Google Introduces Advanced Ransomware Defense and Recovery Features in Drive
2026/03/31 gbhackers — Google が公表したのは、Google Drive 向けのランサムウェア検知/ファイル復元の機能を、ベータ版から正式版へと移行し、グローバルに提供を開始したことだ。これらのセキュリティ機能は、個人/企業のエンドポイントに対するマルウェア攻撃の破壊的影響を最小化することを目的として設計されたものであり、2025年09月の時点でベータ提供が開始されていた。
Continue reading “Google Drive のランサムウェア対策:脅威の検知/ファイルの復元が正式提供”Google Warns Ransomware Actors Are Shifting Tactics as Profits Fall and Data Theft Rises
2026/03/17 CyberSecurityNews — 2025年のランサムウェア脅威は、新たな段階と状況に突入した。かつては、被害者のファイルを暗号化し身代金を回収するという、高い収益性を持つ犯罪ビジネス・モデルであったが、現在は深刻な財務上の圧力に直面している。身代金支払い率は過去最低を記録し、平均要求額は大幅に低下し、ユーザー組織による復旧も効果的に進んでいる。それにもかかわらず、脅威アクターたちは撤退していないと、Google Cloud の最新レポートは指摘している。
Continue reading “2025年のランサムウェアを総括:身代金収益の低下とビジネスモデルの変化 – Google”Japanese Semiconductor Supplier Hit by Ransomware, Multiple Systems Impacted
2026/02/22 gbhackers — 半導体試験装置の主要サプライヤーである Advantest Corporation は、先週末に同社ネットワークを襲ったランサムウェア攻撃への対応を進めている事実を明らかにした。このインシデントは、2026年2月15日 (JST) に検知され、複数システムへの影響による混乱を招いた。AI チップから自動運転車までを製造するテック大手企業へ波及し得るサプライチェーン攻撃として、世界の半導体業界に警鐘を鳴らしている。
Continue reading “Advantest がランサムウェア攻撃に遭遇:半導体サプライチェーンへの波及が懸念される”Beyond CVE China’s Dual Vulnerability Databases Reveal a Different Disclosure Timeline
2026/02/19 CyberSecurityNews — 中国における独自の脆弱性公開エコシステムの台頭が、グローバルな脅威環境に複雑な層を加えている。国際的に使用されている集中型 CVE システムとは異なり、中国では CNVD と CNNVD という 2 つの独立したデータベースが維持されている。この両者には、公開タイムラインと優先順位において違いがある。この二重構造により、西側の防御側から可視化されない脆弱性が、長期間にわたり静かに存在するという状況が生じている。
Continue reading “中国における脆弱性管理:戦略的な遅延による情報ギャップが CVE の武器化を促す?”Everest Ransomware Claims 90GB Data Theft Involving Legacy Polycom Systems
2026/02/03 hackread — Everest ランサムウェア・グループが公表したのは、Polycom のシステムに関連するデータを侵害したとする犯行声明である。Polycom は、2022年に HP Inc に買収され、その後に Poly (HP Poly) として再ブランド化された、レガシーなエンタープライズ通信ブランドである。Everest の主張は、約 90GB の内部データを取得したというものだ。ただし、入手した証拠から示唆されるのは、HP Inc による買収が行われる前の、Polycom のエンジニアリング環境/開発環境に由来する可能性が高いことである。
Continue reading “HP Polycom から 90GB のデータを窃取:Everest ランサムウェアが犯行声明を公表”Hackers Target MongoDB Instances to Delete Databases and Plant Ransom Notes
2026/02/02 gbhackers — MongoDB データベースを標的とする、大規模なランサムウェア・キャンペーンが継続している。認証制御が設定されていないミスコンフィグ状態で、インターネットに露出した多数のサーバが、世界的に侵害され続けている。最近の調査により、機会主義的な脅威アクターが自動化スクリプトを用いてデータベースを消去し、Bitcoin による身代金を要求していることが明らかになった。コンフィグの不備が、スケーラブルな恐喝オペレーションへと転化している。
Continue reading “MongoDB のミスコンフィグを狙うランサムウェア:データの削除と $500 の身代金”LLMs Supercharge Ransomware Speed, Scale, and Global Reach
2026/01/14 gbhackers — LLM は、ランサムウェア攻撃を根本から変革するものではない。しかし、攻撃の速度/規模/多言語対応能力といった点での進化により、脅威のランドスケープを大幅に加速させている。SentinelLABS の調査によると、偵察/フィッシング/ツール支援、データトリアージ/身代金交渉といった複数の工程で攻撃者は LLM を活用しており、より高速でノイズの多い脅威環境を形成している。それにより防御側にとっては、新たな脅威に対する迅速な対応が不可欠となっている。
