Taiwan – IoT OT Security News

MirrorFace という脅威：強力なカスタム・マルウェアを武器に日本と台湾の組織を狙う

MirrorFace Targets Japan and Taiwan with ROAMINGMOUSE and Upgraded ANEL Malware

2025/05/08 TheHackerNews — MirrorFace として知られる国家主導の脅威アクターが、日本と台湾の政府機関および公的機関を標的とするサイバー・スパイ活動の一環として、ROAMINGMOUSE と呼ばれるマルウェアを展開していることが確認された。2025年3月の時点で Trend Micro が検知した活動は、スピアフィッシングのルアーを用いて、ANEL と呼ばれるバックドアの最新バージョンを配信するものだ。

中国政府と Volt Typhoon：昨年 12月のジュネーブ秘密会談で中国当局が関与を示唆？

China admitted its role in Volt Typhoon cyberattacks on U.S. infrastructure

2025/04/13 SecurityAffairs — 米国当局者が行った中国サイドとの秘密会談で、Volt Typhoon オペレーションに関連する、米国インフラへのサイバー攻撃の実行が、暗に認められたと Wall Street Journal (WSJ) が報じている。同紙によると、2024年12月のジュネーブ首脳会談で、中国当局者は米国のインフラへの Volt Typhoon オペレーションに関連するサイバー攻撃を間接的に認めたという。この攻撃は、米国の台湾支援に関連していると報じられている。

中国ハッカー Weaver Ant：アジアのテレコムへの４年超の不正アクセス

Chinese Hackers Breach Asian Telecom, Remain Undetected for Over 4 Years

2025/03/25 TheHackerNews — 中国の国家支援ハッカーにより４年以上にわたって、あるアジアの大手テレコムがシステム侵入の被害を受けていたことが、インシデント対応企業 Sygnia の最新レポートで明らかになった。Sygnia は、このインシデントを “Weaver Ant” という名称で追跡しており、きわめてステルス性が高く執拗な攻撃者だと述べている。なお、侵入を受けたテレコムの名称は公表されていない。

大規模な SSRF キャンペーンを検出：Grafana のパストラバーサルが偵察に使われている？

Grafana Flaws Likely Targeted in Broad SSRF Exploitation Campaign

2025/03/13 SecurityWeek — 複数の人気プラットフォームにおける、SSRF (Server-Side Request Forgery) を狙う大規模な攻撃の前に、Grafana のパス・トラバーサル脆弱性が悪用されたと、脅威インテリジェンス企業 GreyNoise が報告している。２月の広範から３月の初旬にかけて急増した、SSRF の脆弱性を組織的に悪用するキャンペーンにおいて、Zimbra／GitLab／DotNetNuke／VMware／ColumbiaSoft／Ivanti／BerriAI／OpenBMCS 製品を標的とする 400 以上の IP が観測された。

台湾を攻撃する Silver Fox APT：Winos 4.0 マルウェアと洗練された手口とは？

Silver Fox APT Uses Winos 4.0 Malware in Cyber Attacks Against Taiwanese Organizations

2025/02/27 TheHackerNews — 台湾で新たに発見された攻撃キャンペーンは、同国の国税局を装うフィッシング・メールに潜ませた、Winos 4.0 という名のマルウェアにより、企業を狙うものだ。2025年1月に、この攻撃を検出した Fortinet FortiGuard Labs は、悪意のゲーム関連アプリケーションを介していた、それまでの攻撃チェーンからの脱却を示していると指摘している。

CISA KEV 警告 24/11/25：Array Networks AG／vxAG の脆弱性 CVE-2023-28461 を登録

CISA Urges Agencies to Patch Critical “Array Networks” Flaw Amid Active Attacks

2024/11/26 TheHackerNews — 米国の CISA (Cybersecurity and Infrastructure Security Agency) が、Array Networks AG／vxAG に存在する脆弱性をKEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性 CVE-2023-28461 (CVSS：9.8) は、認証の欠落を原因とするものであり、任意のリモート・コード実行を引き起こす可能性を持つとされる。Array Networks は、2023年3月の時点で、このセキュリティ上の欠陥に対する修正バージョン 9.4.0.484 をリリースしている。

