Literacy – Page 5 – IoT OT Security News

CISA の GeoServer インシデント分析：米国連邦機関のネットワークが侵害された理由は？

CISA Details That Hackers Gained Access to a U.S. Federal Agency Network Via GeoServer RCE Vulnerability

2025/09/24 CyberSecurityNews — 米国の CISA が、包括的なサイバー・セキュリティ勧告を公開した。この勧告が詳述するのは、GeoServer の深刻なリモート・コード実行の脆弱性 CVE-2024-36401 を悪用する脅威アクターが、米国連邦行政機関のネットワークに侵入した経緯である。３週間にわたり検知されなかった、このインシデントが浮き彫りにするのは、連邦機関における脆弱性管理とインシデント対応体制の深刻な欠陥である。

GitHub の公式通知を悪用するフィッシング・キャンペーンを検知：公式を模倣する巧妙なメール

Hackers Exploit GitHub Notifications to Launch Phishing Attacks

2025/09/23 gbhackers — GitHub の公式通知システムを悪用し、認証情報を窃取するためのペイロードを配信する、新たなフィッシング・キャンペーンが、サイバー・セキュリティ研究者たちにより発見された。つまり、オープンソース・コントリビューターたちが、GitHub の通信チャネルに寄せる信頼を悪用する攻撃者は、従来からのメール・フィルターやソーシャル・エンジニアリング防御を回避できる。

IIS Server を介した SEO ポイズニング：BadIIS という巧妙なモジュールを検出

Hackers Hijacking IIS Servers Using Malicious BadIIS Module to Serve Malicious Content

2025/09/23 CyberSecurityNews — Operation Rewrite と呼ばれる高度なサイバー攻撃が、Microsoft の Internet Information Services (IIS) の Web サーバを乗っ取り、SEO ポイズニングと呼ばれる手法を用いて悪意のあるコンテンツを提供するという攻撃を活発化させている。2025年3月の時点で、この状況を検知した Palo Alto Networks は、BadIIS と呼ばれる悪意の IIS モジュールを使用する、中国語圏の脅威アクターによる攻撃であると、高い確度で結論付けている。

最初の侵入から横方向への移動までの平均時間は 18 分：最新の脅威について調査

Threat Actors Breach Enterprise Infrastructure Within 18 Minutes of Initial Access

2025/09/23 gbhackers — 攻撃者たちは、企業ネットワーク侵入の足掛かりを加速させている。ReliaQuest が実施した 2025年 6月／7月／8月の調査では、最初の侵入から横方向への移動までの平均時間 (breakout time) はわずか 18 分に短縮されている。ある注目すべきインシデントでは、Akira ランサムウェアのオペレーターが、SonicWall VPN への初期侵入から６分後に横方向への移動を達成していた。この急速なペースアップが浮き彫りにするのは、検知ギャップを埋め、対応プロセスを自動化することが、ユーザー組織にとって急務であることだ。

MITRE ATT&CK 2026 は見送り：Microsoft／SentinelOne／Palo Alto は独立した製品検証に注力

Microsoft, SentinelOne, and Palo Alto Networks Withdraw from 2026 MITRE ATT&CK Evaluations

2025/09/22 CyberSecurityNews — サイバー・セキュリティ業界を代表する３社である、Microsoft／SentinelOne／Palo Alto Networks は、2026年の MITRE ATT&CK 評価への参加を見送ることを発表した。この協調的な活動からの撤退は、大手セキュリティ企業が独立した製品検証に取り組む方法に大きな転換をもたらすものである。３社とも、社内のイノベーションと顧客重視の取り組みへの戦略的リソース再配分を理由としている。

Oracle Database Scheduler の悪用：脅威アクターによるランサムウェア展開とネットワーク侵入

Threat Actors Exploit Oracle Database Scheduler to Infiltrate Corporate Networks

2025/09/22 gbhackers — Oracle Database Scheduler の外部ジョブ機能を悪用する脅威アクターが、企業のデータベース・サーバ上で任意のコマンドを実行している。それにより、ステルス性の高い初期攻撃の足掛かりが確立され、迅速な権限昇格を可能にする。攻撃者は “extjobo.exe” 実行ファイルを利用して、エンコードされた PowerShell コマンドの実行、Ngrok による暗号化トンネルの確立、ランサムウェアの展開を行い、強力なクリーンアップ・ルーチンにより検出を回避している。最近のインシデント対応で確認されたのは、SYS ユーザーとして繰り返し接続を試みる攻撃者が、公開されている Oracle Database インスタンスを標的としていたことだ。

