Cisco Talosのインテリジェンス部門は、洗練されたLinuxマルウェアを用いて通信事業体を標的とする脅威アクターの活動が、地理的に大きく拡大していると報告した。これらの作戦は以前は南アジアに集中していたが、同グループ特有のツールと手法が近頃、東南ヨーロッパ全域で確認されている。 Ciscoの分析枠組みにおいて、この集団はUAT-7290という名称で監視されている。複数の技術的シグネチャの組み合わせに基づき、研究者は同グループを中国の利害に帰属させており、少なくとも2022年まで遡る活動が確認されている。同グループは二重の戦略目的を担う。すなわち、自ら諜報主導の侵入を実行すると同時に、関連する中国のサイバー諜報集団が活用できる一次アクセス基盤を育成している。 彼らの運用ドクトリンの要は、Operational Relay Boxes（ORBs）の展開である。これは侵害されたサーバーやネットワーク機器を中継ノードとして再利用し、攻撃の指揮と悪性トラフィックの出所隠蔽を行うものだ。UAT-7290は侵害の初期段階でこれらのノードを構築し、後続のアクターにとって強靭な基盤を提供する。 同グループの手口は、関与に先立って標的を徹底的に偵察することを含む。侵入は、独自ツール、オープンソースユーティリティ、そして境界ネットワーク機器に存在する既知の脆弱性を突く公開エクスプロイトを組み合わせた特注の混成手段によって達成される。Cisco Talosは、同グループが「ワンデイ」エクスプロイトや標的型SSH認証情報の収集を積極的に悪用してインターネット公開機器を侵害し、その後、永続化を確立して権限昇格を行うと観測している。 主な焦点はLinuxベースのシステムにある一方で、Windowsコンポーネントが武器庫に現れることもある。とりわけRedLeavesとShadowPadは、中国の国家支援グループ間で長年にわたり共有利用されてきた履歴を持つマルウェアファミリーである。Linuxの感染シーケンスはRushDropドロッパー（ChronosRATとしても知られる）から始まる。このコンポーネントは初期実行フェーズを統括し、仮想化回避チェックを行ったうえで、隠蔽された.pkgdbディレクトリを作成する。続いて、DriveSwitchヘルパー、SilentRaidの主要インプラント、そしてコマンド実行用に転用された正規のBusyBoxユーティリティを含む、複数の埋め込みバイナリを抽出する。 DriveSwitchは補助役として機能し、その唯一の任務は侵害環境内でSilentRaidを初期化することである。SilentRaid（別名MystRodX）は、典型的な永続型インプラントとして機能する。C++で作成され、モジュール型アーキテクチャを採用し、基本的な解析妨害の保護機構を備える。コマンド＆コントロール（C2）通信にはGoogleの公開DNSリゾルバを利用する。その能力は広範で、リモートシェルアクセス、ポートフォワーディング、ファイル操作、tarによるディレクトリアーカイブ、さらに/etc/passwdおよびX.509証明書からの機微データの持ち出しを含む。 Bulbatureは独自の役割を担う。これはUPXでパックされたLinuxマルウェアで、主機能は感染ホストをORBノードへ変換することである。Bulbatureはリバースシェルを確立し、設定可能なポートを監視し、C2設定を一時ファイル（例：/tmp/*.cfg）内に保持する。動的なC2インフラの切り替えを可能にし、特定の自己署名TLS証明書を使用する。 注目すべきことに、Cisco Talosは中国および香港に所在する141台のホストで、この同一の証明書を特定している。これらのIPアドレスは、SuperShell、GobRAT、Cobalt Strikeビーコンを含む複数のマルウェアファミリーと過去に関連しており、より広範な地域の脅威エコシステムとの結び付きを一層裏付けている。 翻訳元:

ハワイ大学がんセンターの研究参加者の社会保障番号などの個人情報が8月にコンピュータハッカーにより流出したが、4カ月後になってもUHは、データが盗まれたことを影響を受けた人々に通知していなかった。 UHは12月に州議会への報告書でランサムウェア攻撃の概要を示したが、州法で求められる時期より遅いように見え、必要な情報も欠けていた。 UHの関係者は取材要請を断り、どのがん研究プロジェクトが影響を受けたのか、何人の参加者の社会保障番号が露出したのか、そしてUHががんセンターの研究ファイルへのアクセスを取り戻すためにハッカーへ支払いをしたのか（したとしていくらか）といった重要情報の提供を拒んでいる。 また、UHがハッカーに盗まれたデータのコピーを破棄させたことをどのように確保したのかも不明だ。 報告書によれば、ハッカーはがんセンターのサーバーに侵入し、がん研究に関連するファイルを暗号化し、復号化するためのプログラムと引き換えに支払いを要求したという。 「UHは、機微な（原文ママ）情報が侵害された可能性のある個人を保護するため、脅威アクターと関与するという困難な決断を下した」とUHは報告した。 「外部の利害関係者に情報を提供し続けるために」と大学は付け加え、「UHは外部のサイバーセキュリティ専門家チームと協力して復号化ツールを入手し、脅威アクターが違法に入手した情報の破棄を確実にした」としている。 報告書によれば、大学は現在、影響を受けた可能性のある研究参加者に通知するため、氏名と住所の取りまとめに取り組んでいる。UHは、個人情報が露出した人々に対し、クレジット監視と身元盗用防止を提供する計画だ。 その間、がんセンターはパスワードをリセットし、継続的な監視を伴う保護ソフトウェアを導入し、侵害されたシステムを再構築し、新たなセキュリティ管理について第三者評価を実施した。 報告書は多くの疑問を未解決のままにしている 取材要請への回答として、UHの広報担当ダン・マイゼンザールは、州議会に報告した内容以上の詳細を含まない声明を提供した。 未解決の疑問の一つは、調査が継続中だと述べる以外に、UHが州議会へ報告するまでに要した時間である。 州法は一般に、政府機関が侵害を発見してから20日以内にセキュリティ侵害の報告書を州議会に提出することを求めており、その中には「侵害の影響を受けた個人の人数、発行されたセキュリティ侵害通知の写し、通知を送付した個人の人数、法執行上の考慮により通知が遅延したかどうか」が含まれる。 このケースでは、UHは8月に侵害を発見し、12月に州議会へ報告書を提出した。 法律は、「法執行機関が政府機関に対し、通知が刑事捜査を妨げる、または国家安全保障を危険にさらす可能性があると伝えた」場合、20日という報告期限の例外を認めている。しかし報告書には、法執行機関からそのような要請があったことへの言及はない。 また、UHがどのようにしてハッカーと関与する判断をしたのかも明らかではない。