Continue reading “LLM がランサムウェアを強化:攻撃の速度/規模/範囲が大きく変化している”2025/12/24 InfoSecurity — 2025年におけるランサムウェアの摘発や、サイバー犯罪対策に関連する法執行活動は、2024年と比べて大きく減少した。その一方で、強固に組織化されていないグループである Scattered Spider/Lapsus$/ShinyHunters などが、2025年のニュースの見出しを占めた。ただし、従来型のランサムウェア・シンジケートも、年間を通じて活動を継続している。
Continue reading “ランサムウェア 2025 統計:追跡 Web サイト Ransomware.live と RansomLook は何を示す?”New Research Uncovers the Alliance Between Qilin, DragonForce and LockBit
2025/12/19 CyberSecurityNews — 3つの主要ランサムウェア・グループが連携を発表した。サイバー・セキュリティ専門家は、これを犯罪アンダーグラウンドにおいて最も懸念される動向の一つと指摘している。2025年9月15日、ランサムウェア・グループ DragonForce は、ロシアのアンダーグラウンド・フォーラムへの投稿を通じて、DragonForce/Qilin/LockBit による同盟 (カルテル) の結成を発表した。この連合は、近年、国際的な法執行機関の圧力により複数の主要ランサムウェア組織が壊滅的な打撃を受けた状況に対する戦略的対応であり、エコシステムが直面する課題に対処する目的で結成されたと明記されている。
Continue reading “主要ランサムウェアが同盟:DragonForce/Qilin/LockBit が犯罪エコシステムを再編”Clop Ransomware Group Exploiting Gladinet CentreStack Servers to Steal Data
2025/12/19 CyberSecurityNews — Clop ランサムウェア・グループが開始した新たなデータ恐喝キャンペーンは、インターネットに接続された Gladinet CentreStack ファイル・サーバを標的とするものだ。この攻撃は、ファイル転送ソリューションを標的とした新たな侵害パターンであり、脅威アクターによる手口の巧妙化を示している。このキャンペーンでは、Gladinet の CentreStack/Triofox に存在する複数のセキュリティ脆弱性が悪用されているようだ。その中には、最近になって発見された脆弱性も含まれ、それを悪用する攻撃者による、企業の機密データへの不正アクセスが可能になっているようだ。
Continue reading “Gladinet CentreStack の脆弱性 CVE-2025-11371/14611:Clop ランサムウェアによる悪用を確認”Askul data breach exposed over 700,000 records after ransomware attack
2025/12/17 SecurityAffairs — Askul が発表したのは、10月19日にランサムウェア攻撃を検知したこと、および、この攻撃を実行した脅威アクターが、同社のインフラにアクセスして機密データを窃取したという事実である。Askul は、企業/消費者向けにオフィス用品/文房具/IT 機器/日用品などを供給する日本の e コマースおよび物流企業であり、日本全国で大規模な受注/配送サービスを運営している。同社は、LOHACO を運営し、Yahoo! JAPAN エコシステムの一員でもある。
Continue reading “Askul におけるデータ侵害が報告される:約 70万件のデータ漏洩とRansomHouse の主張”LLM-Driven Automation: A New Catalyst for Ransomware and RaaS Ecosystems
2025/12/16 gbhackers — LLM のランサムウェア・エコシステムへの統合に関する包括的な評価を、SentinelLABS が発表した。現時点では、AI により戦術が根本的に変革された状況は確認されていないが、運用ライフサイクルは著しく加速していると、このレポートは結論付けている。この調査が示しているのは、測定可能なメトリクスである攻撃速度/攻撃量/多言語対応の向上が、低スキル攻撃者の参入障壁を引き下げると同時に、既存グループのワークフローを最適化することで、脅威環境を再形成している点である。
Continue reading “LLM 時代のランサムウェア進化:AI 悪用による攻撃ライフサイクルの短縮など”Akira Group Targets Hyper-V and VMware ESXi with Ransomware Exploiting Vulnerabilities
2025/12/09 gbhackers — 現代の企業 IT において、目に見えないバックボーンとして機能しているハイパーバイザーが、ランサムウェア集団の新たな主戦場となっている。Huntress の最新データによると、ランサムウェアを仕掛ける下準備として、ハイパーバイザーを標的とする攻撃が 2025 年後半に急増している。
Continue reading “Akira が標的にする Hyper-V と ESXi:3% から 25% に急増した攻撃試行”Asahi Confirms 1.5 Million Customers Affected in Major Cyber-Attack