PhaaS の台頭を分析：74 カ国 316 ブランドを偽装する 17,500 件の悪意のドメイン

17,500 Phishing Domains Target 316 Brands Across 74 Countries in Global PhaaS Surge

2025/09/19 TheHackerNews — Lighthouse および Lucid として知られる Phishing-as-a-Service (PhaaS) への調査の結果として、74 カ国の 316 ブランドを標的とする、17,500 以上のフィッシング・ドメインへの関与が判明している。Netcraft は新たなレポートで、「最近の傾向として、PhaaS の導入が大幅に増加している。PhaaS 事業者が月額料金で提供するフィッシング・ソフトウェアには、世界各国の数百のブランドを偽装するテンプレートがプリ・インストールされている」と指摘している。

SolarWinds がアドバイザリを公表：Salesloft Drift 接続は未使用のため問題はなし

SolarWinds Releases Advisory on Salesloft Drift Security Incident

2025/09/19 CyberSecurityNews — SolarWinds が公開したのは、Salesforce の Salesloft Drift 統合に関連するセキュリティ・インシデントに関するアドバイザリである。このインシデントにより、同社に不正なデータ・アクセスが発生した。この侵害により、SolarWinds のシステムが影響を受けていないことが確認されたが、最優先で対応が進められているという。

RDP vs SSH：セキュリティ／効率性／運用を成功に導くための重要なプロトコル選択

RDP vs SSH Comparison – Features, Protocols, Security, and Use Cases

2025/09/19 CyberSecurityNews — Remote Desktop Protocol (RDP) と Secure Shell (SSH) は、組織の IT システム管理方法に大きな変化をもたらしている。これらのツールにより、どこからでも従業員たちは自身のコンピュータにアクセスし、制御できるようになり、チームの連携を強化している。RDP と SSH は、職場環境への安全な接続を可能にすることで、今日のデジタル世界における柔軟性と生産性を支えている。つまり、リモート接続の基盤として、RDP と SSH という２つのプロトコルが注目されている。

ChatGPT 系エージェントによる CAPTCHA 回避が示すもの：プロンプト・インジェクションの脅威

ChatGPT Tricked Into Bypassing CAPTCHA Security and Enterprise Defenses

2025/09/19 CyberSecurityNews — ChatGPT エージェントでは、自身の安全プロトコルを回避して CAPTCHA を解読することが可能であり、広く利用される AI とボット対策システムの、安全対策と堅牢性に重大な懸念が生じている。SPLX の調査によると、プロンプト・インジェクションと呼ばれる手法を用いることで、AI エージェントは組み込みポリシーを破るように誘導され、単純な CAPTCHA 課題だけではなく、より複雑な画像ベースの CAPTCHA も解読できる恐れがある。

ShinyHunters の活動を分析：音声フィッシングに特化した技術に AI 悪用が加わっている

New ‘shinysp1d3r’ Ransomware-as-a-Service Targets VMware ESXi in Ongoing Development

2025/09/18 gbhackers — AI を悪用する ShinyHunters が、ボイスフィッシング／サプライチェーン侵入に加えて、企業ネットワークへの直接アクセスを提供する従業員や請負業者といった悪意の内部関係者を介して、その活動を拡大していると、EclecticIQ のアナリストたちが高い確信を持って評価している。ShinyHunters は、小売／航空／通信などの業界で利用される SSO (single sign-on) プラットフォームへの、不正アクセスを提供するボイスフィッシング・キットを活用するために、Scattered Spider と The Com のメンバーに依存している可能性が高いとされる。

SonicWall がアドバイザリを提供：コンフィグ・バックアップの流出を想定した事後対策

SonicWall Advises Users to Reset Logins After Config Backup Leak

2025/09/18 gbhackers — 最近の情報漏洩により、ファイアウォール・コンフィグのバックアップが流出したことを受け、SonicWall は顧客に対して、すべてのログイン認証情報のリセットを強く推奨している。SonicWall は、リスクの最小化と安全なアクセス回復のために、封じ込め／修復／監視という３つの段階を重視している。ユーザーにとって必要なことは、封じ込め (さらなる漏洩阻止) → 修復 (パスワードと共有秘密のリセット) → 監視 (不正活動の検出) を順番に実行することである。

Google の Sheets と Calendar を C2 通信に悪用：中国 APT グループ TA415 の洗練された手法とは？

China-Aligned TA415 Hackers Uses Google Sheets and Google Calendar for C2 Communications

