今週も脅威情報ニュースレターをお届けします。
ブッカー賞のロングリストが今週発表されました。その中には、今年すでに読んだ本が数冊あり、これから読む予定の本、聞いたことのない本、なぜ選ばれているのか首をかしげたくなる本も数冊含まれていました。ブッカー賞のロングリストはいつもワクワクしながら見ています。今年前半に自分がどれだけ文芸小説のトレンドを捉えてきたか、そして後半にはどんな作品に触れる可能性があるかがわかるからです。これをきっかけに、脅威の現状と攻撃者の行動や手法の進化に関する最新情報を把握するサイクルについて考え、サイバーセキュリティ分野に携わる人間にとって、Black Hat と DEF CON はロングリストに似た役割を果たしているのではないかと思うに至りました。イベントで発表される新しい情報や興味をそそる情報の中には、実用的なインサイトをもたらすものもあれば、同じような内容の繰り返しもあるでしょう。また、些細なことではなく、非常に興味深く重要な情報もあれば、鳴り物入りで発表されても、結局は何の意味も持たない情報もあります。
読者が理解しておくべきなのは、これらのリスト、そしてリストに掲載されている著者や書籍はさまざまな理由で選ばれており、必ずしも物語の素晴らしさや文章の巧みさだけが選出理由ではないということです。私の場合、キャリアの初期には、サマーキャンプで得た情報を取捨選択することは困難でした。学ぶことに必死でテンションが上がっていたので、自分の経験に基づいて実用的な情報とそれ以外を区別することができなかったからです。今では、大量の情報を頭の中で整理して正しい道筋に落とし込み、学んだことを応用するのにそれほどエネルギーを費やすことはありません。また、派手なだけで中身のない情報に思えたものが実は重要だったとしても、チームメンバーが私に必ず教えてくれて、大量の情報の中から重要なものを見つけてくれるという信頼もあります。
皆様がサマーキャンプで素晴らしい時間を過ごし、たくさんの旧友に会ったり、新しい仲間を作ったりすることを願っています。そしてシャワーを浴び、デオドラントを使うこともお忘れなく。カンファレンスシーズンはまさにマラソンです。長く過酷で、汗だくになります。まず自ら衛生管理に取り組みましょう。
重要な情報
2025 年第 2 四半期の Cisco Talos インシデント対応の動向に関するレポートが本日公開されました。今回も、最近の攻撃者の行動に関するインサイトが盛りだくさんです。フィッシングは引き続き初期アクセスの最上位手段ですが、興味深いことに、確認されたフィッシング攻撃の大部分の目的はログイン情報の収集であるようです。つまりサイバー犯罪者は、侵入後にさまざまな活動を行うよりも、侵害したログイン情報を仲介販売する方が簡単で確実に利益が得られると考えている節があります。今四半期は、前四半期と同様に、ランサムウェアインシデントとランサムウェア感染前のインシデントが対応業務の半分を占めました。Talos IR は、Qilin および Medusa ランサムウェアを初めて確認したほか、以前から確認されていた Chaos ランサムウェアにも対応しました。今四半期で最も標的とされたのは教育業界でした。
注意すべき理由
このレポートでは、攻撃者がどのように脆弱性を悪用し、セキュリティツールを回避しているかについて詳細に説明しています。例を挙げると、セルフサービスオプション付きの MFA を導入している場合、攻撃者は自身のデバイスを登録できます。また、ランサムウェア攻撃では、PowerShell 1.0(2006 年にリリースされた最初のバージョン)を「Bring Your Own Binary(BYOB)」と呼ばれる方法で悪用するなど、ステルス型の手法も見られました。
必要な対策
このレポートでは、確認されたインシデントに基づき、次のような実用的なアドバイスを示しています。
- 多要素認証(MFA)の適切な設定と監視
- 一元化されたロギングの重要性
- Endpoint Detection and Response(EDR)システムを強化する手順
これらのインサイトは、実際の攻撃手法に直接対処する際、緩和策の優先順位付けに役立ちます。レポートを今すぐダウンロードしてください。
今週のセキュリティ関連のトップニュース
ジャーナリスト、検索結果から特定のページが消える Google の脆弱性を発見
ジャーナリストの Jack Poulson 氏は、自身の記事 2 本が Google の検索結果から完全に削除されたことに偶然気づきました。「まったくの偶然でした」と、Poulson 氏は 404 Media に語りました。「たまたま記事の 1 本を Google で検索したところ、正確なタイトルを引用符で囲んで検索しても、結果に表示されなくなっていました」(情報源:404 Media
)。
生成 AI ツール ChatGPT、「Man in the Prompt」ブラウザ攻撃に対する脆弱性が判明
ポイズニングしたブラウザ拡張機能を使用して、ChatGPT、Gemini など、市場の主要な生成 AI ツールすべてに悪意のあるプロンプトを挿入できる新たなサイバー攻撃手法が登場しました(情報源:DarkReading)。