2025/11/27 InfoSecurity — 2025年9月に大規模なサイバー攻撃を受けたビール大手の Asahi Beer は、約 200万人分の個人情報が漏洩した可能性があると発表した。11月27日に発表した新たな報告で述べられたのは、9月と10月の一時的な操業停止につながった、サイバー攻撃に関する調査の初期結果である。
Continue reading “Asahi が認めた顧客データ 150万人分の流失:Qilin ランサムウェアが犯行を主張”Canon Says Subsidiary Impacted by Oracle EBS Hack
2025/11/25 SecurityWeek — 画像/光学の大手である Canon が認めたのは、最近の Oracle E-Business Suite (EBS) ハッキング攻撃の標的となったことだ。ただし、調査の結果として、この攻撃は Canon USA の子会社に限定されていることが判明したと、同社は声明で述べている。Canon は、「この攻撃が影響を与えた範囲は Web サーバのみであり、すでにセキュリティ対策を講じ、サービスを再開した。他への影響がないことを確認するために、引き続き調査を進めている」と述べている。
Continue reading “Canon に Clop ランサムウェア攻撃:広がる Oracle EBS ハッキング・キャンペーンの被害者 “Akira RaaS Targets Nutanix VMs, Threatens Critical Orgs
2025/11/15 DarkReading — 複数の米欧政府機関が公表したのは、最近の Akira ランサムウェアの活動が、重要インフラに差し迫った脅威を及ぼしているという警告である。その一方で、大半のサイバー犯罪グループと同様に、Akira Ransomware-as-a-Service (RaaS) は中小企業 (SMB) を標的にする傾向がある。また、医療/製造/農業といった重要分野の大企業も標的としている。
Continue reading “Akira ランサムウェアの活動が急拡大:Nutanix 仮想マシンの標的化と重要インフラの侵害”Clop Ransomware Group Allegedly Claims Breach of Entrust in Oracle 0-Day EBS Hack
2025/11/14 CyberSecurityNews — デジタル・セキュリティ企業 Entrust への侵入を、悪名高い Clop ランサムウェア・グループが主張している。この攻撃で悪用されたのは、Oracle E-Business Suite (EBS) の深刻なゼロデイ脆弱性 CVE-2025-61882 であり、Oracle のエンタープライズ・ソフトウェアを利用する組織を標的にした、Clop の継続的な攻撃の姿勢を示している。
Continue reading “Oracle EBS のゼロデイ CVE-2025-61882 を悪用:Clop ランサムウェアが Entrust 侵害を主張”Threat Actors Leveraging RDP Credentials to Deploy Cephalus Ransomware
2025/11/08 CyberSecurityNews — Cephalus という新たなランサムウェア・グループが、Remote Desktop Protocol (RDP) インフラのセキュリティ上の欠陥を悪用し、持続的かつ金銭目的の脅威をもたらしていることを、2025年6月中旬に AhnLab の研究者が確認した。このグループは盗み出した RDP の認証情報を悪用し、ネットワークに侵入して強力な暗号化攻撃を展開し、世界中の組織に重大な脅威を与えているという。
Continue reading “RDP 認証情報を悪用:Cephalus ランサムウェアを展開する脅威アクターの手口とは?”Threat Actors May Abuse VS Code Extensions to Deploy Ransomware and Use GitHub as C2 Server
2025/11/07 CyberSecurityNews — 開発者向けエクステンションを感染経路として悪用する北朝鮮の脅威アクターが、その攻撃戦略を進化させている。最近のセキュリティ調査によると、2012年から活動する国家支援グループ Kimsuky は、 JavaScript ベースのマルウェアを用いてシステムに侵入し、永続的な Command-and-Control (C2) インフラを構築しているという。これまでの攻撃は、政府機関/シンクタンク/専門家を標的とする活動に集中していたが、今回のキャンペーンが示すのは、技術力の拡大とサプライチェーン攻撃の高度化である。
Continue reading “VS Code エクステンションを悪用する Kimsuky:ランサムウェアと永続化のためのキャンペーンとは?”Clop Ransomware Group Exploits New 0-Day Vulnerabilities in Active Attacks
2025/11/05 gbhackers — Clop ランサムウェア・グループが、世界中の企業組織に対して深刻な脅威をもたらしている。Ravenfile の最新調査により明らかになったのは、Oracle E-Business Suite の深刻なゼロデイ脆弱性を悪用していることだ。2019 年初頭から活動している Clop は、最も活発かつ高度なランサムウェア集団の一つとして確固たる地位を築いており、活動が開始されてから 1,025件を超える組織を標的とし、$500 million 以上の金銭を脅し取っている。