2025/09/17 CyberSecurityNews — 中国政府に支援される脅威アクター TA415 は、米国の政府／学術機関／シンクタンクを標的とする最近のキャンペーンにおいて、Google の Sheets や Calendar といった正規のクラウド・サービスを C2 通信に活用する戦術を示し、TTP (tactics, techniques, and procedures) を進化させている。2025年7月〜8月に、この洗練されたグループは、米中間の戦略と競合に関する特別委員会の現委員長などの著名人を装い、米国と中国の経済をテーマとするルアーを用いたスピアフィッシング攻撃を展開していた。

新たな Magecart 戦術を検知：JavaScript インジェクションにより支払データを盗み出す

New Magecart Attack Injects Malicious JavaScript to Steal Payment Data

2025/09/17 gbhackers — Magecart 風の、新たな攻撃キャンペーンが出現した。このキャンペーンは、悪意の JavaScript インジェクションを介して、オンライン・チェックアウト・フォームから支払いデータを盗み出すものである。この脅威は、セキュリティ研究者である sdcyberresearch が、”cc-analytics[.]com” でのアクティブな攻撃キャンペーンを示唆する、謎めいたツイートを投稿したことで表面化した。

OneDrive Auto-Sync について考えよう：機密情報が SharePoint Online に自動バックアップ？

Microsoft OneDrive Auto-Sync Flaw Leaks Enterprise Secrets from SharePoint Online

2025/09/17 gbhackers — Entro Labs の最新レポートにより判明したのは、大規模組織で漏洩した機密情報の約 20% が、SharePoint に起因するという結果である。それは、SharePoint 自体の欠陥ではなく、OneDrive のデフォルト自動同期という単純な利便性の機能に起因するものだ。Desktop や Documents といった重要なフォルダが、OneDrive により SharePoint Online に自動バックアップされることで、個人ファイルが企業機密情報の宝庫に変化する可能性があるのだ。

Google の新たな LLM VaultGemma：差分プライバシーでの学習と個人情報保護の強化

Google introduces, a differentially private LLM built for secure data handling

2025/09/16 HelpNetSecurity — Google が発表した、大規模言語モデル (LLM) VaultGemma は、トレーニング中に用いる機密データを、非公開に保つよう設計されたものだ。このモデルは、差分プライバシー技術を用いて個々のデータ・ポイントの露出を防ぐため、医療／金融／政府などの分野での、機密情報の安全な取り扱いを可能にする。

AppSuite-PDF／PDF Editor の戦術：26種類のコード・サイニング証明書を悪用

AppSuite-PDF, PDF Editor Operators Exploited 26 Code-Signing Certificates to Fake Legitimacy

2025/09/15 gbhackers — AppSuite-PDF／PDF Editor キャンペーンを分析したところ、その開発者は、これまでの７年間で少なくとも 26種類のコード・サイニング証明書を悪用し、BaoLoader と呼ばれるマルウェアの正当性を高めていたことが判明した。以前、このマルウェアは迷惑プログラム (PUP：potentially unwanted programs) に分類されていたが、最近の調査と明白な詐欺との関連性から、分類の見直しと厳格な監視が必要となっている。

Villager という AI ネイティブ・ペンテスト・ツール：大規模な攻撃の計画／適応／実行を可能にする

AI Pentesting Tool ‘Villager’ Merges Kali Linux with DeepSeek AI for Automated Security Attacks

2025/09/13 gbhackers — Straiker AI Research (STAR) チームのセキュリティ研究者たちが発見したのは、中国に拠点を置く Cyberspike グループが開発した AI ネイティブのペンテスト・フレームワーク Villager である。このフレームワークは、公式 Python Package Index (PyPI) での公開から２ヶ月以内に、すでに１万回以上のダウンロードを記録している。このツールは、Kali Linux ツールセットと DeepSeek AI モデルを組み合わせて、ペンテストのワークフローを完全に自動化するものだが、そこで懸念されるのは、Cobalt Strike の軌跡と同様に、二重使用により悪用へと至る可能性である。

ToneShell の最新亜種を検知：Scheduler COM を悪用する Mustang Panda グループの戦略とは？

New ToneShell Variant Uses Task Scheduler COM Service to Maintain Persistence

2025/09/12 gbhackers — ToneShell の最新の亜種は、Windows Task Scheduler COM サービスを悪用する戦術により、永続化における顕著な進化を示している。これまでは、この軽量バックドアは、DLL サイド・ローディング手法で配信されていたが、新たな機能として高度な永続化メカニズムと解析回避を搭載しており、セキュリティ・チームにとって大きな課題が生じている。Intezer のサイバー・セキュリティ研究者たちが確認した、ToneShell バックドアの新亜種は、中国拠点の Mustang Panda グループにおける攻撃手段の進化を示すものである。

