、ネットワーク・トラフィックを監視する攻撃者は、データが暗号化されている場合であっても、リモートの言語モデルを使用してユーザーが会話した内容を推測できるという。この脆弱性により、企業/個人ユーザーがストリーミング AI システムと交わした会話から機密情報が漏洩し、深刻なプライバシー・リスクが生じる可能性があると、同社は警告している。

Continue reading “AI Chat におけるプライバシーとリスク:Microsoft が詳述する Whisper Leak というサイドチャネル攻撃”

GenAI を悪用するサイバー脅威の増加:製造業が対象の調査結果とは?  

AI-Powered Cyber Threats Rise: Attackers Target Manufacturing Sector

2025/11/08 gbhackers — 最新の包括的なレポート Threat Labs Report: Manufacturing 2025 によると、製造業は二重の課題に直面している。GenAI 技術の急速な導入を進める一方で、そのプラットフォームや信頼できるクラウド・サービスを悪用する、高度な攻撃からの防御に対応しなければならない。この調査が浮き彫りにするのは、イノベーションとデータ保護のバランスを取る製造業において、セキュリティ対策の強化が喫緊の課題であることだ。

Continue reading “GenAI を悪用するサイバー脅威の増加:製造業が対象の調査結果とは?  ”

RDP 認証情報を悪用:Cephalus ランサムウェアを展開する脅威アクターの手口とは?

Threat Actors Leveraging RDP Credentials to Deploy Cephalus Ransomware

2025/11/08 CyberSecurityNews — Cephalus という新たなランサムウェア・グループが、Remote Desktop Protocol (RDP) インフラのセキュリティ上の欠陥を悪用し、持続的かつ金銭目的の脅威をもたらしていることを、2025年6月中旬に AhnLab の研究者が確認した。このグループは盗み出した RDP の認証情報を悪用し、ネットワークに侵入して強力な暗号化攻撃を展開し、世界中の組織に重大な脅威を与えているという。

Continue reading “RDP 認証情報を悪用:Cephalus ランサムウェアを展開する脅威アクターの手口とは?”

Booking.com を偽装して宿泊客を狙う I Paid Twice 詐欺:ClickFix 経由で PureRAT 感染

“I Paid Twice” Scam Infects Booking.com Users with PureRAT via ClickFix

2025/11/07 hackread — Sekoia が公表したのは、ホテルの運営者を標的とし、その後に宿泊客を狙うという、広範かつ継続的なサイバー犯罪活動の詳細である。このサイバー脅威の検知/対応企業による調査は、宿泊施設の顧客を標的とするフィッシング・キャンペーンを、同社のパートナーが報告したことから始まった。予約代金をホテルと犯罪者の双方に支払わされた被害者のメール件名にちなみ、この報告は “I Paid Twice (二重支払い)” と命名された

Continue reading “Booking.com を偽装して宿泊客を狙う I Paid Twice 詐欺:ClickFix 経由で PureRAT 感染”

ClickFix の進化する手口を検出:オンライン販売業者のページを模倣してユーザーを欺く

Attackers upgrade ClickFix with tricks used by online stores

2025/11/07 HelpNetSecurity — ClickFix の手法を進化させる攻撃者が、オンライン販売業者を模倣するページで被害者に圧力をかけ、マルウェア感染につながる手順を実行させるという手口が発見された。それらのページに配置されるのは、要求された操作を説明するチュートリアル動画/操作完了までの残り時間を示すカウントダウン・タイマー/過去1時間に認証を行ったユーザー数を表示するカウンターなどであり、いずれもユーザーに考える余地を与えずに、迅速な行動を促すことを目的としている。

Continue reading “ClickFix の進化する手口を検出:オンライン販売業者のページを模倣してユーザーを欺く”

VS Code エクステンションを悪用する Kimsuky:ランサムウェアと永続化のためのキャンペーンとは?