Continue reading “Clop ランサムウェア:判明した Oracle EBS の脆弱性 CVE-2025-61882 の積極的な悪用”Akira Ransomware Allegedly Claims Theft of 23GB in Apache OpenOffice Breach
2025/11/01 CyberSecurityNews — Akira ランサムウェア・グループが発表したのは、2025年10月29日に Apache OpenOffice のシステムへの侵入に成功し、23GB の機密性の高い企業データを盗み出したという主張である。強硬な二重恐喝戦術で知られる同グループは、ダークウェブ上のリークサイトに詳細を掲載し、身代金が支払われない限り情報を公開すると脅迫している。このインシデントが浮き彫りにするのは、高度なサイバー脅威が蔓延する時代においては、非営利ソフトウェア財団でさえ深刻なリスクに直面するという現実である。
Continue reading “Akira ランサムウェアによる Apache OpenOffice 侵害:23GB の機密データ流出の主張とは?”Qilin Ransomware Exploits MSPaint and Notepad to Locate Sensitive Files
2025/10/27 gbhackers — 2025年後半に Qilin (旧称 Agenda) ランサムウェア・グループは、ファイル暗号化と公開データ漏洩の二重恐喝戦略を軸とする攻撃キャンペーンにより、製造/科学サービス/卸売などの業種を中心に毎月 40件以上の被害者情報を公開し、世界で最も影響力のあるランサムウェア集団の一つに躍り出た。
Continue reading “Qilin ランサムウェアの攻撃手法を分析:MS ペイント/メモ帳の悪用による情報窃取と二重恐喝”Retail giant Muji halts online sales after ransomware attack on supplier
2025/10/20 BleepingComputer — 日本の小売企業 Muji が発表したのは、配送パートナーの Askul が受けたランサムウェア攻撃が原因となり、オンライン・ストアが停止したという声明である。日本時間の 10月19日 (日) に Muji は、「すべての小売サービスにおいて、オンラインストアでの閲覧と購入/アプリを介した注文履歴の確認/一部の Web コンテンツの表示などに問題が生じている」と発表した。
Continue reading “無印良品に影響を及ぼしたサプライチェーン攻撃:オンラインストアなどに影響”Qilin Ransomware Leverages Ghost Bulletproof Hosting for Global Attacks
2025/10/16 gbhackers — 活発化し続ける RaaS (ransomware-as-a-service) である Qilin ランサムウェアが、防弾ホスティング (BPH:bulletproof hosting) プロバイダーの秘密ネットワークに依存することで、世界的な恐喝キャンペーンを強化している。多くのケースにおいて、これらの不正ホスティング・サービス企業は、地政学的に法執行や規制の及びにくい区域に本社を置き、複雑なダミー会社の構造を介して運営されている。したがって、Qilin の運営者やアフィリエイトは罰せられることもなく、マルウェア/データ漏洩サイト/C2 (Command and Control) インフラをホスティングできている。
Continue reading “Qilin ランサムウェアと BPH の共存:Asahi Group を混乱させた破壊力の背景とは?”SonicWall SSL VPN Devices Targeted by Threat Actors to Distribute Akira Ransomware
2025/10/10 gbhackers — SonicWall SSL VPN のパッチ未適用のデバイスを悪用する Akira ランサムウェア攻撃の急増が、2025年7月から8月にかけて確認されている。すでにパッチがリリースされているが、数多くの組織が依然として脆弱な状態にあり、脅威アクターによる初期アクセスの取得と、Akira の二重脅迫スキームの実行が懸念されている。2025年8月20日に Darktrace が検出したのは、米国の顧客ネットワークにおける異常なネットワーク・スキャンと偵察活動である。
Continue reading “SonicWall SSL VPN の脆弱性 CVE-2024-40766:Akira ランサムウェアが攻撃”Microsoft: Critical GoAnywhere bug exploited in ransomware attacks
2025/10/06 BleepingComputer — GoAnywhere MFT の深刻な脆弱性を積極的に悪用するサイバー犯罪グループ Storm-1175 が、約1ヶ月間にわたって Medusa ランサムウェア攻撃を仕掛けている。この脆弱性 CVE-2025-10035 は、Web ベースのセキュア転送ツール GoAnywhere MFT に存在し、License Servlet における信頼できないデータのデシリアライズの欠陥に起因するものだ。ユーザーの操作を必要としない複雑性の低い攻撃により、この脆弱性がリモートから悪用される可能性がある。
Continue reading “GoAnywhere の脆弱性 CVE-2025-10035 を悪用:Medusa ランサムウェア攻撃を Microsoft が検知”Cybercriminals Target SonicWall Firewalls to Deploy Akira Ransomware via Malicious Login Attempts
