Cisco Japan Blog / セキュリティ / ラスベガスで開催された Black Hat での注目の出来事

今週も脅威情報ニュースレターをお届けします。

先週、Black Hat USA に参加するため、約 8,000 km 離れたラスベガスに飛びました。カーペットで覆われた迷路のようなカジノの通路を進んだ先で、ネバダ州で唯一英国スタイルのミルクティーを提供している店を見つけた私は、Black Hat に参加して、あたかも夢の中で走ろうとしているような感覚を覚えました。常にどこかに向かっているのですが、決して早くは進めず、また水を購入するのに 8 ドルもかかるのです。

不満を言いたいわけではありません（ただし英国人としては、天気、紅茶、行列の長さについて正式に苦情を申し立てるのは当然の務めですが）。実のところ、とても素晴らしい 1 週間でした。Talos の同僚による素晴らしいプレゼンテーションとリサーチの発表を見ることができました。

ここでは、Talos が行った講演やイベントのすべてを振り返る代わりに（リサーチのハイライトは近々 YouTube チャンネルで公開されます）、特に印象的だった 3 つをご紹介します。

• Joe Marshall による実践的なインシデント対応演習：Joe は、人道支援を行う非政府組織（NGO）向けに元々 NetHope と NGO-ISAC が共同で開発したインタラクティブなカードゲーム、Backdoors & Breaches を実演しました。Black Hat で、60 人を超える参加者が集まるランチタイム勉強会に合わせてゲームを活用し、サイバーセキュリティ危機をシミュレーションしながら進行しました。興味のある方は、こちらからオンラインのカードをご覧いただけます。Web 共有ツールを使えば、あらゆる規模の参加者にストリーミング配信でき、参加者がバーチャルでゲームに参加することも可能です。ゲーム開発にまつわるエピソードや解説動画は、Joe の新着ブログ記事でご覧いただけます。
• Amy Chang の AI ガードレール回避に関するリサーチ：ブースでの Amy の講演では、生成 AI のガードレールを突破する新しい方法が紹介されました。これには、人間が書いた内容を言葉どおりに繰り返すよう生成 AI を騙す「分解」という手法が用いられています。このリサーチは、TechRepublic、SecurityWeek、WebProNews などのメディアの注目を集めました。
• Philippe Laulheret の ReVault に関するプレゼンテーション：脆弱性調査・検出チームの Philippe は、何百万台ものラップトップに影響を与える、組み込みセキュリティチップに存在する脆弱性を明らかにしました。この脆弱性により、攻撃者が Windows ログインをバイパスしたり永続化マルウェアをインストールしたりする可能性があります。数日前、Philippe は調査の詳細解説版を公開しました。リサーチプロセスやエクスプロイトの分析を含む技術的な詳細の全文をお読みいただけます。

Black Hat のネットワーク オペレーション センター（NOC）の舞台裏なども近日中にご紹介します。

重要な情報

Cisco Talos は、多段階のマルウェアフレームワークを配布する大規模マルバタイジング攻撃を特定しました。Talos が「PS1Bot」と呼ぶこのフレームワークでは、PowerShell と C# モジュールを使用して、機密情報の窃取、キーストロークの記録、スクリーンショットのキャプチャ、感染システムでの永続的なアクセス維持を行います。PS1Bot はメモリ内実行とモジュール型アップデートを採用し、ブラウザのログイン情報や仮想通貨ウォレットなどを標的にしながら、検出を回避するためにフットプリントを最小限に抑えています。この攻撃は、2025 年を通じて活発に展開され、急速に進化しています。

注意すべき理由

一見安全に見えるファイルでも、気軽に閲覧したりダウンロードしたりすることで感染し、個人データやパスワード、金融情報が危険にさらされかねません。特に仮想通貨ウォレットを使用していたり、ブラウザにパスワードを保存していたりする場合はリスクが高まります。

必要な対策

検索結果や広告からファイルをダウンロードする際は特に注意が必要です。セキュリティソフトウェアがアップデートされていることを確認するほか、ブラウザに機密情報を保存するのではなく、専用のパスワード管理ツールとセキュリティツールを使用してください。攻撃者は継続的に戦術を更新するため、PS1Bot のような進化を続ける脅威について最新情報を入手してください。Talos のブログでは、Snort SID や ClamAV による検出についても情報を提供しています。