フィッシング詐欺犯、航空業界幹部を装い顧客を騙す
KrebsOnSecurity は最近、読者から情報提供を受けました。その読者の上司のメールアカウントがフィッシング攻撃に遭い、そのアカウントが悪用されて、騙された顧客の 1 人が詐欺犯に多額の送金をしたそうです。攻撃者のインフラを調査した結果、ナイジェリアで長年活動しているサイバー犯罪組織が運輸・航空業界の大手企業を積極的に狙っていることが判明しました(情報源:Krebs)。
Talos が発信しているその他の情報
動画をたくさん用意していますので、ぜひご視聴ください。
Tales from the Frontlines(インシデント対応の最前線)
サイバー防御の最前線に立つ Cisco Talos インシデント対応チームの実体験を紹介します。こちらでご予約ください。
2025 年第 2 四半期の IR の動向
フィッシング攻撃は、侵害した有効アカウントを悪用して信頼を高めようとする攻撃者によって今なお続いています。詳細はこちらをご覧ください。
Beers with Talos
インシデント対応の責任者になりたければ、Alex Ryan の話をお聞きください。ストレスを抱えたチームの調整、経営陣からの質問への対応、スタッフの食事時間の確保に至るまで、混乱したサイバーセキュリティ インシデントの現場を率いるために本当に必要なことを Bill、Joe、Hazel が Alex に尋ねました。こちらのポッドキャストをお聞きください。
Talos が参加予定のイベント
ハッカーサマーキャンプへのご参加をお待ちしております。こちらの Black Hat のプレビューをお読みください。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
VirusTotal:https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
SHA 256:83748e8d6f6765881f81c36efacad93c20f3296be3ff4a56f48c6aa2dcd3ac08
MD5:906282640ae3088481d19561c55025e4
VirusTotal:https://www.virustotal.com/gui/file/83748e8d6f6765881f81c36efacad93c20f3296be3ff4a56f48c6aa2dcd3ac08/details
一般的なファイル名:AAct_x64.exe
偽装名:なし
検出名:PUA.Win.Tool.Winactivator::1201
SHA 256:0581bd9f0e1a6979eb2b0e2fd93ed6c034036dadaee863ff2e46c168813fe442
MD5:7854b00a94921b108f0aed00f77c7833
VirusTotal:https://www.virustotal.com/gui/file/0581bd9f0e1a6979eb2b0e2fd93ed6c034036dadaee863ff2e46c168813fe442/details
一般的なファイル名:winword.exe
偽装名:Microsoft Word、Excel、Outlook、Visio、OneNote
検出名:W32.0581BD9F0E.in12.Talos
SHA 256:2462569cf24a5a1e313390fa3c52ed05c7f36ef759c4c8f5194348deca022277
MD5:42c016ce22ab7360fb7bc7def3a17b04
VirusTotal:https://www.virustotal.com/gui/file/2462569cf24a5a1e313390fa3c52ed05c7f36ef759c4c8f5194348deca022277
一般的なファイル名:Rainmeter-4.5.22.exe
検出名:Artemis!Trojan
SHA 256:7b3ec2365a64d9a9b2452c22e82e6d6ce2bb6dbc06c6720951c9570a5cd46fe5
MD5:ff1b6bb151cf9f671c929a4cbdb64d86
VirusTotal:https://www.virustotal.com/gui/file/7b3ec2365a64d9a9b2452c22e82e6d6ce2bb6dbc06c6720951c9570a5cd46fe5
一般的なファイル名:endpoint.query
検出名:W32.File.MalParent
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
VirusTotal: https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
一般的なファイル名:VID001.exe
検出名:Win.Worm.Bitmin-9847045-0
本稿は 2025 年 7 月 31 日にTalos Group
Authors