PLANET Switch 製品群の脆弱性 CVE-2024-8456 などが FIX：RCE／DoS などの恐れ

PLANET Technology Switches Face CVE-2024-8456 (CVSS 9.8), Urgent Firmware Updates Advised

2024/09/30 SecurityOnline — 先日に TWCERT/CC が発表したセキュリティ勧告は、PLANET Technology の各種スイッチ・モデルに影響をおよぼす、複数の脆弱性に関するものだ。これらの脆弱性は深刻度に幅があり、リモート・コード実行／不正アクセス／サービス拒否などに至る可能性が生じている。

Cellopoint SEG の脆弱性 CVE-2024-9043 が FIX：機密データが危険にさらされる

CVE-2024-9043 (CVSS 9.8): Cellopoint Secure Email Gateway Flaw Puts Sensitive Data at Risk

2024/09/23 SecurityOnline — Cellopoint Secure Email Gateway (SEG) に存在する脆弱性 CVE-2024-9043 が発見され、企業のメール・システムが重大なセキュリティ・リスクにさらされる可能性が生じている。この脆弱性の深刻度は CVSS スコアで 9.8 と高く評価されており、機密性の高い通信にメールを使用している、組織のセキュリティに与える影響が大きいことが示唆されている。このプラットフォームを使用している組織の管理者は、早急に対処する必要がある。

東南アジアで新たなステルス・テクニック：台湾／フィリピン／ベトナムなどの政府機関に被害 – NTT

Hackers Use Rare Stealth Techniques to Down Asian Military, Gov’t Orgs

2024/08/27 DarkReading — 東南アジアで進行中の攻撃では、政府の高官組織を感染させるために、ほとんど知られていない２つのステルス技術が使用されている。１つ目の “GrimResource” は、Microsoft Management Console (MMC) で攻撃者が任意のコードを実行できるようにするという、新しいテクニックである。２つ目の “AppDomainManager Injection” は、悪意の DLL を使用するものだが、従来のサイドローディングよりも簡単な方法となる。この手法は７年前から存在しており、イランや中国の脅威アクターや、オープンソース・コミュニティにおける侵入テスト担当者などに使用されている。ただし、悪意を持った攻撃で実際に見られることは稀であるという。

CISA KEV 警告 24/08/05：Microsoft の脆弱性 CVE-2018-0824 を登録

CISA adds Microsoft COM for Windows bug to its Known Exploited Vulnerabilities catalog

2024/08/06 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft COM for Windows の信頼できないデータのデシリアライズの脆弱性 CVE-2018-0824 (CVSS：7.5) を、Known Exploited Vulnerabilities (KEV) カタログに追加した。

中国由来の APT41 が台湾政府を侵害：Microsoft の古い脆弱性 CVE-2018-0824 を悪用

China-linked APT41 breached Taiwanese research institute

2024/08/05 SecurityAffairs — 中国由来のグループが、台湾の政府系研究機関を侵害したと、Cisco Talos の研究者たちが報告している。彼らは、この攻撃が APT41 グループによるものだと、中程度の信頼性を示している。このキャンペーンは、早くとも 2023年7月に開始されたものであり、ShadowPad マルウェアや Cobalt Strike に加えて、各種のポスト・エクスプロイト・ツールが、脅威アクターにより配信された。

Softnext Email Systems の脆弱性 CVE-2024-5670 (CVSS 9.8) が FIX：ただちにパッチを！

CVE-2024-5670 (CVSS 9.8): Critical Vulnerability Exposes Softnext Email Systems to Attack

2024/07/30 SecurityOnline — Softnext のメール管理システム Mail SQR Expert／Mail Archiving Expert に深刻な脆弱性が存在するとして、Taiwan CERT (Computer Emergency Response Team) が重大な警告を発した。この脆弱性 CVE-2024-5670 (CVSS：9.8) が悪用されると、機密データの漏洩やリモート・コード実行が生じ、重大なリスクにいたる可能があるという。

Cellopoint SEG の脆弱性 CVE-2024-6744 (CVSS 9.8) が FIX：直ちにアップデートを！

CVE-2024-6744: Cellopoint Secure Email Gateway Flaw Exposes Organizations to Critical Risk