2025/09/29 gbhackers — 侵害済の SonicWall SSL VPN 認証情報を悪用して、4時間以内に Akira を拡散させるという迅速な攻撃に、セキュリティ・チームは直面している。それは、同種の脅威として最短の滞留時間の記録である。この攻撃では、認証が成功 (多くはホスティング関連 ASN からの発信) した後の数分でポートスキャンが始まり、Impacket SMB ツールを悪用する探索が行われ、多様な環境に Akira が展開される。
Continue reading “SonicWall ファイアウォールを標的とする攻撃:Akira ランサムウェアによるログイン試行を分析”Threat Actors Exploit Oracle Database Scheduler to Infiltrate Corporate Networks
2025/09/22 gbhackers — Oracle Database Scheduler の外部ジョブ機能を悪用する脅威アクターが、企業のデータベース・サーバ上で任意のコマンドを実行している。それにより、ステルス性の高い初期攻撃の足掛かりが確立され、迅速な権限昇格を可能にする。攻撃者は “extjobo.exe” 実行ファイルを利用して、エンコードされた PowerShell コマンドの実行、Ngrok による暗号化トンネルの確立、ランサムウェアの展開を行い、強力なクリーンアップ・ルーチンにより検出を回避している。最近のインシデント対応で確認されたのは、SYS ユーザーとして繰り返し接続を試みる攻撃者が、公開されている Oracle Database インスタンスを標的としていたことだ。
Continue reading “Oracle Database Scheduler の悪用:脅威アクターによるランサムウェア展開とネットワーク侵入”First-ever AI-powered ‘MalTerminal’ Malware Uses OpenAI GPT-4 to Generate Ransomware Code
2025/09/20 CyberSecurityNews — MalTerminal と呼ばれる AI 搭載マルウェアは、OpenAI の GPT-4 モデルを悪用することでランサムウェアやリバースシェルなどのコードを動的に生成し、脅威の開発と展開の方法に重大な変化をもたらしている。この発見は、AI 搭載マルウェア PromptLock の分析に続くものであり、攻撃者が大規模言語モデル (LLM) を武器化する明確な傾向を示している。
Continue reading “AI 搭載マルウェア MalTerminal の発見:GPT-4 を悪用してランサムウェアを生成”First AI Ransomware ‘PromptLock’ Uses OpenAI gpt-oss-20b Model for Encryption
2025/08/26 CyberSecurityNews — 新たなランサムウェアが確認された。どのようなものかと言うと、ローカル AI モデルを介して悪意のコンポーネントを生成するものであり、史上初のランサムウェアの種類であると考えられている。ESET Research Team により “PromptLock” と名付けられたマルウェアは、Ollama API を介して OpenAI の gpt-oss:20b モデルを利用し、攻撃チェーン用のカスタム・クロス・プラットフォーム Lua スクリプトを作成する。
Continue reading “OpenAI を悪用するランサムウェア PromptLock:標的のシステム上で攻撃用の Lua スクリプトを作成”Splunk Release Guide for Defenders to Detect Suspicious Activity Before ESXi Ransomware Attack
2025/08/14 CyberSecurityNews — VMware ESXi インフラを標的とする攻撃を検知し、ランサムウェアによる壊滅的な被害を引き起こされる前に防御するための、詳細なセキュリティ・ガイドが、Splunk からサイバー・セキュリティ・チームに対して公開された。このガイドは、VMware の ESXi ハイパーバイザー・システムに対する、脅威の高まりに対応するために作成されたものだ。これらの標的とされるシステムは、集中管理されたシステムであり、多くの場合において監視が不十分であり、サイバー犯罪者たちの主要なターゲットとなっている。
Continue reading “VMware ESXi へのランサムウェア攻撃を検知/防止:Splunk がリリースするセキュリティ・ガイドとは?”Akira Ransomware Uses Windows Drivers to Bypass AV/EDR in SonicWall Attacks
2025/08/06 CyberSecurityNews — 先日に発見された SonicWall VPN を標的とする攻撃キャンペーンにおいて、脅威アクターたちは Windows ドライバを悪用し、Anti-Virus/EDR システムを回避しているという。この攻撃は 2025年7月下旬から8月上旬にかけてエスカレートしており、侵害後の持続性確保と検出回避のために、脅威アクターが戦術を高度化させている実態を示している。
Continue reading “SonicWall VPN を標的とする攻撃:Akira ランサムウェアが用いる BYOVD 手法を解析”Ransomware gangs join attacks targeting Microsoft SharePoint servers
