今週も脅威情報ニュースレターをお届けします。
ダイアンへ
8 月 21 日午後 2 時 1 分。今戻ったところだ。シアトルを抜け、オリンピック半島の霧深い道を巡る旅は素晴らしかった。もし君が高くそびえるダグラスファーの森をドライブしたり、パートナーと一緒にフォークスのトワイライトミュージアムを訪れる機会があったら、道端のダイナーに立ち寄って熱いブラックコーヒーとチェリーパイをぜひ味わってみてほしい。まさに至福のひとときだ。
しかし(早朝 5 時半から)リアルトビーチの潮溜まりやホー・レインフォレストの苔むした木々の間を歩き回っている間、なんと Wi-Fi につなぎ忘れるという典型的なミスを犯してしまった。戻ってくる頃には、契約中の高速データ通信の残量がまさに霧の中に消えてしまった。途方に暮れ、何日もスマートフォンを再起動し続けることになった。ベテランの捜査官も基本を見落とすことがあると痛感したよ。
ダイアン、旅とは不思議なものだ。旅に出るとつい油断してしまい、景色に見とれているうちに、公共の Wi-Fi の電波や一見無害な USB 充電ステーションの背後にデジタルの危険が潜んでいることを忘れがちになってしまう。
夏が終わりに近づき、ここツインピークスから駆け込みでレジャーに出かける人も増えている。そこで、これからの旅に備え、現場で検証済みの注意事項をまとめておいた。プロであっても、ときには思い出す必要があるものだ。
- 出発前にデバイスを更新し、重要なデータをバックアップすること。デバイスの紛失、盗難、マルウェアの感染が起こった場合でも、ファイルにアクセスできる。
- 不正なネットワークやデバイスに接続するリスクを軽減するために、自動接続機能をオフにすること。
- 必要なデバイスだけを持参すること。持ち歩くデバイスが少ないほど、追跡の手間も心配も減る。
- デバイスやアプリの位置情報サービスは、必要でない限り使用しないこと。プライバシーが保護され、旅行中の標的型攻撃のリスクを軽減できる。
- ホテルのロビーや図書館にある公共のコンピュータの使用は避けること。機密性の高いアカウントを使用する場合は特に要注意だ。どうしても使用する必要がある場合、あるいは滞在中に配信サービスにログインする場合は、必ずアカウントからログアウトすること。
- 公衆 Wi-Fi は便利だが、セキュリティ面で不安がある。より安全に接続するには、VPN やスマートフォンのホットスポットを使用すること。
- デバイス追跡機能(「iPhone を探す」や「デバイスを探す」など)を設定すること。さらに、紛失や盗難に備えて、デバイスをリモートからワイプする方法を覚えておくこと。
- USB 充電ステーションを使用するとデバイスにマルウェアがダウンロードされる可能性があるため、使用しなくてすむようにモバイルバッテリーを持参すること。
ダイアン、森は美しく、暗く、深い。私たちが残すデジタルの痕跡にも同じことが言える。油断せず、カフェインを切らさないこと。そして自覚こそが最大の防御であることを忘れないように。
特別捜査官 デイル・クーパー
重要な情報
ロシア政府の支援を受けたスパイグループ Static Tundra が、パッチ提供済みの 7 年前の脆弱性(CVE-2018-0171)を悪用して、サポートが終了したパッチ未適用のシスコのネットワークデバイスをエクスプロイトしています。データを窃取し、世界中の組織で密かに長期的なアクセスを維持することが目的です。永続的なインプラントやカスタムの SNMP ツールといった戦術を用い、ロシア政府にとって戦略的利益となる組織を標的に、データを窃取し、検出を免れながらアクセスを維持しています。侵害を防ぐために、直ちにパッチを適用するか、リスクのある機能を無効化することを強くお勧めします。
注意すべき理由
パッチ未適用のシスコデバイスを使用している組織や、デバイスをリプレースしていない組織は、たとえ脆弱性が数年前に発見されたものであっても、未検知のサイバー攻撃やデータ侵害に見舞われる可能性があります。このリスクは、業種や規模を問わずすべての組織に影響し、機密データや事業運営を危険にさらします。
必要な対策
ネットワークインフラを直ちに点検し、パッチ未適用またはサポート終了となったシスコデバイスがないか確認してください。該当するデバイスが存在する場合は、利用可能なパッチを適用するか、推奨に従って脆弱な機能を無効化することが重要です。今回の脅威や国家が支援する同様の脅威を防ぐには、継続的なセキュリティ強化、定期的な更新、厳格な監視が不可欠です。
今週のセキュリティ関連のトップニュース
Workday のデータ侵害、広範囲に及ぶ Salesforce ハッキングの兆候を示唆
Workday は、攻撃者がサードパーティの顧客関係管理(CRM)システムにアクセスし、氏名、電話番号、メールアドレスなど、「一般に入手可能なビジネス連絡先情報」を入手したと発表しました(情報源:SecurityWeek
)。
新たな 5G 攻撃、不正な基地局の使用は不要に
シンガポール工科デザイン大学の研究チームが、5G 通信においてメッセージの傍受やメッセージインジェクションの実行に使用できる Sni5Gect というフレームワークを公開しました(情報源:SecurityWeek)。
インターネット全体の脆弱性、大規模な DDoS 攻撃を可能に