2024/07/15 SecurityOnline — 台湾の TWCERT/CC (Computer Emergency Response Team/Coordination Center) は、配信前のメール保護ソリューションとして人気を博している、Cellopoint SEG (Secure Email Gateway) に存在する深刻なセキュリティ脆弱性に関するアドバイザリを公開した。この脆弱性は CVE-2024-6744 として追跡され、CVSS：9.8 というスコアが割り当てられている。

GeoVision の RCE 脆弱性 CVE-2024-6047 (CVSS 9.8)：EOL デバイス群に深刻なリスクの恐れ

CVE-2024-6047 (CVSS 9.8): Urgent Security Risk for GeoVision Users

2024/06/17 SecurityOnline — 台湾の CERT (Computer Emergency Response Team) が発表したのは、GeoVision の深刻な脆弱性に対するセキュリティ・アドバイザリである。この脆弱性 CVE-2024-6047 (CVSS：9.8) が悪用されると、GeoVision の EOL デバイスであり、IP カメラ／ビデオサーバ／DVR などの多様な製品に影響が及ぶという。

台湾の中華電信でデータ侵害が発生：軍事文書／政府文書などが窃取された

Threat Actors Hacked Taiwan-Based Chunghwa Telecom

2024/03/04 SecurityAffairs — 中華電信 (Chunghwa Telecom Company, Ltd.) は、台湾最大の総合電気通信サービス・プロバイダーであり、同国のローカル・エクスチェンジ・キャリアとして、PSTN／モバイル／ブロードバンド・サービスなどを提供している。その中華電信から、軍事文書や政府文書を含む機密情報が、脅威アクターにより窃取されたことを、台湾の国防省が明らかにした。この脅威アクターは、政府関連の契約書類を含む 1.7 TB のデータを盗み出したと主張しているという。

TSMC への LockBit 攻撃：身代金として $70 million が要求されているが・・・

TSMC denies LockBit hack as ransomware gang demands $70 million

2023/06/30 BleepingComputer — 台湾のチップ製造大手の TSMC (Taiwan Semiconductor Manufacturing Company) に対して、LockBit ランサムウェアが $70 million を要求しているが、同社はハッキングされたことを否定している。TSMC は世界最大級の半導体メーカーであり、その製品は、スマートフォン／高性能コンピューティング／IoT デバイス／自動車／デジタル家電などの、さまざまなデバイスで使用されている。

Volt Typhoon という中国の APT：グアムの重要インフラへの攻撃を Microsoft が検知

Microsoft Catches Chinese .Gov Hackers in Guam Critical Infrastructure Orgs

2023/05/24 SecurityWeek — 中国に支援されるハッカーが、グアムの主要インフラ組織からデータを窃取していたことを、Microsoft が発見した。グアムで中国製のサイバースパイ・マルウェアが発見されたことは、将来に起こり得るかもしれない中国と台湾の軍事衝突において、この小さな島が重要な役割を果たすと考えられるため、大きな関心を呼んでいる。

中国 – 台湾の緊張関係とサイバー戦争：PlugX マルウェアを仕込んだフィッシング攻撃が激化

Cyber Warfare Escalates Amid China-Taiwan Tensions

2023/05/18 InfoSecurity — 中国と台湾の間で緊張が高まるにつれて、台湾へのサイバー攻撃が大幅に増加していることが、Trellix のセキュリティ専門家たちの新しいレポートで明らかになった。特に台湾の産業界を狙うサイバー攻撃が急増しており、その主な目的は、マルウェアの配布と機密情報の窃取であると、同社は指摘している。

台湾の PC メーカー MSI にランサムウェア攻撃：Money Message が二重脅迫

Taiwanese PC Company MSI Falls Victim to Ransomware Attack

2023/04/08 TheHackerNews — 台湾の PC 会社である MSI (Micro-Star International) は、同社のシステムが侵害されるという、サイバー攻撃の被害者であることを公式に認めた。同社は、ネットワークの異常を検出した後に、速やかにインシデント・レスポンスとリカバリーの措置を開始したと述べている。また、このインシデントについて、法執行機関に報告したとも述べている。しかし MSI は、この攻撃の発生時期と、ソースコードなどのプロプライエタリ情報の流出の有無については、具体的な情報を開示していない。