2025/08/04 BleepingComputer — Microsoft SharePoint の脆弱性を狙う継続的な攻撃に、ランサムウェア・グループが加わった。この攻撃は、広範なエクスプロイト・キャンペーンの一環とされるものであり、世界中で少なくとも 148 の組織が被害を受けている。SharePoint に対するエクスプロイト・チェーン ToolShell に関連する複数のインシデントを分析する中で、Palo Alto Networks の Unit 42 に所属するセキュリティ研究者たちが確認したのは、オープンソースの Mauri870 コードに基づく 4L4MD4R ランサムウェアの亜種である。
Continue reading “Microsoft SharePoint の脆弱性悪用が拡大:4L4MD4R ランサムウェアによる侵害を確認”SonicWall Firewall Devices 0-day Vulnerability Actively Exploited by Akira Ransomware
2025/08/02 CyberSecurityNews — SonicWallファイアウォール・デバイスに存在すると推定されるゼロデイ脆弱性を、Akira ランサムウェアグループが積極的に悪用しているようだ。この脆弱性を悪用する攻撃者は、SonicWall の SSL VPN 機能を介して企業ネットワークへの初期アクセスを取得し、その後にランサムウェアを展開することが可能となる。2025年7月下旬にセキュリティ研究者たちが確認したのは、SonicWall デバイスを悪用するランサムウェア攻撃の大幅な増加である。既知の脆弱性に対するパッチが完全に適用されていても、ファイアウォールへの侵入が成功した事例が存在するため、ゼロデイ脆弱性の存在が示唆される状況になっている。
Continue reading “SonicWall Firewall の未知のゼロデイが狙われている:Akira ランサムウェアによる侵害の拡大とは?”Ransomware Deployed in Compromised SharePoint Servers
2025/07/24 InfoSecurity — Microsoft SharePoint の脆弱性を悪用する、中国を拠点とする脅威アクターが、侵害済のシステムにランサムウェアを展開していることが確認されている。7月23日のインシデント・アップデートにおいて、Microsoft が明らかにしたのは、Storm-2603 として追跡している脅威グループが、オンプレミスの SharePoint サーバを悪用し、Warlock ランサムウェアを配布している状況である。それに加えて Microsoft は、影響を受ける可能性のある組織に対して、ランサムウェア対策を取り込んだ緩和策の拡充を勧告している。
Continue reading “SharePoint の脆弱性 CVE-2025-53770:ToolShell チェーンによるランサムウェア展開を確認”213% Increase in Ransomware Attacks Targeting Organizations With First Quarter of 2025
2025/07/03 CyberSecurityNews —2025年 Q1 のランサムウェア攻撃が、前例のない急増を見せている。Optiv の調査によると、74 箇所のデータ漏洩サイトに記載された 2,314件の被害者は、前年同期の 1,086件と比べて 213% の増加となっている。この急激な増加は、2024年の横ばいとも言えるランサムウェア動向から、大きく乖離するものである。2024年のランサムウェア攻撃の特徴は、被害者を増やすキャンペーンよりも、高価値の被害者に標的を絞り込むところにあったようだ。
Continue reading “2025 Q1 ランサムウェア調査:サプライチェーンを介して倍増した被害者と Cl0p の台頭”Attackers exploit Fortinet flaws to deploy Qilin ransomware
2025/06/06 SecurityAffairs — 2025年5月〜6月に Qilinランサムウェア (別名 Phantom Mantis) グループが、FortiGate の脆弱性 CVE-2024-21762/CVE-2024-55591 などを悪用し、複数の組織を標的にしていると、脅威インテリジェンス企業 PRODAFT が警告している。同社が発表したレポートには、「Phantom Mantis は、2025年5月から6月にかけて、複数の組織を標的とする組織的な侵入キャンペーンを展開している。イニシャル・アクセスで悪用されるのは、FortiGate の脆弱性 CVE-2024-21762/CVE-2024-55591 などである」と記載されている。
Continue reading “Qilin ランサムウェア:FortiGate の脆弱性 CVE-2024-21762/55591 を悪用”Play ransomware group hit 900 organizations since 2022
2025/06/06 SecurityAffairs — 米国の FBI および CISA とオーストラリア ASD 傘下の ACSC (Australian Cyber Security Centre) による共同勧告によると、これまでの3年間において Play ランサムウェアは約 900もの組織を攻撃したとのことだ。2022年6月から活動を開始した Play ランサムウェア・グループだが、その被害者リストには、オークランド市/Rackspace/オランダの海上物流会社 Royal Dirkzwager などが含まれている。