ArgoCD に対する新たな攻撃手法：Kubernetes の内部 DNS 解決を悪用して Git 認証情報を窃取

New Attack Technique That Enables Attackers To Exfiltrate Git Credentials In Argocd

2025/09/11 CyberSecurityNews — 人気の GitOps ツール ArgoCD 内において、新たに公開された攻撃手法を用いる認証済みユーザーであれば、強力な Git 認証情報を窃取できることが、サイバー・セキュリティ研究グループ Future Sight により明らかにされた。この攻撃手法は、Kubernetes の内部 DNS 解決を悪用して、転送中の認証情報を傍受するものであり、CD (continuous delivery) ツールを利用する組織にとって深刻なリスクとなる。

Google Drive Desktop for Windows の大問題：共有マシン上のローカル・キャッシュが分離されない

Google Drive Desktop for Windows Vulnerability Grants Full Access to Another User’s Drive

2025/09/10 CyberSecurityNews — Windows 版 Google Drive Desktop アプリにセキュリティ上の脆弱性が発見された。この脆弱性により、共有マシンにログインしているユーザーが、認証情報を入力することなく、他ユーザーの Drive ファイルへの完全なアクセスを取得する可能性がある。この問題の根本的な原因は、Drive Desktop アプリがキャッシュ・データを処理する際の、アクセス制御メカニズムの欠陥にある。Google Drive は、利便性とセキュリティの両面から広く信頼されているが、今回の脆弱性は、その前提を揺るがすものだ。

Elastic がセキュリティ・インシデントを公表：Salesloft Drift に起因する情報漏洩を確認

Elastic Security Incident – Hackers Accessed Email Account Contains Valid Credentials

2025/09/09 CyberSecurityNews — Elastic が公表したのは、Salesloft Drift におけるサードパーティの情報漏洩に起因するセキュリティ・インシデントである。このインシデントにより、社内メールアカウントへの不正アクセスが発生し、その中には有効な認証情報も含まれるという。なお、同社のコアとなる Salesforce 環境には影響はなかったが、一部のメールに含まれる機密情報が漏洩したとされる。

パラメータ汚染を悪用する新たな XSS 手法：代表的な WAF での回避状況をテストした

Web Application Firewall Bypassed via JS Injection with Parameter Pollution

2025/09/08 gbhackers — 最近の自律型ペンテストにおいて、厳格な Web Application Firewalls (WAF) さえも回避する、新たなクロスサイト・スクリプティング (XSS) 手法が発見された。Ethiack のセキュリティ研究者たちが実施したテストは、厳格にコンフィグされた WAF で保護された ASP.NET アプリケーションを対象とするものであり、従来からの XSS ペイロードは、シングルクォートで囲まれた JavaScript 文字列から抜け出す手法を用いたが、即座にブロックされた。

Microsoft における海外エンジニア：SharePoint のサポートが中国拠点のチームに任されていた

Microsoft Tapped China Engineers for SharePoint Support

2025/09/05 gbhackers — 新たな調査により明らかになったのは、Microsoft が SharePoint の技術サポートとバグ修正を、中国拠点のエンジニアに委託していたことだ。SharePoint はコラボレーション・ソフトウェアであり、米国政府機関を含む数百の組織に被害を及ぼす大規模なサイバー攻撃で、中国政府により支援されるハッカーが悪用を重ねているものである。

インサイダー攻撃の調査：米国企業の 61% がファイル・ベースのデータ侵害に遭っている – OPSWAT

61% of US Companies Hit by Insider Data Breaches

2025/09/05 InfoSecurity — Ponemon Institute と OPSWAT の最新レポートで判明したのは、これまでの２年間において、米国企業の 61% がインサイダーによるデータ侵害に遭っていることだ。それらの被害を受けた企業では、ファイル内の機密データへの不正アクセスにつながる、内部インシデントが平均で８件発生していた。ただし、これらのインシデントに関与したのは、悪意のインサイダーに加えて、意図的ではないインサイダーもいることに、注意が必要である。

ScreenConnect インストーラを悪用する脅威アクター：米国企業を標的とする初期アクセスの確立

Threats Actors Weaponize ScreenConnect Installers to Gain Initial Access to Organizations