QNAP に SQLi の脆弱性 CVE-2022-27596：約３万台のデバイスが危険な状況

Nearly 30,000 QNAP Devices Exposed Via New Bug

2023/02/01 InfoSecurity — 今週に NAS (Network-Attached Storage) ベンダーの QNAP が公表した新しい脆弱性は、全世界で約 30,000 台のデバイスで悪用される可能性があると、Censys は述べている。Censys がインターネットをスキャンしたところ、QNAP ベースのシステムを実行している 67,415 台のホストが世界中で見つかった。そのうちで、バージョンを確認できたものは僅か 30,250 台であり、また、新しい脆弱性を悪用する攻撃に対して、98％が脆弱だろうという状況が判明した。

Synology の深刻な脆弱性 CVE-2022-43931 が FIX：CVSS 10 の RCE

Synology fixes multiple critical vulnerabilities in its routers

2023/01/03 SecurityAffairs — 2022年12月に、台湾の NAS メーカーである Synology は、２つの新しい重要アドバイザリを公開した。最初のアドバイザリは、同社が対処した最も重要なものであり、脆弱性 CVE-2022-43931 (CVSS : 10) として追跡されている、境界外書き込みの深刻な問題だ。この脆弱性は、Ver 1.4.3-0534／1.4.4-0635 以前の、Synology VPN Plus Server の Remote Desktop Functionality に存在している。この脆弱性の悪用に成功したリモートの攻撃者は、不特定のベクター経由で任意のコマンドを実行できる。

Cobalt Strike ローダーの新種 Symatic：中国 APT41 と持続性のあるバックドア展開

New hacking group uses custom ‘Symatic’ Cobalt Strike loaders

2022/11/09 BleepingComputer — これまで知られていなかった Earth Longzhi という中国の APT (Advanced Persistent Threat) ハッキング集団が、東アジア／東南アジア／ウクライナの組織を狙っている。この脅威アクターは、2020年から活動しており、カスタム・バージョンの Cobalt Strike ローダーを用いて、被害者のシステムに持続性のあるバックドアを仕込んでいる。Trend Micro の最新レポートによると、Earth Longzhi の TTP は Earth Baku と同様のものであり、この２つのグループは、国家が支援する APT41 の下部組織であると考えられる。

台湾政府に DDoS 攻撃：ペロシ下院議長の訪問中に総統府 Web サイトなどがダウン

Taiwan Government websites suffered DDoS attacks during the Nancy Pelosi visit

2022/08/04 SecurityAffairs — ナンシー・ペロシ米下院議長の台北訪問中に、台湾政府の主要な Web サイトに対して DDoS 攻撃が行われ、一時的にオフラインに追い込まれるという事態が発生した。このサイバー攻撃により、政府の英語版ポータルサイトや、総統府／外務省／国防省における一部の Web サイトがオフラインになった。

Moxa NPort デバイスに脆弱性：重要インフラが攻撃にさられる可能性

Moxa NPort Device Flaws Can Expose Critical Infrastructure to Disruptive Attacks

2022/07/28 SecurityWeek — 世界中で広く使用されている Moxa 製の産業用接続デバイスで、脅威アクターが重大な混乱を引き起こす可能性のある、２つの深刻な脆弱性が発見された。台湾に拠点を置き、産業用ネットワーク／オートメーション・ソリューションを提供する Moxa は、これらの脆弱性を修正した。

ASUSTOR NAS の警告：Deadbolt ランサムウェアによる攻撃が発生している

Warning — Deadbolt Ransomware Targeting ASUSTOR NAS Devices

2022/02/24 TheHackerNews — QNAP NAS アプライアンスが攻撃を受けてから１カ月足らずで、ASUSTOR の NAS が Deadbolt ランサムウェアの最新の犠牲者となった。この感染に対して ASUSTOR は、関連するセキュリティ問題を修正するためのファームウェア・アップデート (ADM 4.0.4.RQO2) をリリースしている。また、同社は、データを安全に保つために、以下の行動を取るようユーザーに呼びかけている。

中国人ハッカーが台湾に対してサプライチェーン攻撃：主な標的は金融機関

Chinese Hackers Target Taiwan’s Financial Trading Sector with Supply Chain Attack