Continue reading “Play ランサムウェアの現状:2022 年からの3年間で 900の組織を攻撃 – FBI/CISA”Hackers Exploit Craft CMS Vulnerability to Inject Cryptocurrency Miner Malware
2025/05/27 gbhackers — Craft Content Management System (CMS) に存在する、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2025-32432 を、脅威アクターたちが悪用しているという。この脆弱性は、2025年2月中旬に Orange Cyberdefense により発見され、その後の 2025年4月25日に公開されたものだ。認証を必要としないため、深刻度を表す CVSS スコア 10.0 と評価されている。
Continue reading “Craft CMS の脆弱性 CVE-2025-32432:暗号通貨マイナーやランサムウェア展開で悪用”DragonForce Ransomware Hackers Exploiting SimpleHelp Vulnerabilities
2025/05/27 SecurityWeek — マルウェア対策企業 Sophos の警告によると、SimpleHelp インスタンスの脆弱性を悪用する攻撃者により、身元不明の MSP (managed service provider) と顧客が侵害され、DragonForceランサムウェアに感染したようだ。このランサムウェア攻撃者は、イニシャル・アクセスのために、リモート監視および管理 (RMM:remote monitoring and management) ソフトウェアの3つの脆弱性を連鎖的に利用したと、Sophos は考えている。
Continue reading “DragonForce ランサムウェア:MSP が展開する SimpleHelp の脆弱性を侵害して顧客に到達”DragonForce Engages in “Turf War” for Ransomware Dominance
2025/05/23 InfoSecurity — サイバー犯罪市場における優位性を確立しようとする DragonForce が、ライバルのランサムウェア・オペレーターとの縄張り争いを繰り広げていることが、Sophos の最新調査により明らかになった。2025年3月下旬に RansomHub のインフラが停止した事件にも、この DragonForce が関与している模様だ。この事件は、4月のランサムウェア攻撃件数の大幅な減少に貢献した。この件は、DragonForce から RansomHub に対する、敵対的買収の試みの結果だとも言われている。
Continue reading “DragonForce が RansomHub を敵対的買収? サイバー犯罪グループ間の抗争が激化”SAP NetWeaver RCE: Zero-Day Allows File Uploads, Qilin Ransomware Connection
2025/05/20 SecurityOnline — SAP NetWeaver Visual Composer の深刻な脆弱性 CVE-2025-31324 (CVSS:10) が、情報公開の数週前の時点で、実際に悪用されていたことが、OP Innovate の調査により明らかになった。この脆弱性の悪用については、情報公開後に発生したと考えられていたが、OP Innovate のインシデント対応レポートが、それを覆した。具体的に言うと、ロシア語圏の Ransomware-as-a-Service (RaaS) グループである Qilin が、この攻撃に関与した可能性があるという。
Continue reading “SAP NetWeaver の脆弱性 CVE-2025-31324:Qilin ランサムウェアが積極的に悪用か?”Ransomware Gangs Use Skitnet Malware for Stealthy Data Theft and Remote Access
2025/05/19 TheHackerNews — Skitnetと呼ばれるマルウェアを、ポスト・エクスプロイトで使用する複数のランサムウェア・グループが、機密データを窃取し、侵害したホストをリモート制御しようとしている。スイスのサイバー・セキュリティ企業 PRODAFT は、「Skitnet は、RAMP などのアンダーグラウンド・フォーラムで、2024年4月から販売されている。さらに、2025年の初頭以降においては、複数のランサムウェア攻撃者が、実際の攻撃で Skitnet を使用しているのを確認している」と、The Hacker News に述べている。
Continue reading “Skitnet という多段型インフォ・スティーラーに注意:ステルス性を備え Black Basta ランサムウェアなどを配信”Zero-Day CLFS Vulnerability (CVE-2025-29824) Exploited in Ransomware Attacks
2025/05/07 SecurityOnline — Microsoft の Common Log File System (CLFS) ドライバに存在する、ゼロデイの権限昇格の脆弱性 CVE-2025-29824 を悪用する高度な攻撃を、Symantec の Threat Hunter Team が発見した。この脆弱性を積極的に悪用するのは、Play ランサムウェア (PlayCrypt) を背後で操る、脅威グループ Balloonfly である。2025年4月8日の時点で、脆弱性 CVE-2025-29824 には公式パッチがリリースされているが、それに先行して、この活動は発生していた。