Threat Actors May Abuse VS Code Extensions to Deploy Ransomware and Use GitHub as C2 Server

2025/11/07 CyberSecurityNews — 開発者向けエクステンションを感染経路として悪用する北朝鮮の脅威アクターが、その攻撃戦略を進化させている。最近のセキュリティ調査によると、2012年から活動する国家支援グループ Kimsuky は、 JavaScript ベースのマルウェアを用いてシステムに侵入し、永続的な Command-and-Control (C2) インフラを構築しているという。これまでの攻撃は、政府機関/シンクタンク/専門家を標的とする活動に集中していたが、今回のキャンペーンが示すのは、技術力の拡大とサプライチェーン攻撃の高度化である。

Continue reading “VS Code エクステンションを悪用する Kimsuky:ランサムウェアと永続化のためのキャンペーンとは?”

SonicWall が認めたインシデント:国家に支援されるハッカーによるクラウド・ファイルへの不正アクセス

SonicWall Confirms State-Sponsored Hackers Behind the Massive Firewall Backup Breach

2025/11/06 CyberSecurityNews — SonicWall が公表したのは、最近のインシデントにおけるファイアウォールのバックアップ・ファイルへの不正アクセスなどに、国家に支援されるハッカーが関与していたことだ。2025年9月初旬に発生した侵害において、クラウド環境に保存されているファイアウォールのバックアップ・コンフィグ・ファイルに関する、不審なダウンロード・アクティビティが検出された。

Continue reading “SonicWall が認めたインシデント:国家に支援されるハッカーによるクラウド・ファイルへの不正アクセス”

Cisco Secure ASA/FTD の脆弱性 CVE-2025-20333 が FIX:RCE 攻撃を確認

Cisco Confirms Active Exploitation of Secure ASA and FTD RCE Vulnerability

2025/11/06 gbhackers — Cisco が発表したのは、Secure ASA (Adaptive Security Appliance)/FTD (Firewall Threat Defense) に影響を及ぼす深刻なリモート・コード実行 (RCE) の脆弱性 CVE-2025-20333 を標的とする、継続的な攻撃に関する重大な警告である。同社は 2025年11月5日にセキュリティ・アドバイザリを更新し、パッチ未適用のシステム上でデバイスを完全に侵害する新たな攻撃手法が、脅威アクターにより展開されていることを明らかにした。

Continue reading “Cisco Secure ASA/FTD の脆弱性 CVE-2025-20333 が FIX:RCE 攻撃を確認”

OneDrive を悪用する新手の DLL サイドローディング攻撃:PoC が示す悪意のコード実行とは?

Hackers Abuse OneDrive.exe via DLL Sideloading to Run Malicious Code

2025/11/05 gbhackers — Microsoft の OneDrive アプリケーションを悪用して、検知されることなく悪意のコードを実行する高度な攻撃手法が、セキュリティ研究者たちにより発見された。この攻撃で用いられる DLL サイドローディングと呼ばれる手法は、Windows のライブラリ読み込みの仕組みを悪用して正規のアプリケーションを騙し、攻撃者が制御する DLL をロードさせるものである。膨大な数のマシンに OneDrive が導入されているエンタープライズ環境において、この手口は深刻な脅威となる。

Continue reading “OneDrive を悪用する新手の DLL サイドローディング攻撃:PoC が示す悪意のコード実行とは?”

Rhysida の大規模侵害キャンペーン:Teams/PuTTY/Zoom を装うマルバタイジング攻撃

Weaponized Putty and Teams Ads Deliver Malware Allowing Hackers to Access Network

2025/11/04 CyberSecurityNews — 現在進行中の悪質な広告キャンペーンでは、正規のソフトウェア配布を悪用するかたちで、OysterLoader マルウェア (旧称 Broomstick/CleanUpLoader) が展開されている。この高度な初期アクセス・ツールにより、サイバー犯罪者は企業ネットワーク環境に足掛かりを築き、Rhysida ランサムウェア集団の配信手段としての環境の悪用を可能にする。

Continue reading “Rhysida の大規模侵害キャンペーン:Teams/PuTTY/Zoom を装うマルバタイジング攻撃”