2025/09/05 CyberSecurityNews — ConnectWise ScreenConnect のトロイの木馬化されたインストーラを介した、高度なサイバー攻撃キャンペーンが米国企業を標的に展開されており、RMM (Remote Monitoring and Management) ツールの悪用における大きな進展を示している。2025年3月以降に、これらの攻撃は頻度と技術の高度化を達成し、正規の管理ソフトウェアを悪用することで、企業ネットワーク内に永続的な足場を築いている。

Cisco ASA を標的とした大規模スキャン活動を観測：25,000 以上の IP アドレスが関与

Hackers Scanning Cisco ASA Devices to Exploit Vulnerabilities from 25,000 IPs

2025/09/05 CyberSecurityNews — 2025年8月下旬に観測されたのは、Cisco Adaptive Security Appliances (ASA) を標的とする悪意あるスキャン活動であり、25,000 以上の固有 IP アドレスが協調的な偵察に参加するという、前例のない規模のものである。脅威インテリジェンス企業 GreyNoise が共有したのは、通常は１日あたり 500 未満であったベースラインからの急増を示す、２つの異なるスキャンの波の観測結果である。8月22日のピーク時では、約 25,000 の IP アドレスが関与し、その数日後にも、小規模の関連キャンペーンが発生している。

Bridgestone にサイバー攻撃が発生：米国の生産施設で操業が停止した

Bridgestone Confirms Cyberattack Impacts Manufacturing Facilities

2025/09/04 CyberSecurityNews — タイヤ製造大手 Bridgestone Americas が認めたのは、一部の製造施設における操業の中断が生じた、サイバー攻撃への対応を進めていることだ。同社は声明で、インシデントは収束し、現在は通常通り事業を運営しているが、侵害に関する調査は継続中であると述べている。

TLS 証明書の誤発行：Cloudflare の 1.1.1.1 DNS Service に悪用の可能性

TLS Certificate Mis-Issuance Exposes 1.1.1.1 DNS Service to Exploitation

2025/09/04 gbhackers — Cloudflare と APNIC が運営し、広く利用されているパブリック DNS サービス 1.1.1.1 に対して、３件の不正な TLS 証明書が発行されていたことが、セキュリティ研究者たちにより 2025年5月に明らかにされていた。これらの証明書は、Fina RDC 2020 認証局により不適切に発行されたものであり、暗号化された DNS クエリの傍受／復号を攻撃者たちに許す可能性がある。その結果として、ユーザーの閲覧履歴や習慣の漏洩へと至る恐れがある。

Google に対する米地裁の判決：Chrome ビジネスの売却は強制しないが検索データを他社に共有せよ

Google Won’t Be Forced to Sell Chrome, But Must Share Search Data With Rivals

2025/09/03 CyberSecurityNews — Google に対して米コロンビア地裁が命じたのは、Chrome 所有権の売却は強制しないが、重要な検索データは競合他社に共有すべきという内容である。9月2日 (火) に司法省の反トラスト局が発表した判決は、10年以上にわたり市場を支配してきた Google の検索独占に対する、政府による継続的な戦いにおける大勝利である。

Google Cloud／Cloudflare のインフラを悪用：３年間にわたるフィッシング攻撃が見逃されていた！

Google Cloud & Cloudflare Missed 3-Year Phishing Campaign

2025/09/03 gbhackers — Google Cloud／Cloudflare のインフラを悪用する大規模なフィッシング攻撃が、３年以上にわたり公開環境で展開され、Fortune 500 企業を標的に数百万ドル規模の潜在収益を発生させていた。Deep Specter Research の調査が明らかにしたのは、この攻撃の深刻さと、ブランド／規制当局／エンドユーザーへの影響である。

Azure AD の “appsettings.json” ファイルに注意：誤った公開より ClientId／ClientSecret などが漏洩

Azure AD Vulnerability Leaks Credentials, Lets Attackers Deploy Malicious Apps

2025/09/02 gbhackers — Azure Active Directory (Azure AD) の認証情報を取り込んだ ASP.NET Core の “appsettings.json” ファイルが公開されると、深刻な攻撃ベクターが発生し、ユーザー組織のクラウド環境への鍵を攻撃者に渡すことになり得る。先日に実施された、Resecurity HUNTER チームによるサイバー・セキュリティ評価において、公開されている “appsettings.json” ファイルにより、Azure AD アプリケーションの ClientId と ClientSecret が公開されていることが判明した。したがって、Microsoft の OAuth 2.0 エンドポイントに対して直接認証を行う攻撃者は、信頼されたアプリケーションとして振る舞えるようになる。