今週のセキュリティ関連のトップニュース

米国連邦裁判所の文書管理システムのハッキングにロシア政府のハッカーが関与か
米国連邦裁判所の文書管理システム（PACER）に影響を及ぼしたデータ侵害について、The New York Times 誌はロシア政府が関与していると報じています（情報源：TechCrunch）。

北朝鮮のハッカー集団 Kimsuky、データ侵害で情報漏洩か
北朝鮮政府が支援するハッカー集団 Kimsuky がデータ侵害に遭い、2 人のハッカーにより同グループのデータが窃取され、オンラインで公開されたと報じられています（情報源：Bleeping Computer）。

独占報道：Brosix と Chatox、チャットの安全を約束していたが守られず
ある研究者が、155.3 GB の固有の圧縮ファイルが含まれるセキュリティ保護されていないバックアップを発見し、DataBreaches に連絡しました。バックアップが公開されたことを研究者が最初に記録したのは 4 月下旬でした（情報源：DataBreaches）。

オランダ：Citrix Netscaler の脆弱性（CVE-2025-6543）が組織の侵害に悪用される
オランダの国家サイバーセキュリティ センター（NCSC）は、Citrix NetScaler の重大な脆弱性が悪用され、同国の「重要な組織」が侵害を受けたと警告しています（情報源：Bleeping Computer）。

ロシア系ハッカー、WinRAR のゼロデイを悪用し欧州とカナダを攻撃
ロシアの脅威グループが、欧州とカナダの組織を狙ったサイバースパイ活動で、WinRAR のゼロデイ脆弱性（現在はパッチ適用済み）を悪用したことが確認されました（情報源：SecurityWeek）。

Talos が発信しているその他の情報

• 2025 年 8 月の Microsoft 月例セキュリティ更新プログラム
  Microsoft 社が、2025 年 8 月の月例セキュリティ更新プログラムをリリースしました。さまざまな製品に影響する 111 件の脆弱性が含まれており、そのうち 13 件は「緊急」とされています。
• ReVault 攻撃に要注意。SoC が敵に転じるとき：詳細解説版
  Talos は、Broadcom 社と Dell 社に対し、ControlVault3 ファームウェアおよび関連する Windows API に影響を与える 5 件の脆弱性を報告しました。Talos はこれらの脆弱性を「ReVault」と呼んでいます。パッチが適用されていない場合、Dell 製ラップトップの 100 機種以上がこの脆弱性の影響を受けます。ReVault 攻撃は、Windows の再インストール後であっても残存し得る侵入後の永続化手法として使用されます。
• TTP：サイバー犯罪者が現代のランサムウェア攻撃に PowerShell 1.0 を採用
  Qilin などのグループは、カスタムの暗号化ツールや一般的でない RMM ツールに加え、（2006 年にリリースされた）PowerShell 1.0 まで使用して、ネットワークを密かに偵察しています。
• サイバーアナリストシリーズ：サイバーセキュリティの概要とサイバーセキュリティ アナリストの役割
  Diia.Education 向けにウクライナのデジタル変革省と共同制作した、サイバーセキュリティ アナリストという職業を紹介するビデオシリーズ（英語とウクライナ語で提供）です。

Talos が参加予定のイベント

BlueTeamCon（9 月 4 日～ 7 日）イリノイ州シカゴ

LABScon（9 月 17 日～ 20 日）アリゾナ州スコッツデール

VB2025（9 月 24 日～ 26 日）ベルリン（ドイツ）

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256：9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5：2915b3f8b703eb744fc54c81f4a9c67f
VirusTotal：https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
一般的なファイル名：VID001.exe
偽装名：なし
検出名：Win.Worm.Coinminer::1201

SHA 256：c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
MD5：8c69830a50fb85d8a794fa46643493b2
VirusTotal：https://www.virustotal.com/gui/file/c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
一般的なファイル名：AAct.exe
偽装名：なし
検出名：PUA.Win.Dropper.Generic::1201

SHA 256：83748e8d6f6765881f81c36efacad93c20f3296be3ff4a56f48c6aa2dcd3ac08
MD5：906282640ae3088481d19561c55025e4
VirusTotal：https://www.virustotal.com/gui/file/83748e8d6f6765881f81c36efacad93c20f3296be3ff4a56f48c6aa2dcd3ac08
一般的なファイル名：AAct_x64.exe
偽装名：なし
検出名：PUA.Win.Tool.Winactivator::1201

本稿は 2025 年 8 月 14 日にTalos Group のブログに投稿された「What happened in Vegas (that you actually want to know about)」の抄訳です。

Authors

TALOS Japan