OpenAI の Assistants API を悪用する SesameOp:AI 侵害のためのバックドアをステルス C2 で確立

SesameOp: Using the OpenAI Assistants API for Covert C2 Communication

2025/11/04 gbhackers — OpenAI Assistants API を悪用する高度なバックドア型マルウェア SesameOp が、従来とは異なる Command-and-Control (C2) 通信経路を用いていることを、Microsoft の Detection and Response Team (DART) が明らかにした。この種の脅威は、正規のクラウド・サービスを悪用して通信を隠蔽する手法へ急速に適応しており、既存のセキュリティ対策による検知を著しく困難にしている。

Continue reading “OpenAI の Assistants API を悪用する SesameOp:AI 侵害のためのバックドアをステルス C2 で確立”

XWiki のリモート・コード実行の脆弱性の悪用:インターネット上で積極的なスキャン活動を確認

Hackers Actively Scanning Internet to Exploit XWiki Remote Code Execution Vulnerability

2025/11/04 CyberSecurityNews — XWiki の SolrSearch コンポーネントに影響を及ぼす、重大なリモート・コード実行脆弱性 CVE-2025-24893 が広範な悪用の標的となっており、サイバー・セキュリティ当局が監視リストに追加している。この脆弱性により、最小限のゲスト権限しか持たない攻撃者であっても、脆弱なシステム上で任意のコマンドを実行できるという。そのため、このオープンソースのエンタープライズ Wiki プラットフォームを利用する組織に、深刻なセキュリティ・リスクが生じている。

Continue reading “XWiki のリモート・コード実行の脆弱性の悪用:インターネット上で積極的なスキャン活動を確認”

Windows WSUS CVE-2025-59287:TCP ポート 8530/8531 への積極的な偵察を観測

Hackers Actively Scanning TCP Ports 8530/8531 for WSUS CVE-2025-59287

2025/11/03 gbhackers — Windows Server Update Services (WSUS) インフラを標的とする不審なネットワーク・トラフィックの急増を、SANS Internet Storm Center のセキュリティ研究者たちが公表した。この偵察活動は、特に TCP ポート 8530 および 8531 に重点を置いている。これらのポートは、先日に公開された CVE-2025-59287 の影響を受ける WSUS サーバの、暗号化/非暗号化の通信チャネルに相当する。

Continue reading “Windows WSUS CVE-2025-59287:TCP ポート 8530/8531 への積極的な偵察を観測”

フィッシング攻撃に新たなスタイルが登場:Cloudflare/ZenDesk のサポートを装う手口に御用心

Beware of New Phishing Attack that Abuses Cloudflare and ZenDesk Pages to Steal Logins

2025/11/03 CyberSecurityNews — 正規のクラウド・ホスティング・サービスへの信頼を悪用する、巧妙なフィッシング攻撃が出現した。この脅威アクターは、Cloudflare Pages および Zendesk プラットフォームを悪用し、無防備なユーザーを標的とする大規模な認証情報窃取の作戦を実行している。この攻撃が示唆するのは、既存のインフラ・サービスがソーシャル・エンジニアリング攻撃の媒介となるという懸念すべき傾向である。

Continue reading “フィッシング攻撃に新たなスタイルが登場:Cloudflare/ZenDesk のサポートを装う手口に御用心”

Akira ランサムウェアによる Apache OpenOffice 侵害:23GB の機密データ流出の主張とは?

Akira Ransomware Allegedly Claims Theft of 23GB in Apache OpenOffice Breach

2025/11/01 CyberSecurityNews — Akira ランサムウェア・グループが発表したのは、2025年10月29日に Apache OpenOffice のシステムへの侵入に成功し、23GB の機密性の高い企業データを盗み出したという主張である。強硬な二重恐喝戦術で知られる同グループは、ダークウェブ上のリークサイトに詳細を掲載し、身代金が支払われない限り情報を公開すると脅迫している。このインシデントが浮き彫りにするのは、高度なサイバー脅威が蔓延する時代においては、非営利ソフトウェア財団でさえ深刻なリスクに直面するという現実である。

Continue reading “Akira ランサムウェアによる Apache OpenOffice 侵害:23GB の機密データ流出の主張とは?”