Google が断固として否定：Gmail 大規模セキュリティ侵害の報道に反論

Google Dismiss Reports of Major Gmail Security Alert

2025/09/02 gbhackers — Google からの声明は、”25 億人の Gmail ユーザーに対してグローバルなセキュリティ・アラートを発令した” とする、報道を完全に否定するものであり、”まったくの虚偽” であると述べている。つまり、それらの報道により、世界中のユーザーに不必要な混乱を招いたとされる、いまの状況の迅速な解明へと向けて、Google が動いたことになる。先日の一部の報道では、Google が Gmail ユーザー全員に大規模なセキュリティ侵害の警告通知を送ったと伝えられた。それらの誤報が示唆したのは、数十億のアカウントが影響を受け、ユーザーに対してパスワード変更が促されたという状況であった。しかし、これらの主張が、まったくの誤りであることが判明した。

Cloudflare が 11.5 Tbps UDP フラッドを阻止：Google Cloud の侵害により大規模攻撃が可能に

Record-breaking 11.5 Tbps UDP Flood DDoS Attack Originated from Google Cloud Platform

2025/09/02 CyberSecurityNews — Web に対してセキュリティとインフラを提供する Cloudflare が発表したのは、先日に阻止した大規模なサイバー攻撃に関する情報である。この攻撃は、これまでの最大値である、11.5 TB/秒 (Tbps) に達したという。その攻撃の種類は、分散型サービス拒否 (DDoS) であり、具体的には UDP フラッド攻撃となる。攻撃の大部分は、Google Cloud Platform 上の、侵害されたリソースから発生していた。

Zscaler の顧客情報が侵害された：Salesloft の脆弱性に関連するインシデントが止まらない

Zscaler data breach exposes customer info after Salesloft Drift compromise

2025/09/01 BleepingComputer — サイバー・セキュリティ企業 Zscaler が発したのは、Salesforce インスタンスにアクセスした脅威アクターが、サポート・ケースの内容を含む顧客情報を盗み出すという、同社が受けた侵害に関する警告である。この問題は、Salesforce に統合された Salesloft と Drift への侵害に起因する。攻撃者は OAuth トークンとリフレッシュ・トークンを盗み出し、顧客の Salesforce と Drift の環境にアクセスして機密データを窃取した。Zscaler はアドバイザリにおいて、このサプライチェーン攻撃により Salesforce インスタンスが影響を受け、同社の顧客情報が漏洩したと述べている。

Salesforce がフォレンジック・ガイドを発行：サイバー攻撃に対するレジリエンスを確立

Salesforce Publishes Forensic Guide After Series of Cyberattacks

2025/09/01 gbhackers — Salesforce が公開したのは、ユーザー組織の Salesforce 環境内で、セキュリティ・インシデントを検出／分析／修復するための、包括的なフォレンジック調査ガイドである。この新しいガイドが対応するのは、アクティビティ・ログ／ユーザー権限／バックアップ・データという、３つの重要な領域におけるベスト・プラクティスを抽出したものである。具体的に言うと、対象となる時間帯での特定ユーザーの行動や、影響を受けたデータといった、重要な質問に答えるための構造化されたフレームワークを提供している。

プロンプト・インジェクションを理解する：AI エージェントの導入つれて拡大する攻撃対象領域

How Prompt Injection Attacks Bypassing AI Agents With Users Input

2025/09/01 CyberSecurityNews — LLM と AI エージェントのコア・アーキテクチャを悪用することで、現代の AI システムにおける最も深刻なセキュリティ脆弱性を突くプロンプト・インジェクション攻撃が、根本的な課題として浮上している。その一方では、自律的な意思決定／データ処理、ユーザー・インタラクションのために、AI エージェントを導入するユーザー組織が増えており、攻撃対象領域が劇的に拡大している。巧妙に細工されたユーザー入力を通じて、サイバー犯罪者たちが AI の挙動を操作するという、新たなベクターが生まれている。

25億人の Gmail ユーザーに Google が警告：Salesforce データ侵害に関する情報の提供と対策の展開

Google Warns 2.5B Gmail Users to Reset Passwords Following Salesforce Data Breach

2025/08/30 CyberSecurityNews — Google が公表したのは、25億人の Gmail ユーザーに対する広範なセキュリティ・アラートの発令であり、アカウント・セキュリティの強化に関する勧告である。その背景にあるのは、Google がサードパーティ製品として使用する、Salesforce システムの１つで発生したデータ侵害である。この、2025年6月に発生したインシデントにより、Google の大規模なユーザー・ベースを狙う、高度なフィッシング攻撃に対する懸念が高まっている。