テルアビブ大学の研究チームが、Rapid Reset の修正を回避する方法を発見しました。同チームが「MadeYouReset」と名付けたこの回避法により、全世界の最大 3 分の 1 の Web サイトにサイバー攻撃が仕掛けられる可能性が高まっています(情報源:Dark Reading)。
Windows のゼロデイ RCE エクスプロイト、ダークウェブで販売と報道
攻撃者の主張によれば、このエクスプロイトは最新状態に更新済みの Windows 10、Windows 11、Windows Server 2022 システムを標的としています。販売条件は独占権を重視し、明示的に交渉しない限り再販を禁止しています。これは、プレミアムエクスプロイトによく見られる特徴です(情報源:Cybersecurity News)。
XenoRAT マルウェア攻撃、韓国国内の複数の大使館を標的に
攻撃を受けたのは主にソウルに存在する欧州の大使館で、多くの場合、外交官になりすました人物から偽の会議招待状、公文書、イベント案内などの文書が送付されました(情報源:BleepingComputer)。
Talos が発信しているその他の情報
情報管理の技
JJ Cummings は、国家安全保障とインテリジェンスに特化した脅威インテリジェンス脅威防御チームを率いています。JJ が自身の経歴、燃え尽き症候群とモチベーションについての考え方、そして Talos で働きたいと考えている方々へのアドバイスを紹介します。
2025 年上半期の日本におけるランサムウェアインシデント
2025年上半期、日本国内のランサムウェア攻撃件数は前年比約 1.4 倍に増加しました。最新の動向をブログで解説しています。
サイバーアナリストシリーズ:サイバーセキュリティの概要とサイバーセキュリティ アナリストの役割
Diia.Education 向けにウクライナのデジタル変革省と共同制作した、サイバーセキュリティ アナリストという職業を紹介するビデオシリーズ(英語とウクライナ語で提供)です。
Talos が参加予定のイベント
- BlueTeamCon(9 月 4 日~ 7 日)イリノイ州シカゴ
- LABScon(9 月 17 日~ 20 日)アリゾナ州スコッツデール
- VB2025(9 月 24 日~ 26 日)ベルリン(ドイツ)
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
MD5:71fea034b422e4a17ebb06022532fdde
VirusTotal: https://www.virustotal.com/gui/file/47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca/details
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Coinminer:MBT.26mw.in14.Talos
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
VirusTotal:https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
一般的なファイル名:VID001.exe
偽装名: なし
検出名:Win.Worm.Coinminer::1201
SHA 256:41f14d86bcaf8e949160ee2731802523e0c76fea87adf00ee7fe9567c3cec610
MD5:85bbddc502f7b10871621fd460243fbc
VirusTotal:https://www.virustotal.com/gui/file/41f14d86bcaf8e949160ee2731802523e0c76fea87adf00ee7fe9567c3cec610/details
一般的なファイル名:なし
偽装名:自己解凍アーカイブ
検出名:Win.Worm.Bitmin-9847045-0
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
VirusTotal:https://www.virustotal.com/gui/file/a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91/details
一般的なファイル名:IMG001.exe
検出名:Simple_Custom_Detection
SHA 256:59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
MD5:df11b3105df8d7c70e7b501e210e3cc3
VirusTotal:https://www.virustotal.com/gui/file/59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa/details
一般的なファイル名:DOC001.exe
偽装名: なし
検出名:Win.Worm.Coinminer::1201
本稿は 2025 年 8 月 21 日にTalos Group
Authors