Continue reading “Microsoft CLFS の脆弱性 CVE-2025-29824:ランサムウェア攻撃での積極的な悪用を観測”Hitachi Vantara takes servers offline after Akira ransomware attack
2025/04/28 BleepingComputer — 日本の日立製作所の子会社 Hitachi Vantara だが、4月の最後の週末にかけて、Akira ランサムウェア攻撃を封じ込めるために、サーバのオフライン化を余儀なくされたようだ。同社は、政府機関に加えて、BMW/Telefonica/T-Mobile/China Telecom などの世界有数の企業に対して、データ・ストレージ/インフラ・システム/クラウド管理/ランサムウェア復旧サービスを提供している。
Continue reading “Hitachi Vantara がシャットダウン:Akira ランサムウェアによる攻撃の可能性”Booking.com Phishing Scam Uses Fake CAPTCHA to Install AsyncRAT
2025/04/21 HackRead — 偽の Booking.com メールを使用してホテルのスタッフを狙う、新たなフィッシング・キャンペーンが確認された。この攻撃はソーシャル・エンジニアリングを巧みに利用し、被害者自身のシステム上で悪意のコマンドを実行させ、最終的にホテルのネットワークを AsyncRAT に感染させ、さらなる侵害の拡大を目的とするものだ。
Continue reading “Booking.com を装うフィッシング詐欺:偽の CAPTCHA を使用して AsyncRAT を展開”Initial Access Brokers Shift Tactics, Selling More for Less
2025/04/11 TheHackerNews — アンダーグラウンド市場の仲介業者であるイニシャル・アクセス・ブローカー (IAB:Initial Access Broker) は、コンピュータ・システムやネットワークへの不正侵入を専門とし、そのアクセス権を他のサイバー犯罪者に販売することで利益を得ている。この“役割分担”により、IAB はソーシャル・エンジニアリングやブルートフォース攻撃などの手法を使った脆弱性の悪用という、自身の本業に専念できるというわけだ。
Continue reading “IAB たちの戦術転換:イニシャル・アクセスの低価格/大量販売で攻撃を加速 – Check Point 調査”PipeMagic Trojan Exploits Windows Zero-Day Vulnerability to Deploy Ransomware
2025/04/09 TheHackerNews — Microsoft が明らかにしたのは、Windows Common Log File System (CLFS) に影響を及ぼす、すでに修正済みのセキュリティ脆弱性を、ゼロデイとして悪用するランサムウェア・グループが、標的を絞り込んだ攻撃を仕掛けていることだ。同社は、「この標的には、米国の IT 分野および不動産業界や、ベネズエラの金融業界、スペインのソフトウェア企業、サウジアラビアの小売業界などが含まれる」と述べている。
Continue reading “Windows CLFS の脆弱性 CVE-2025-29824:PipeMagic RAT を介したランサムウェア攻撃で悪用”Microsoft April 2025 Patch Tuesday fixes exploited zero-day, 134 flaws
2025/04/08 BleepingComputer — 今日は Microsoft の April 2025 Patch Tuesday の日だ。今回のパッチでは、134件の脆弱性に対するセキュリティ・アップデートが提供され、その中には、現時点で悪用されているゼロデイ脆弱性1件が含まれる。なお、今回の月例パッチでは、Critical レベルの脆弱性が 11件も修正されているが、そこにはリモートコード実行の脆弱性も含まれている。
Continue reading “Microsoft 2025-04 月例アップデート:1件のゼロデイを含む 134件の脆弱性に対応”Researchers Uncover ~200 Unique C2 Domains Linked to Raspberry Robin Access Broker
2025/03/25 TheHackerNews — Raspberry Robin マルウェアに関連する約 200のユニークな C2 (command-and-control) ドメインが、Silent Push の調査により発見された。Silent Push は、「Raspberry Robin (別名:Roshtyak/Storm-0856) は、複雑で進化し続ける脅威アクターであり、他の犯罪グループに対して初期アクセス・ブローカー (IAB:initial access broker) サービスを提供している。それらのグループの多くは、ロシアとつながりがある」と、 The Hacker News に共有したレポートで述べている。
Continue reading “Raspberry Robin マルウェアの C2 ドメイン 約 200件を特定:ロシアとの関係と EU 経由での拡散”
IoT OT Security News 
You must be logged in to post a comment.