Windows の脆弱性 CVE-2025-9491:APT による 2017 年からの悪用が判明

Unpatched Windows vulnerability continues to be exploited by APTs (CVE-2025-9491)

2025/10/31 HelpNetSecurity — 国家の支援を受ける脅威アクターやサイバー犯罪グループが、Windows の脆弱性 CVE-2025-9491 (ZDI-CAN-25373) を、2017 年から悪用し続けていることが明らかになった。Arctic Wolf Labs の脅威研究者たちは、「新たに検知した攻撃キャンペーンが、 UNC6384 に起因すると高い確信を持って評価している。過去に記録された UNC6384 の攻撃との間で、マルウェア・ツール/戦術的手順/標的の選択/インフラの重複などの証拠があり、この帰属を特定した」と述べている。

Continue reading “Windows の脆弱性 CVE-2025-9491:APT による 2017 年からの悪用が判明”

Chromium の脆弱性 Brash:悪意の URL をクリックするだけで発動する強力な攻撃とは?

New “Brash” Exploit Crashes Chromium Browsers Instantly with a Single Malicious URL

2025/10/30 TheHackerNews — Chromium の Blink レンダリング・エンジンで発見された深刻な脆弱性が悪用されると、多くの Chromium ベースのブラウザが短時間でクラッシュするという。この脆弱性の詳細は、セキュリティ研究者である Jose Pino により発見/報告されたものであり、Brash というコードネームが付けられている。この研究者は、「特定の DOM (Document Object Model) 操作の管理方法において、アーキテクチャ上の欠陥を悪用することで、あらゆる Chromium ブラウザが 15~60 秒でクラッシュする可能性がある」と述べている。

Continue reading “Chromium の脆弱性 Brash:悪意の URL をクリックするだけで発動する強力な攻撃とは?”

WooCommerce サイトが標的:フェイク・プラグインを介した侵入と多層化されたクレカ情報窃取戦術

New Malware Infects WooCommerce Sites Through Fake Plugins to Steal Credit Card Data

2025/10/30 gbhackers — WooCommerce プラグインを使用する WordPress ベースの EC サイトを、高度なマルウェアを用いる脅威アクターが積極的に標的としていると、Wordfence 脅威インテリジェンス・チームが報じている。このマルウェア攻撃は、正規の WordPress プラグインを装いながら、高度な回避技術と多層的な攻撃戦略を駆使し、オンライン・ショッピング利用者からクレジットカード情報を密かに盗み出している。

Continue reading “WooCommerce サイトが標的:フェイク・プラグインを介した侵入と多層化されたクレカ情報窃取戦術”

PhantomRaven の攻撃手法:依存関係隠蔽/AI 標的/自動スクリプトを持つ 126 の悪意の npm パッケージ

PhantomRaven Attack Discovered in 126 Malicious npm Packages, Exceeding 86,000 Downloads

2025/10/30 gbhackers — PhantomRaven の出現は、世界中の開発者コミュニティを揺るがすものだ。この大規模キャンペーンには、126 個の悪意のある npm パッケージが関与し、86,000 回以上のダウンロードを記録した。これらの悪意のパッケージは水面下に潜み、世界中の無防備な開発者から npm トークン/GitHub の認証情報/CI/CD のシークレットを積極的に盗んでいる。この攻撃者はオープンソース・エコシステムの盲点を突くことで、セキュリティ分析から悪意のコードを隠蔽する新しい手法を駆使し、大きな影響を生み出している。

Continue reading “PhantomRaven の攻撃手法:依存関係隠蔽/AI 標的/自動スクリプトを持つ 126 の悪意の npm パッケージ”

FileFix + Cache Smuggling:従来のセキュリティ対策を回避する新たなハイブリッド・フィッシング手法とは?