AppSuite PDF Editor を装うバックドア：Windows システムを侵害して任意のコマンドを実行

AppSuite PDF Editor Exploit Lets Hackers Run Arbitrary Commands

2025/08/29 gbhackers — AppSuite PDF Editor に巧妙なバックドアを仕掛けた脅威アクターは、Windows システムを侵害し、任意のコマンドを実行できる状況にあった。そのインストール動作を疑問視した AppSuite は、潜在的に迷惑なプログラムとしてフラグ付けしていたが、難読化されていた悪意のコンポーネントが分析されたことで、その本質が明らかになった。

VirusTotal の Code Insight が拡張：逆アセンブル／逆コンパイルされたコード・スニペットを AI で分析

VirusTotal Launches Endpoint That Explains Code Functionality for Malware Analysts

2025/08/29 gbhackers — Virustotal が発表したのは、Code Insight スイートに新たな機能を追加したことである。それは、逆アセンブル／逆コンパイルされたコード・スニペットを受け取り、マルウェア・アナリスト向けの簡潔なサマリと詳細な説明を返すという、専用 API エンドポイントのことである。RSA 2023 における Code Insight の発表から２年以上を経ているが、この公開されたエンドポイントは、リバース・エンジニアリング・ワークフローの自動化と、AI ドリブン分析を、逆アセンブル・ツールにダイレクト統合する大きな進展である。

ScreenConnect を武器化する攻撃キャンペーンが発覚：ユーザーを騙して Xworm RAT を展開

Weaponized ScreenConnect RMM Tool Tricks Users into Downloading Xworm RAT

2025/08/29 CyberSecurityNews — 正規のリモート管理ツール ScreenConnect を武器化する攻撃キャンペーンにおいて、巧妙な多段階の感染チェーンを介して Xworm リモートアクセス型トロイの木馬 (RAT) が展開されていたことが、先日に TrustwaveのSpiderLabs チームが実施したAdvanced Continual Threat Hunt (ACTH) により明らかになった。この攻撃者は、AI をテーマにした偽コンテンツを用いて、デジタル署名を操作することで、EDR (Endpoint Detection and Response) アラートを回避していたが、人間による脅威ハンティングにより隠されたペイロードが発見された。

LLM-Based コーディングへの提言：危険なサンプル・コードの学習を想定すべきだ

New Research and PoC Reveal Security Risks in LLM-Based Coding

2025/08/28 gbhackers — 2025年8月22日に公開された詳細なブログ記事によると、最近の調査で明らかになったものに、LLM のみを用いて生成されたアプリケーション・コードにおける、深刻なセキュリティ脆弱性の可能性についての指摘がある。この調査が強調するのは、広範なインターネット・データを学習した、つまり、安全ではない可能性のあるサンプル・コードを学習した LLM が、開発者に対して潜在的なリスクを警告することなく、安全が確保されていないパターンを複製していくという問題点である。

Microsoft Teams のサービス障害：Office ドキュメントへの直接アクセスが不能という問題

Microsoft Teams Flaw Prevents Users From Accessing Embedded Office Files

2025/08/28 gbhackers — Microsoft Teams に大規模なサービス障害が発生しており、このプラットフォームに埋め込まれた Office ドキュメントに、世界中のユーザーがアクセスできない状況となっている。この問題は表面化し始めており、シームレスなドキュメント統合に依存するユーザー組織のワークフローに、深刻な中断が生じている。

Salesloft Drift の OAuth Token 悪用：大規模な SOQL クエリにより機密情報が流出

Hackers Abuse Compromised OAuth Tokens to Access and Steal Salesforce Corporate Data

2025/08/27 gbhackers — Google Threat Intelligence Group (GTIG) が発表したのは、Drift 統合を介した Salesforce インスタンスを標的とする、広範なデータ窃取作戦に関するアドバイザリである。2025年8月8日以降において脅威アクター UNC6395 は、Salesloft Drift アプリに関連付けられた有効なアクセス／リフレッシュ・トークンを悪用し、認証済みの接続アプリユーザーとして不正な接続を行っていた。さらに、大規模な SOQL クエリを実行し、Accounts／Opportunities／Users／Cases など主要な Salesforce オブジェクトから、レコードをエクスポートしていた。