2022/02/22 TheHackerNews — 中国政府に協力することを目的とする APT (Advanced Persistent Threat) グループが、台湾の金融部門に対する組織的なサプライチェーン攻撃に関連していることが判明した。この攻撃は、2021年11月末に最初に開始されたと言われており、その侵入は APT10 として追跡される、脅威アクターによるものだとされている。この APT 10 は、Stone Panda／MenuPass／Bronze Riverside とも呼ばれ、遅くとも 2009年から活動している。

中国のハッカーが台湾の金融機関を狙う：スティルス・バックドアで 250日も潜伏

Chinese Hackers Target Taiwanese Financial Institutions with a new Stealthy Backdoor

2022/02/06 TheHackerNews — 中国の APT (Advanced Persistent Threat) グループが、少なくとも１年半にわたって、台湾の金融機関を標的にした「執拗なキャンペーン」を展開していたことが判明した。Broadcom 傘下の Symantec は、先週に発表したレポート「Antlion: Chinese APT Uses Custom Backdoor to Target Financial Institutions in Taiwan」の中で、スパイ活動を主目的とした Antlion の侵入行為により、xPack と呼ばれるバックドアが導入され、侵入したマシンを広範囲で制御できるようにしていたと述べている。

台湾の電子機器メーカー Delta を攻撃した Conti が $15 M の身代金を要求

Taiwanese Apple and Tesla contractor hit by Conti ransomware

2022/01/27 BleepingComputer — 台湾の電子機器メーカーであり、Apple／Tesla／HP／Dell などに電源を提供している Delta Electronics は、金曜日の朝に発見されたサイバー攻撃により、被害を被っていることを公表した。Delta は、スイッチング電源の世界最大のプロバイダーであり、2021年の売上高は $9 billion を超えているという。同社は、2022年1月22日の声明において、今回のインシデントで重要システムは影響を受けず、業務に大きな問題は生じていないと述べている。

QNAP 警告：新たな DeadBolt ランサムウェアが NAS デバイスを暗号化

QNAP warns of new DeadBolt ransomware encrypting NAS devices

2022/01/26 BleepingComputer — QNAP が、新種のランサムウェア DeadBolt による、データを狙う継続的かつ広範な攻撃にさらされている。そのため、同社は、インターネットに露出している NAS デバイスを保護するよう、顧客に再度警告している。QNAP は、「DeadBolt は、インターネットに接続されている、すべての NAS を広く標的とし、ユーザーのデータを暗号化して Bitcoin の身代金を要求している。ダッシュボードに “The System Administration service can be directly accessible from an external IP address via the following protocols: HTTP」と表示されている場合には、その NAS はインターネットにさらされており、高いリスクが生じている」と述べている。

Realtek Wi-Fi SDK の脆弱性は 100万台の IoT デバイスに影響をおよぼす

Multiple Flaws Affecting Realtek Wi-Fi SDKs Impact Nearly a Million IoT Devices

2021/08/16 TheHackerNews — 台湾のチップデザイナーである Realtek が、同社の WiFi モジュールに付属する３つの SDK に、４つのセキュリティ脆弱性があることを警告している。この WiFi モジュールは、少なくとも 65社のベンダーが製造した、約200種類の IoT デバイスに使用されているという。これらの脆弱性は、Realtek SDK v2.x および、Realtek “Jungle” SDK v3.0/v3.1/v3.2/v3.4.x/v3.4T/v3.4T-CT、Realtek “Luna” SDK v1.3.2 以下に影響し、それを悪用する攻撃者により、ターゲット・デバイスを完全に侵害され、最高レベルの特権で任意のコードが実行される可能性が生じる。

中国の国家支援グループが台湾の電気通信組織を標的にしている？

Suspected Chinese hackers target telecoms, research in Taiwan, Recorded Future says

2021/07/08 CyberScoop — この木曜日に、Recorded Future の Insikt Group が発表したレポートによると、中国の国家支援グループが、台湾／ネパール／フィリピンの電気通信組織を標的にしている疑いがあるらしい。６月に研究者たちは、TAG-22 と呼ばれるグループからの侵入に気づいたが、台湾の Industrial Technology Research Institute や、ネパールの Nepal Telecom、フィリピンの Department of Information and Communications Technology などの通信組織が標的にされているという。これらの活動の一部は、報道された時点でも継続して行われているようだ。