FileFix + Cache Smuggling: A New Evasion Combo

2025/10/28 gbhackers — FileFix は、ソーシャル・エンジニアリングとキャッシュ・スマグリングを組み合わせて、最新のセキュリティ防御を回避するものだ。そして、MalwareTech のサイバー・セキュリティ研究者たちが分析するのは、高度に進化したハイブリッド・フィッシング攻撃の手法である。このハイブリッド攻撃では、Web リクエストのための悪意のコードが不要となる。それに代えて用いられるのは、キャッシュ・スマグリングで仕込まれたペイロードであり、それらはブラウザのキャッシュからダイレクトに抽出される。この手法の目的は、インターネットへのアクセスを監視/制限するセキュリティ制御の回避にあり、攻撃者の手口が大きく進歩したことを示している。

Continue reading “FileFix + Cache Smuggling:従来のセキュリティ対策を回避する新たなハイブリッド・フィッシング手法とは?”

新たなフィッシング・パターンの検出:MIME エンコードとメール件名への不可視文字の挿入

New Phishing Attack Using Invisible Characters Hidden in Subject Line Using MIME Encoding

2025/10/28 gbhackers — MIME エンコードの悪用により、メールの件名に埋め込まれた不可視の Unicode 文字を武器化する高度なフィッシング手法を、セキュリティ研究者たちが発見した。この手法は、メール・セキュリティ専門家の間でも、ほとんど知られていない。エンド・ユーザーによるメール操作を損なわずに、その手口を進化させる攻撃者が自動フィルタリング・システムを回避していく状況が、この発見により明らかになった。

Continue reading “新たなフィッシング・パターンの検出:MIME エンコードとメール件名への不可視文字の挿入”

Operant AI が警告する Shadow Escape 攻撃:MCP 接続 AI エージェントをゼロクリックで悪用

First Zero Click Attack Exploits MCP and Connected Popular AI Agents To Exfiltrate Data Silently

2025/10/28 CyberSecurityNews — Operant AI が発見した脆弱性 Shadow Escape を悪用する攻撃者は、Model Context Protocol (MCP) と ChatGPT/Claude/Gemini などの一般的な AI エージェントを介して、機密データをゼロクリック攻撃で盗み出す。この攻撃者は、ユーザーによる操作を必要とせず、従来のセキュリティ・ツールによる検出を回避しながら、社会保障番号や医療記録といった個人識別情報を流出させることが可能になるという。

Continue reading “Operant AI が警告する Shadow Escape 攻撃:MCP 接続 AI エージェントをゼロクリックで悪用”

Qilin ランサムウェアの攻撃手法を分析:MS ペイント/メモ帳の悪用による情報窃取と二重恐喝

Qilin Ransomware Exploits MSPaint and Notepad to Locate Sensitive Files

2025/10/27 gbhackers — 2025年後半に Qilin (旧称 Agenda) ランサムウェア・グループは、ファイル暗号化と公開データ漏洩の二重恐喝戦略を軸とする攻撃キャンペーンにより、製造/科学サービス/卸売などの業種を中心に毎月 40件以上の被害者情報を公開し、世界で最も影響力のあるランサムウェア集団の一つに躍り出た。

Continue reading “Qilin ランサムウェアの攻撃手法を分析:MS ペイント/メモ帳の悪用による情報窃取と二重恐喝”

Copilot Studio を悪用する CoPhish 攻撃が拡大:OAuth トークンを窃取する新たな攻撃手法

New CoPhish Attack Exploits Copilot Studio to Exfiltrate OAuth Tokens

2025/10/27 CyberSecurityNews — CoPhish と呼ばれる高度なフィッシング手法は、Microsoft Copilot Studio を悪用してユーザーを騙し、Microsoft Entra ID アカウントへの不正アクセスを攻撃者に許可させるものだ。Datadog Security Labs が命名したこの手法は、正規の Microsoft ドメイン上でホストされるカスタマイズ可能な AI エージェントを悪用することで、従来の OAuth 同意攻撃を巧妙に偽装し、信頼性を装いながらユーザーの疑念を回避するものである。この攻撃は、最近のレポートで詳細が明らかにされたものだ。それが浮き彫りにするのは、Microsoft が同意ポリシーの強化に努めているにもかかわらず、クラウドベースの AI ツールに継続的な脆弱性が存在することだ。

Continue reading “Copilot Studio を悪用する CoPhish 攻撃が拡大:OAuth トークンを窃取する新たな攻撃手法”