OpenAI を悪用するランサムウェア PromptLock：標的のシステム上で攻撃用の Lua スクリプトを作成

First AI Ransomware ‘PromptLock’ Uses OpenAI gpt-oss-20b Model for Encryption

2025/08/26 CyberSecurityNews — 新たなランサムウェアが確認された。どのようなものかと言うと、ローカル AI モデルを介して悪意のコンポーネントを生成するものであり、史上初のランサムウェアの種類であると考えられている。ESET Research Team により “PromptLock” と名付けられたマルウェアは、Ollama API を介して OpenAI の gpt-oss:20b モデルを利用し、攻撃チェーン用のカスタム・クロス・プラットフォーム Lua スクリプトを作成する。

WinRAR のゼロデイ脆弱性 CVE-2025-6218／8088：ポストエクスプロイトを想定して取るべき行動とは？

WinRAR 0-Day Vulnerabilities Exploited in Wild by Hackers – Detailed Case Study

2025/08/26 CyberSecurityNews — WinRAR において発見された２件の深刻なゼロデイ脆弱性だが、すでに積極的な悪用が始まっており、サイバー・セキュリティ情勢に深刻な影響が生じている。脆弱性 CVE-2025-6218 (CVSS：7.8)／CVE-2025-8088 (CVSS：8.4) は、細工されたアーカイブ・ファイルを配信する脅威アクターに対して、リモート・コード実行と永続的アクセスを許す攻撃ベクターを持つ。この状況が示すのは、圧縮ソフトウェアを常に最新に保ち、ファイル処理プロセスに堅牢なセキュリティ対策を実装することの重要性である。

武器化された PuTTY が Bing で配布：永続化されたバックドアから Kerberos と AD を攻撃

Weaponized PuTTY Via Bing Ads Exploit Kerberos and Attack Active Directory Services

2025/08/26 CyberSecurityNews — Microsoft Bing 上のスポンサード検索結果を悪用する、マルバタイジング・キャンペーンにより武器化された PuTTY が配信されている。この悪意の PuTTY は、永続性を確立し、キーボードによる操作を可能にするものであり、Active Directory サービス・アカウントを標的とする Kerberoasting 攻撃を実行できる。LevelBlue の MDR SOC が公開した調査結果によると、検索広告と SEO ポイズニングを介して配布された、トロイの木馬化された管理ツールに関連する Oyster／Broomstick バックドア追跡調査により、悪意の PuTTY 展開が裏付けられているという。

YouTube 動画の偽ダウンロード・サイトで DigitalPulse／Honeygain／Infatica の亜種が拡散：新たなプロキシウェア脅威とは？

Proxyware Malware Poses as YouTube Video Download Site, Delivering Malicious JavaScript

2025/08/26 gbhackers — YouTube 動画の偽ダウンロード・ページを介して、プロキシウェア・マルウェアを拡散する攻撃が継続的に行われていることを、AhnLab Security Intelligence Center (ASEC) のサイバー・セキュリティ研究者たちが発見した。正規の動画ダウンロード・サービスを模倣する攻撃者は、WinMemoryCleaner などの正規のツールを装う悪意の実行ファイルを、ユーザーにインストールさせるよう促す。この攻撃者は、GitHub をマルウェアのホスティングに悪用するという、過去の事例と共通する手口を採用しており、特に韓国で感染が拡大している。

SendGrid を悪用するハッカーたち：巧みなフィッシングでログイン資格情報を窃取していく

Hackers Exploit SendGrid to Steal User Login Credentials in Latest Attack

2025/08/25 gbhackers — 信頼性の高いクラウド・メール・サービス SendGrid を悪用したフィッシング・メールの送信により、認証情報を不正に収集する攻撃の急増を、Cofense – Phishing Defense Center (PDC) サイバー・セキュリティ研究者たちが確認している。問題とされるのは、トランザクションやマーケティングで広く利用される、SendGrid への信頼を悪用する攻撃であり、そこでは、標準的なメール・セキュリティ・ゲートウェイを回避するメッセージが作成されている。

Gmail Phishing の進化：人間に加えて AI ベースの防御システムを操作する？

New Gmail Phishing Attack Uses AI Prompt Injection to Evade Detection

2025/08/24 CyberSecurityNews — これまでのフィッシングは、人を欺くことを常としてきた。しかし、今回のキャンペーンで明らかになったのは、攻撃者はユーザーを標的にするだけでなく、AI ベースの防御システムも操作しようとしたことだ。これは、先週に報告した Gmail フィッシング・チェーンの進化形である。先週のキャンペーンで悪用されていたのは、緊急性のアピールと巧みなリダイレクトだったが、今回は自動分析を混乱させるための、隠された AI プロンプトが導入されている。