FBIはハッカーへの身代金支払いを推奨していない。 同庁のサイバー部門はランサムウェアのウェブページで、「身代金の支払いは、敵対者が利益のために他の組織を標的にすることを助長し、他の犯罪者が関与するための収益性の高い環境を提供する」と述べている。 しかし、それは現実的な解決策とは言い難いと、ホノルルのIT・サイバーセキュリティ企業HITech Huiの最高体験責任者兼サイバーセキュリティ責任者であるチャック・ラーチは言う。 「ええ、FBIはいつも『払うな』と言います」とラーチは語った。「でも、事業主は事業を再開したいし、顧客を守りたい。だから払うんです。結局のところ、FBIは復号鍵を持っていない。助けてはくれません。」 また、身代金を支払っても、ハッカーが暗号鍵を提供し、盗んだデータを破棄するという約束を守らないリスクもある。そうしたリスクにもかかわらず、ラーチによれば、多くのハッカーは、彼が「世界史上最も収益性の高いビジネス」と呼ぶものを運営するために必要な倫理規範に概ね従っているという。 「ある程度は名誉の問題なんです」と彼は言う。「でも、分からない。」 最終的には、事前にハッカーを防ぐためのシステムを整えておくことが最も費用対効果が高いとラーチは述べた。 「たいていの場合、予防の一オンスは再構築の一ポンドに値する」と彼は言った。「つまり、『今払うか、後で払うか』ということです。」 翻訳元:

アジア短信 マレーシアとインドネシアの両政府は、ソーシャルネットワークXが利用者の同意なく性的画像を生成できることを認めているとして、Xへのアクセスを停止した。 マレーシアが停止を発表した声明によれば、同国の通信・マルチメディア委員会は、マレーシアの法律に反する素材を利用者が生成するのを防ぐ措置を講じるようXに求めたが、イーロン・マスク所有の同サービスの回答は問題に対処していなかったという。そのためマレーシアは、委員会が適切とみなす保護措置を同サービスが実装するまで、Xを遮断する。 日曜日には、インドネシアの通信・デジタル担当大臣ムティヤ・ハフィド氏もXの遮断を発表した。「政府は、同意のない性的ディープフェイクの行為を、人権、尊厳、そしてデジタル空間における市民の安全に対する重大な侵害と見なしている」と大臣は述べた。 インドの電子・情報技術省も、性的ディープフェイクを防ぐためにXはさらに対策を講じなければならないと警告したと報じられている。 イーロン・マスク氏はこれに対し、Xを遮断する真の動機は言論の自由の抑圧だと主張して反論した。 インドネシア、インド、マレーシアは、3国が不適切と判断するコンテンツを載せるオンラインサービスをしばしば遮断してきた。 Xにとって、世界で最も人口が多い国と4番目に多い国であるインドとインドネシアの政府を遠ざける余裕はない。 カンボジア、サイバー詐欺容疑者を逮捕 カンボジア政府は先週、「国境を越えた犯罪」に対抗するためとして、中国人3人の逮捕と、彼らを中国本土へ引き渡したことを発表した。 米国と中国の当局は、逮捕された3人のうちの1人、陳志（Chen Zhi）が、カンボジアにおける強制労働のサイバー詐欺キャンプの運営に関与していると主張している。 キャンプの運営者は高給の仕事を約束して労働者を誘い込み、その後、数十億ドルを稼ぎ、被害者に経済的困窮、苦痛、屈辱を与えてきた詐欺行為を強要する。 キャンプの多くはカンボジアにあり、同国政府はその運営から利益を得ていると考えられている。米国と中国の当局はいずれも、カンボジアから大きな協力を得られないまま、キャンプの閉鎖と運営者の訴追を試みてきた。 したがって、今回の逮捕は詐欺を止める取り組みにおける注目すべき転換点となる。 百度、半導体事業をスピンアウト 中国のウェブ大手、百度（Baidu）は、半導体製造事業ユニット「昆侖芯（Kunlunxin）」を上場させる計画を発表した。 百度は、学習および推論ワークロード向けの独自のAIアクセラレーション用シリコンを設計しており、主に自社サービスの基盤として利用してきた。 「今回のスピンオフ案は、昆侖芯の価値を独立して示し、AIチップ分野に注目する投資家を呼び込み、単独上場を活用して市場での存在感を高め、資金調達チャネルを拡大し、経営責任を業績とより整合させることを目的とする」と、スピンアウトと上場計画を告知する同社の発表は述べている。「これはまた、百度のAI駆動型事業の価値を解き放つ取り組みを支援するものでもある。」 百度は「Ernie」ブランドで独自の大規模言語モデルも開発しており、アポロ（Apollo）事業ユニットを通じて自動運転車分野でも主要プレイヤーとなっている。 ベトナム、動画広告を規制 ベトナムは先週、ネットユーザーが動画広告を5秒後に閉じられるよう、出版社（配信事業者）に確保を求める法律を発表した。 2月15日に施行される政令第342/2025/ND-CP号は、動画広告の再生開始から5秒後に停止する方法の案内を提供することを出版社に義務付けている。また同法には、違法または匿名の広告を監視する措置や、出版社にそれらの広告の削除を求める要件も含まれる。 当局は、遵守しない出版社へのアクセスを遮断できる。 これらの措置は、詐欺広告や違法製品の宣伝を対象としている。 ネイバーの巨大Nvidiaクラスター 韓国のウェブ大手ネイバー（Naver）は先週、Nvidia B200 GPU 4,000基で稼働するAI計算クラスターの建設を完了したと発表した。 同社によれば、既存のA100搭載システムでは720億パラメータのAIモデルの開発に18カ月を要するが、新クラスターなら約6週間で実現できるという。ネイバーは、このクラスターが地球上で最強のスーパーコンピュータのTop500リストに入る水準だと述べた。 パナソニック、「麺屋」としての再生を呼びかけ パナソニックグループCEOの楠見雄規氏は先週、2026年を技術・エンジニアリング大手にとっての再生の年だと述べ、同社の理想の姿として麺屋を例に挙げた。 「データやAIの活用を含め、事業運営のあらゆる側面を磨き上げ、効率を高め、スピードを加速させます」とCEOは語った。「これは、約束した成果を出すために継続的な改革を追求するということです。現在、グループの将来を形作るための追加改革について議論を進めています。アプローチを徹底的に練り上げ、適切な時期に計画を共有する考えです。」 楠見氏は、パナソニックを、創業者の松下幸之助がしばしば称賛した、地域に愛される近所の麺屋のように運営したいと述べた。 「彼は、麺を売るために懸命に働き、毎日お客さまに味の感想を尋ね、そのフィードバックに基づいて改善する麺屋の主人の心構えを持つよう、社員に促した」と、パナソニックの企業理念には記されている。 ® 翻訳元:

infosec in brief Metaは、第三者がパスワードリセットメールを生成できてしまうInstagramサービスの欠陥を修正したが、この問題がユーザーの個人情報の窃取につながったことは否定した。 先週金曜日、セキュリティソフトウェアベンダーのMalwarebytesは主張し、「サイバー犯罪者が、ユーザー名、住所、電話番号、メールアドレスなどを含む1,750万件のInstagramアカウントの機微情報を盗んだ」と述べた。同社は、Instagramユーザーに送信されたパスワードリセットメールのスクリーンショットも掲載した。 土曜日、Instagramは投稿で次のように述べた。「外部の第三者が一部の人に対してパスワードリセットメールをリクエストできてしまう問題を修正しました。当社システムへの侵害はなく、皆さまのInstagramアカウントは安全です。これらのメールは無視してかまいません — 混乱を招いてしまい申し訳ありません。」 The Registerの理解では、Malwarebytesが言及していたのは、おそらく悪名高いデータ漏えいサイトBreachForumsに投稿されたデータセットのことだ。同サイトでは、あるユーザーが1,700万件超のInstagramユーザーの個人情報ダンプを投稿し、2024年に検知されたAPI漏えいの結果だと主張していた。 Veeam、脆弱性で頭を悩ませる データ管理およびバックアップベンダーのVeeamは先週、4件の脆弱性を修正した。いずれも特権アカウントがRCE攻撃を実行するか、rootユーザーとしてファイルを書き込めるものだった。4件のうち最も深刻なCVE-2025-59470は、CVSSスコアで9.0を記録した。 Veeamは詳細をあまり明かしておらず、CVE-2025-59470については、BackupまたはTape Operatorアカウントが悪意あるintervalまたはorderパラメータをシステムに送ることでRCEを実行できる、と示しただけだった。 自動脆弱性修復企業VicariusのシニアプロダクトマネージャーであるSagy Kratuによれば、CVSS 9.0のこの脆弱性は、ランサムウェア攻撃者やその他の脅威アクターが最大級の混乱を引き起こすことを可能にするという。 「この重大なVeeamの欠陥が重要なのは、紙の上で『重大』だからというより、攻撃チェーンのどこに位置しているかです」とKratuは本誌に語った。「BackupまたはTape Operatorのロール…は、初期侵害の後にランサムウェア攻撃者が典型的に得るアクセス権限のレベルそのものです。その段階では、内部RCEは制約ではなく、加速剤です。」 Veeamは近年人気の標的となっており、古い脆弱性が再び表面化したり、新たなバグが定期的に発見されたりしている。 「Veeamが攻撃に繰り返し登場する理由は単純で、バックアップサーバーはクリーンなデータがまだ存在し復元できるかどうかを左右するからです」とKratuは述べた。「攻撃者がVeeamを掌握すれば、バックアップを削除し、復元を妨害し、侵入を危機へと変えられます。バックアップ基盤は二次的な標的ではなく、主要な標的なのです。」 ガソリンスタンドチェーンHandi、顧客データの漏えいを公表 Handi PlusおよびHandi Stopブランドで米国各地に約150のガソリンスタンドを展開するGulshan Management Servicesは、昨年9月にランサムウェア攻撃と思われる事案を経験したが、顧客への通知は今になってからだ。 Gulshanは報告で、フィッシング攻撃が境界防御を突破してITシステムにアクセスし、同社IT資産の一部を暗号化するソフトウェアを展開することに成功した結果、氏名、社会保障番号、連絡先情報、運転免許証番号などを含む377,082件分の顧客データが露出したと述べた。 同社は影響を受けた人々に対し標準的な1年間の身元監視サービスを提供しているが、法律事務所Schubert Jonckheer and Kolbeによれば、通知が遅すぎたことで州法および連邦法に違反した可能性が高いという。同事務所はGulshanに対する集団訴訟の準備を進めており、侵害通知を受け取った人に参加を呼びかけている。 ハッキングするくらいなら賄賂を？ 脅威露出管理プラットフォームNord Stellarは、侵害したい企業への「手っ取り早い侵入口」を求め、内部関係者に金を払うと持ちかけるサイバー犯罪者によるダークウェブ投稿を数十件発見したと報告している。 The Registerに共有されたプレスリリースによると、過去12か月でNord Stellarの研究者は、LinkedIn、Meta、Google、Coinbaseなど著名企業の従業員を勧誘し、内部者が秘密を持ち出すことを期待する、25件のユニークなダークウェブ投稿を見つけたという。 Nord Stellarのセキュリティ専門家Vakaris Noreikaは、これらの投稿は組織のサイバー防御が外部脅威に偏りがちである事実を反映していると述べた。 「外部脅威と異なり、内部者は不審なログイン試行やデータ転送といった典型的なセキュリティアラートを引き起こさない場合があります」とNoreikaは語った。 ownCloud、MFAを有効化せよ、頼むから 先週The Registerは報じたが、世界50社で一連の侵害が発生し、いずれも単独の窃盗犯によるもので、顧客がエンタープライズ向けファイル同期・共有プラットフォームで多要素認証を有効にしていなかったためにアクセスを許したという。 攻撃者に狙われたプラットフォームの一つであるownCloudは現在、顧客にMFAの有効化を促している。 同社はセキュリティアドバイザリで「ownCloudプラットフォームがハッキングまたは侵害されたわけではありません」と説明した。「脅威アクターはインフォスティーラーマルウェアによってユーザー認証情報を入手し、それがMulti-Factor Authentication（MFA）が有効化されていないownCloudアカウントへのログインに使用されました。」 要するに、これは珍しく「被害者側にも落ち度がある」と言っても正当化できる例だ。 ownCloudは「ownCloudインスタンスでMulti-Factor Authenticationを有効化していない場合は、直ちに有効化してください」と呼びかけた。 それに加えて、全ユーザーのパスワードをリセットし、不審な活動がないかログを確認し、すべてのアクティブセッションを無効化して、ユーザーにMFA有効化済みアカウントで再ログインさせるべきだ。 サイバー攻撃後、生徒に1週間の休校措置 英国のHigham Lane Schoolは先週、サイバー攻撃により、まあ、ほとんどすべてが停止したため休校した。 Higham Lane Schoolの生徒たちは、おそらく、同校が1月3日に最初に報告したこの事案を受けて月曜日に休校した後、学校がその週いっぱい閉鎖されると先週木曜日に知らされ、喜んだに違いない。 この攻撃により、学校の電子ゲートが故障し、火災警報がオフラインになり、生徒記録システムにアクセスできなくなったようだ。そのため学校は生徒と職員の安全を保証できないとして休校を決めた。 「警察のサイバー専門家と教育省のサイバーセキュリティ専門家からの助言は非常に明確でした。学校を開けるのは安全ではない、ということです」と校長のMichael Gannonは先週木曜日に述べた。 ® 翻訳元:

今週は、特にInstagramユーザーにとって混乱の多い一週間となりました。Malwarebytesが1月9日、Meta傘下の同プラットフォームに関わるデータ侵害を追跡したと発表したためです。同社によると、ハッカーが1,750万件のInstagramアカウントのデータをオンラインに流出させたとのことでした。流出した情報には、ユーザー名、メールアドレス、電話番号、住所が含まれていました。 MalwarebytesはX（旧Twitter）で次のように述べています。「サイバー犯罪者が、ユーザー名、住所、電話番号、メールアドレスなどを含む1,750万件のInstagramアカウントの機微情報を盗み出した。「 X上のMalwarebytes この投稿は、今回の出来事が最近のデータ侵害であるかのように示唆していました。しかし、その主張は不正確です。Hackread.comの調査により、データは実在し捏造ではないものの、少なくとも最近サイバー犯罪者が盗み出したものではないことが確認されました。 参考までに、Malwarebytesが言及していたのは、2026年1月7日に、Solonikという別名を名乗るユーザーが投稿した、タイトル「INSTAGRAM.COM 17M GLOBAL USERS – 2024 API LEAK」のBreachForumsの投稿でした。 その投稿では、データは2024年の侵害によるもので、ユーザー名、メール、電話番号、ユーザーID、位置情報の一部が含まれると主張していました。しかし実際には、Hackread.comの調査で、2022年に収集されたスクレイピングデータを再梱包したものだと確認されました。 同じデータは、2023年6月に「vanz」として知られるユーザーによってBreachForumsで最初に流出し、同時期に別のフォーラムであるLeakBaseにも出回りました。これを2024年の流出として扱うのは、古いデータを新しいものとして再ブランド化する意図的な動きで、信憑性を水増しし注目を集めるためにしばしば使われる手口です。 2022年の流出が2023年に出回り、その後2026年に投稿――Solonikの投稿はユーザーから批判を受けた後、再投稿としてマークされた（画像提供：Hackread.com） 数字の一致 いわゆる「最新」のInstagramデータ流出には、17,017,213件のユーザーレコードが含まれています。この数は、2023年6月に「vanz」が流出させたデータ、および2026年1月に「Solonik」が投稿したデータと完全に一致します。件数が同一であるだけでなく、サンプルデータをざっと見ただけでも、直接のコピーであることが確認できます。形式、フィールド、エントリのすべてが、以前の流出と一致しています。 Hackread.comは17,017,213件すべてのレコードを突合し、「新しい」流出は2022年の同一データを再投稿しただけで、新しいものとして再梱包されたにすぎないことを確認しました。 流出データセットにおける件数とレコードの一致（画像提供：Hackread.com） パスワードリセットメールと、率直だが曖昧なInstagramの回答 流出報道が再燃した後、一部のユーザーはInstagramからパスワードリセットメールを受け取り始めました。当初、データにパスワードが含まれていなかったため、これらはフィッシングの試みではないかという憶測がありました。 メールはInstagramの公式ドメインから送信され、青いチェックマーク付きで認証されていたため、多くの人がInstagramが実際に侵害され、攻撃者が実在のユーザーデータにアクセスしたのだと信じる要因となりました。 しかし本日早く、2025年1月11日、InstagramはX上でこれらの主張に言及しました。同社は侵害を否定しつつも、外部の第三者が一部ユーザーに対してパスワードリセットメールを送信させられる問題があったことを認めました。 「外部の第三者が一部の人に対してパスワードリセットメールを要求できてしまう問題を修正しました。当社システムへの侵害はなく、あなたのInstagramアカウントは安全です。これらのメールは無視してください。混乱を招いたことをお詫びします」とInstagramは投稿しました。 X上のInstagram ここでより大きな疑問が生じます。この外部の第三者とは誰で、どのようにして正規のパスワードリセットメールを送信できたのでしょうか。スクレイピングされたデータセットに含まれる同じユーザー名を使って、誰か（あるいは何らかの自動化システム）がInstagramのパスワードリセット機能を悪用していたのでしょうか。 この活動の背後に誰がいたのかは依然として不明ですが、ユーザーは自分が要求していないパスワードリセットメールを受け取っており、それが混乱を増幅させ、侵害の主張が広がる一因となりました。 サイバーセキュリティニュースのタブロイド化 サイバーセキュリティ報道における深刻化する問題の一つは、信頼できる情報源というよりタブロイド紙のように振る舞う媒体の増加です。こうした媒体はクリックを狙って速報を急ぎ、データに対して基本的な確認すら行わず、SNSやTelegramチャンネルの未検証の主張に依存することが少なくありません。 今回のInstagramの事例が示すように、「侵害」をうたう扇情的な見出しを掲げる前に、情報の出所、古さ、正当性を確認する努力がなされていませんでした。その結果、パニックを広げ、読者を混乱させ、実際のセキュリティ研究を損ない、現実のサイバー脅威に対する社会の理解を傷つけています。 Instagramユーザーへの助言：フィッシングとスミッシングのリスクは依然として残る それでも、流出データが古いとはいえ、含まれている情報は実在のものです。詐欺師が標的型のフィッシングやスミッシング（SMSフィッシング）キャンペーンを仕掛けるには、それで十分です。データに掲載されているInstagramユーザーは、Instagramを装った不審なメール、Meta、またはその他の信頼できるサービスを名乗る連絡に警戒すべきです。 これらのメッセージは、ユーザーにパスワードを入力させたり、悪意のあるリンクをクリックさせたり、添付ファイルをダウンロードさせたりしようとする可能性があります。リンクや緊急のセキュリティ警告を含むSMSメッセージも同様です。要求していないパスワードリセットメールやメッセージを受け取った場合は、何もクリックしないでください。アプリやサイトに直接アクセスし、そこで確認してください。再利用されたデータは今でも使われ、最初に流出してから何年も経って被害をもたらすことがよくあります。 翻訳元:

カリフォルニア州プライバシー保護庁（CalPrivacy）は、データブローカーとして登録しないまま数百万人のユーザーの健康情報および個人データを販売していたマーケティング企業Datamastersに対して措置を講じました。 カリフォルニア州Delete Actにより、消費者に関する情報を売買する事業者は、毎年、翌年1月31日までにデータ仲介活動を登録することが義務付けられています。 2026年からは、これにより消費者はDelete Request and Opt-out Platform（DROP）と呼ばれるオンラインプラットフォームにアクセスでき、登録済みのすべてのデータブローカーに対して個人情報の削除を求めるリクエストを提出できるようになります。 Datamastersとして事業を行うRickenbacher Data LLCの件では、CalPrivacyは期限内に登録しなかったとして45,000ドルの罰金を科しました。 重大性の高い違反が継続したため、テキサス州拠点の同社は、カリフォルニア州民の個人情報を販売することも禁止されました。 同庁の最終命令によると、Datamastersは、さまざまな医療状態（例：アルツハイマー病、薬物依存、膀胱失禁）を抱える数百万人のユーザー情報を購入し、ターゲティング広告のために再販売していました。 「さらにDatamastersは、年齢や推定される人種に基づく人々のリストを購入・再販売し、『シニアリスト』や『ヒスパニックリスト』を提供したほか、政治的見解、食料品店での購入、銀行取引活動、健康関連の購入に基づくリストも提供していました」と、CalPrivacyは述べています。 収集されたデータは数億件のレコードで構成され、氏名、メールアドレス、住所、電話番号が含まれていました。 悪質性を高める要因として、同社が州の規制の取り組みに対して、カリフォルニア州で事業を行っておらずカリフォルニア州民のデータも扱っていないと主張し、証拠を突き付けられると後にその逆を認め、さらにデータを手作業で選別していると主張した点が挙げられます。 同社に遵守を迫る試みが複数回行われたにもかかわらず、Datamastersは抵抗したとされ、未登録のデータブローカーとしての運営を続けていました。 12月12日に署名された決定によると、同社は12月末までに、以前に購入したカリフォルニア州民の個人情報をすべて削除するよう命じられました。 今後、より大規模なデータセットの一部としてカリフォルニア州民に属する情報を受領した場合、同社は受領から24時間以内にそれを削除しなければなりません。 Datamastersはまた、今後5年間にわたり遵守措置を維持し、1年後に関連するプライバシー慣行の報告書を提出しなければなりません。 CalPrivacyはまた、2024年分のデータブローカー登録を2025年1月31日の期限までに行わなかったとして、S&P Global Inc.に62,600ドルの罰金を科しました。ただし、この違反は事務上の誤りによるものでした。 「S&P Globalは迅速にデータブローカーとして登録し是正措置を講じたものの、同社は313日間未登録の状態でした」と、同庁はS&P Globalに罰金を科す決定の中で指摘しています。 翻訳元:

Instagramは、脅威アクターがパスワードリセットメールを大量に要求できるバグを修正したとし、1,700万件を超えるInstagramアカウントのデータがスクレイピングされオンラインで流出したとの主張が出る中で説明しました。 「一部のInstagramユーザーに対して外部の第三者がパスワードリセットメールを要求できてしまう問題を修正しました」と、Metaの広報担当者はBleepingComputerに語りました。 「当社システムへの侵害はなく、皆さまのInstagramアカウントは引き続き安全であることを改めてお伝えします。これらのメールは無視していただいて構いません。混乱を招いたことをお詫びします」 Instagramのデータ侵害があったとされる報道の過熱は、Malwarebytesがサイバー犯罪者が1,750万件のアカウントからデータを盗んだとして、顧客に対し警告したことを受けて始まりました。 この疑惑のあるInstagram データは多数のハッキングフォーラムで無料公開され、投稿者は、これは未確認の 2024年Instagram API流出を通じて収集されたものだと主張しました。 疑惑のInstagramデータを流出させたフォーラム投稿 共有されたデータには合計17,017,213件のInstagramアカウントプロフィールが含まれており、 電話番号、ユーザー名、氏名、 住所、メールアドレス、Instagram IDなどが含まれます。 ただし、これらの情報が各レコードすべてに含まれているわけではなく、Instagram IDとユーザー名だけといった最小限のものもあります。 X上のサイバーセキュリティ研究者は、スクレイピングされたデータは2022年のAPIスクレイピング事件によるものだと主張していますが[1, 2]、これを裏付ける明確な証拠は提示していません。 さらにMetaはBleepingComputerに対し、2022年または2024年にAPI関連のインシデントがあったことは把握していないと述べました。 ただし、Instagramは過去にもAPIスクレイピング事件に見舞われており、例えば悪用された2017年のバグにより、推定600万件のアカウントの個人情報がスクレイピングされ販売されたことがあります。 新たに流出したInstagramデータが、2017年の流出と、ここ数年の追加情報をまとめたものかどうかは不明です。 BleepingComputerは、Instagram情報を流出させた人物に対し、いつ盗まれたものか確認するため連絡しましたが、返答はありませんでした。 Instagramは侵害を否定 現時点で、このインシデントが新たなInstagramのデータ侵害を示すという証拠はありません。Metaは、2022年または2024年にAPIが侵害された事実は把握しておらず、新たな侵害も発生していないとしています。 また、研究者は流出したデータセットが最近の脆弱性によって取得されたことを示す証拠を提示していません。 むしろ、情報からは、このデータが複数の情報源から数年にわたって以前にスクレイピングされた情報をまとめたものかもしれないことが示唆されます。 良いニュースとして、この流出データにはパスワードが含まれていないため、変更する必要はありません。 ただし、この情報を悪用した標的型フィッシング、スミッシング（SMSフィッシング）、ソーシャルエンジニアリング 攻撃には引き続き警戒する必要があります。 脅威アクターが流出データを利用して、ユーザーのパスワードなど追加情報を盗もうとするのは一般的です。 アカウント復旧を自分で開始していないのにInstagramのパスワードリセットメールや、電話番号宛てにテキストコードが届いた場合は、単に無視して削除してください。 アカウントで二要素認証を有効にしていない場合は、有効にしてセキュリティを高めることを強く推奨します。 翻訳元:

ペンシルベニア州中部地区連邦検察局（米国連邦検事局）によると、米国郵便を通じてフェンタニルとヘロインを流通させた広範な連邦薬物密売事件で、被告5人に判決が言い渡された。 連邦検察当局は、最終被告が1月7日に量刑を言い渡され、インターネットと暗号資産を用いて全米に薬物を販売していたオピオイド密売組織に対する複数年にわたる捜査の末、本件は終結したと述べた。 捜査当局によれば、本件は暗号資産と引き換えにオンラインでフェンタニルなどのオピオイドを販売していたダークネットの販売者を中心とするものだった。薬物は米国郵便公社を通じて発送され、荷物はペンシルベニア州モンロー郡から送られていた。覆面捜査官は2022年後半に当該販売者から管理下での購入を開始し、後にフェンタニル陽性と判定された。 2023年2月に販売者の自宅で執行された捜索令状により、現金、電子機器、薬物の帳簿、暗号資産保管用ウォレット、規制薬物が押収された。当局によると、帳簿には2021年までさかのぼる約1,000件の記録が含まれており、49州および海外の顧客への発送が記録されていた。 捜査当局は、トニー・オリバーを麻薬の供給源として特定した。検察によれば、オリバーは2023年1月にニュージャージー州で無関係の州法事件により逮捕された後も、録音される拘置所の通話を通じて共謀者と連絡を取り、刑務所内から薬物取引を継続して運営していた。 連邦当局は、2023年に同グループが関与した複数のフェンタニル取引を記録しており、その中にはフェンタニル約50グラムをそれぞれ販売した事例が複数含まれている。捜査は、オリバーがペンシルベニア州へ移動し、100グラム超のフェンタニルを積んだ車両で停止させられた後、2023年9月に逮捕されたことで最終局面を迎えた。 キョン・ワトソン：フェンタニルおよびヘロインの配布ならびに配布目的の所持の共謀。2026年1月7日に量刑が言い渡され、禁錮66か月、その後4年間の保護観察（監督付き釈放）。 トニー・K・オリバー（別名「LZ」）：フェンタニルおよびヘロイン400グラム以上の配布ならびに配布目的の所持の共謀。2025年4月1日に量刑が言い渡され、禁錮151か月、その後5年間の保護観察（監督付き釈放）。 ロサ・E・デュラン：フェンタニルおよびヘロインの配布ならびに配布目的の所持の共謀。2025年9月9日に量刑が言い渡され、禁錮24か月、その後2年間の保護観察（監督付き釈放）。 デウェイン・A・ハットン：フェンタニルおよびヘロインの配布ならびに配布目的の所持の共謀。2025年5月13日に量刑が言い渡され、禁錮51か月、その後3年間の保護観察（監督付き釈放）。 ジャニー・カルデロン＝ロドリゲス：フェンタニルの配布および配布目的の所持。2025年2月4日に量刑が言い渡され、禁錮24か月、その後3年間の保護観察（監督付き釈放）。 捜査官は、トニー・K・オリバーが2023年1月16日にニュージャージー州パターソンで無関係の州法事件により逮捕されたにもかかわらず、録音される刑務所内の通信を通じてデュラン、ロドリゲス、ハットン、ワトソンと連絡を取り、収監中も薬物密売組織の運営を継続していたことを把握した。オリバー、デュラン、ハットン、ワトソン、ロドリゲスは刑務所内から、薬物販売および薬物の配送を継続することを共謀し、より具体的には2023年2月24日（フェンタニル52グラムを5,500ドルと引き換えに販売）、 2023年3月28日（フェンタニル50グラムを5,200ドルと引き換えに販売）、 2023年5月16日（フェンタニル53グラムを5,000ドルと引き換えに販売）、 2023年7月12日（フェンタニル50グラムを5,000ドルと引き換えに販売）を行い、最終的に、2023年1月16日のニュージャージー州の事件で最近釈放されたばかりのオリバーが2023年9月26日にペンシルベニア州中部地区へ移動し、フェンタニル101グラムを積んだ車両で停止させられたことで逮捕に至った。 出典: 翻訳元:

国際的な法執行機関は最近、世界で最も危険な犯罪ネットワークの一つとして知られる「ブラック・アックス」に大きな打撃を与えた。ユーロポールの支援のもと、スペイン国家警察とバイエルン州のドイツ当局が主導する連携作戦により、警察はスペイン各地で34人を逮捕した。逮捕の大半はセビリアで行われたが、マドリード、マラガ、バルセロナでも容疑者が拘束された。 ブラック・アックスとは？ ブラック・アックスは新しい集団ではない。西アフリカ、特にナイジェリアで始まり、世界中で約3万人のメンバーを抱える巨大組織へと成長した。彼らは非常に組織的で、大企業の暗い版のように、指導者と厳格な規則を備えていることで知られる。人身売買 や武装強盗といった凶悪犯罪にも関与している一方で、特にオンライン詐欺で悪名高い存在となっている。 ユーロポールのプレスリリースによると、これらの犯罪者は金を盗むために複数の手口を用いている。これには、恋愛関係にあると信じ込ませて金をだまし取るロマンス詐欺や、偽のメールを送ってログイン情報を盗むフィッシングが含まれる。さらに、企業のメールに侵入して支払い先を自分たちの口座に変更させるビジネスメール詐欺（BEC）も利用している。 弱者の勧誘 さらなる捜査により、スペインにおける同グループの戦略は、失業率が高い貧困地域の人々を標的にすることだったと判明した。これらの人々はマネー・ミュールとして勧誘された。これは、犯罪者が盗んだ金を移動させるために自分の銀行口座を使わせる人々を指す用語で、警察が元の犯罪を追跡しにくくする。勧誘された者の多くはスペイン人の地元住民で、ナイジェリア国籍者10人を含む中核グループに利用されていた。 このグループがもたらす経済的影響は驚くべきものだ。当局は、ブラック・アックスが世界全体で毎年数十億ユーロを稼いでいるとみている。このスペインの事案に限っても、詐欺による被害は約600万ユーロに達した。強制捜査では、警察は銀行口座内の11万9,352ユーロ超を凍結し、現金6万6,403ユーロ超を押収した。 情報を共有し国境を越えて連携することで、ユーロポールは地元警察がこのグループの活動実態を把握するのを支援した。ブラック・アックスは通常、摘発を逃れるために大規模な犯罪を多数の小規模な地域犯罪の背後に隠すため、この協力体制は本作戦における重要な要となった。 「この戦略は、分散した小規模事案、国境を越えた活動、そして犯罪が『通常の』地域犯罪へと紛れ込むことによって生じる課題に対処しつつ、同グループの活動を妨害し資産を押収することを目的としている」と、ユーロポールはプレスリリースで述べた。 これは今後に何を意味するのか？ 今回の逮捕は大きな勝利ではあるが、ブラック・アックスは数十か国で活動しているため、組織全体が壊滅したわけではない点を明確にしておく必要がある。しかし、この作戦により、彼らの欧州での活動には大きな混乱が生じた。この出来事は、サイバー犯罪者が何千マイルも離れた場所で画面の裏に隠れていても、法執行機関が追いつく方法を見いだしつつあることを示している。 翻訳元:

Microsoftは、Microsoft Wordから直接ドキュメントをKindleに送信できる機能を廃止します。 サポートドキュメントの更新で、MicrosoftはMicrosoft Wordから「ドキュメントをKindleに送信」するオプションを削除することを確認しました。 この変更は2026年2月以降に展開されますが、正確な日付は示されていないため、段階的なロールアウトになる可能性があります。 機能が廃止されると、エクスポートメニューからこの機能にアクセスできなくなります。 Microsoftは「docおよびdocxファイルは、このKindleに送信サイトから直接送信することを推奨します」と述べています。 知らない方のために説明すると、「Kindleに送信」機能を使うと、Microsoft Wordのドキュメントを数分で直接Kindleライブラリに送信できます。 Microsoftは「転送されたファイルは、フォントサイズを調整できるKindle本のように表示することも、ページデザインの書式を保持するために固定レイアウトの印刷ドキュメントのように表示することもできます」と説明しています。 「Kindleに送信」を使用すると、Wordは印刷時の表示に近い形で、書式スタイルとページレイアウトを保持します。 「Kindleに送信」を使用した場合に失われるのは、コメントと変更履歴の追跡のみでした。 残念ながら、2026年2月以降は「Kindleに送信」を使用できなくなります。 翻訳元:

悪名高いBreachForumsハッキングフォーラムの最新の“後継”がデータ侵害を受け、ユーザーデータベースのテーブルがオンラインで流出しました。 BreachForumsは、盗まれたデータの取引・販売・リークに加え、企業ネットワークへのアクセスやその他の違法なサイバー犯罪サービスを販売するために利用されてきた一連のハッキングフォーラムの名称です。 このサイトは、これらのフォーラムの最初期であるRaidForumsが法執行機関に押収され、運営者の「Omnipotent」が逮捕された後に立ち上げられました。 BreachForumsは、データ侵害や警察の捜査を過去に受けてきたものの、新たなドメインで繰り返し再始動しており、現在は法執行機関のハニーポットになっているのではないかと指摘する声もあります。 昨日、ShinyHunters恐喝ギャングにちなんだ名称のウェブサイトが、breachedforum.7zという名前の7Zipアーカイブを公開しました。 このアーカイブには、次の3つのファイルが含まれています： shinyhunte.rs-the-story-of-james.txt databoose.sql breachedforum-pgp-key.txt.asc ShinyHunters恐喝ギャングの関係者はBleepingComputerに対し、このアーカイブを配布したサイトとは無関係だと述べました。 アーカイブ内の「breachedforum-pgp-key.txt.asc」ファイルは、2023年7月25日に作成されたPGP秘密鍵で、BreachForumsが管理者からの公式メッセージに署名するために使用していたものです。鍵自体は流出していますが、パスフレーズで保護されており、パスワードがなければメッセージ署名に悪用することはできません。 パスフレーズで保護されたBreachForumsのPGP秘密鍵出典：BleepingComputer 「databoose.sql」ファイルは、MyBBのユーザーデータベーステーブル（mybb_users）で、メンバーの表示名、登録日、IPアドレス、その他の内部情報を含む323,988件の会員レコードが収録されています。 BleepingComputerがこのテーブルを分析したところ、IPアドレスの大半はローカルのループバックIPアドレス（0x7F000009/127.0.0.9）に紐づいており、あまり有用ではありません。 しかし、70,296件のレコードには127.0.0.9のIPアドレスが含まれておらず、テストしたレコードはパブリックIPアドレスに紐づきました。これらのパブリックIPアドレスは、当該人物にとってOPSEC上の懸念となり得るほか、法執行機関やサイバーセキュリティ研究者にとって価値がある可能性があります。 新たに流出したユーザーデータベースにおける最終登録日は2025年8月11日で、これは以前のBreachForums（breachforums[.]hn）が閉鎖された日と同じです。この閉鎖は、運営者とされる人物の一部が逮捕されたことを受けて行われました。 同日、ShinyHunters恐喝ギャングのメンバーが「Scattered Lapsus$ Hunters」Telegramチャンネルにメッセージを投稿し、このフォーラムは法執行機関のハニーポットだと主張しました。その後、BreachForumsの管理者はこれらの主張を否定しました。 breachforums[.]hnドメインは、その後、ShinyHunters恐喝グループが実行した広範なSalesforceデータ窃取攻撃の影響を受けた企業を恐喝する目的に転用されたのち、2025年10月に法執行機関に押収されました。 現在のBreachForums管理者で「N/A」として知られる人物は、この新たな侵害を認め、MyBBのユーザーデータベーステーブルのバックアップが、保護されていないフォルダ内で一時的に露出し、ダウンロードされたのは1回だけだったと述べました。 「データベース流出とされる件に関する最近の議論について触れ、何が起きたのかを明確に説明したい」とN/AはBreachForumsに書き込みました。 「まず第一に、これは最近の出来事ではありません。問題のデータは、BreachForumsが.hnドメインから復旧／復元されていた期間である2025年8月にさかのぼる、古いユーザーテーブル流出に由来します。」 「復元作業の過程で、ユーザーテーブルとフォーラムのPGP鍵が、ごく短時間、保護されていないフォルダに一時保存されました。調査の結果、その期間中にフォルダがダウンロードされたのは1回だけだったことが分かっています」と管理者は続けました。 管理者は、リスク低減のためにBreachForumsのメンバーは使い捨てのメールアドレスを使用すべきであり、またIPアドレスの大半はローカルIPに紐づいていると述べたものの、このデータベースには依然として法執行機関の関心を引き得る情報が含まれています。 翻訳元:

2026年1月9日、クリアウェブと「ダークウェブ」の両方で利用可能な悪名高いサイバー犯罪・ハッカーフォーラムであるBreachForumsに属するデータベースが一般公開され、32万人超のユーザーが注目の的となりました。 周知のとおり、BreachForumsは騒動とは無縁ではありません。このプラットフォームは、法執行機関に押収されたり、消えては再登場したりしてきた経緯があります。警察が前身のRaidForums（2022年）を閉鎖した後、こうした活動の“定番”サイトとなっていました。2025年4月上旬には、フォーラムが説明もなく突然姿を消しました。 多くの人が警察の摘発を疑う中、Hackread.comは当時、押収ではなくセキュリティ上の問題が原因でサイトが消えたと報じました 。2025年7月までに、フォーラムは 再びオンラインに復帰しました。 流出したデータベース Hackread.comと調査結果を共有したResecurityによると、流出ファイルには323,986人のユーザー情報が含まれており、「MySQL DBから抽出されたメタデータ」も含まれています。これは基本的に、画面の向こう側にいる人物の特定に役立ち得るデジタルフットプリントです。 このデータベースはshinyhunte.rsで公開されました。同サイトは過去にも盗難データセットをホストしており、悪意あるコンテンツのリスクがあるため直接アクセスは推奨されません。同じプラットフォームは、Salesforce関連の侵害に結び付くインシデントの後、富士フイルム、GAP Inc.、ベトナム航空、Engie Resources、カンタス航空（Qantas Airways Limited）、Albertsons Companiesに関連するデータ流出にも過去に利用されています。 BreachForumsのデータベースには、過去のフォーラム運営者に歴史的に関連付けられてきた有効なPGP署名が添付されており、データセットが本物で、フォーラム内部システムから発生した可能性が高いことを示しています。 流出したデータベース（画像提供: Hackread.com） 参考までに、ShinyHuntersは絶えず変化する同盟の一部です。Scattered Lapsus$ Huntersや、「The Com」と呼ばれるコミュニティといった名前を耳にするかもしれません。これらは単なる適当な名称ではなく、ツールや標的を共有するために結集した若いハッカーたちの「スーパーグループ」を表しています。 研究者らは別のレポート で、ShinyHuntersという呼称を「疑わしい行為に若いIT専門家が関与する現象を示す」ための広いラベルとして用いていると説明しました。これを強調することで、才能ある他の若者に対し、こうした犯罪的な界隈に近づかないよう警鐘を鳴らしたい考えです。 Hackread.comも流出データセットを独自に確認し、一般的なプロフィールのメタデータに加えて、ユーザーの表示名、メールアドレス、Argon2iのパスワードハッシュ、Telegramなど外部アカウントへのリンクが含まれていることを確認しました。パスワードは平文で保存されていないものの、これらのデータポイントの組み合わせは、影響を受けたユーザーにとって依然として特定・帰属（アトリビューション）上のリスクを伴う可能性があります。 BreachForumsの反応 N/Aという別名を使用するBreachForumsの管理者は、データベース流出の報道に対し、露出したデータは2025年8月の古いインシデントに由来するものだと主張しました。管理者によれば、.hnドメインのテイクダウン後のフォーラム復旧作業中に、ユーザーテーブルとフォーラムのPGP鍵が一時的に保護されていないディレクトリに保存され、その期間中に一度だけダウンロードされたとのことです。 管理者は、このインシデントはサーバー侵害、データベースへのアクセス、またはエクスプロイトを伴うものではないと強調し、現在の「進行中の侵害（ブリーチ）」だとする主張は虚偽だと述べました。また、データセット内のパスワードはArgon2iハッシュとして保存され、IPアドレスは大部分が切り詰められており、残りのフィールドは公開表示される情報で構成されていると付け加えました。フォーラム側は当時すべてのセッションを無効化し、その後、復旧手順は安全に確保されたとしています。 BreachForumsの管理者とその回答（画像提供: Hackread.com） 流出とともに出回っている「James」のメッセージ 流出したデータベースと併せて、「James」と名乗る人物が署名した長文のマニフェストもshinyhunte.rsに掲載されました。本文には、複数のサイバー犯罪関係者やグループへの言及を含む、扇情的な主張や脅迫が、非常に芝居がかった思想的なトーンで記されていました。 このメッセージ内の主張について独立した検証はなく、こうしたマニフェストは地下フォーラム内で注目を集めたり、偽情報を拡散したり、帰属（アトリビューション）を混乱させたりする目的で一般的に用いられます。この文章が出回っていることは、著者や名指しされた人物の身元を裏付けるものではなく、事実の開示ではなく未検証のレトリックとして扱うべきです。 「James」とそのストーリー（画像提供: Hackread.com） この流出が重要な理由 周知のとおり、犯罪組織がここまで徹底的に露出するのは非常に稀です。このインシデントは、最も悪質なグループであっても、他者に対して悪用しているのと同じ失敗により脆弱になり得ることを示しています。 研究者らは、犯罪インフラの露出は一般的な企業の情報漏えいよりも広範な防御上の影響を持ち得ると指摘しています。すなわち、不正ネットワークを混乱させ、将来の勧誘を抑止する可能性があるということです。研究者らは、独立した分析のためにデータベースを共有することで、サイバー犯罪の連鎖を断ち切り、こうしたコミュニティへの将来的な関与を思いとどまらせたいとしています。 翻訳元:

衝撃的なサイバーセキュリティ事件が明らかになりました。ダークウェブのマーケットプレイスで宣伝されたデータ侵害により、1,750万人のInstagramユーザーの個人情報が流出したとされています。 サイバーセキュリティ企業Malwarebytesは、X（旧Twitter）を通じて最初に一般へ警告を発し、ユーザー名、メールアドレス、電話番号、位置情報の一部を含む盗難データが販売目的で出回っているとして、漏えいの深刻さを確認しました。 影響を受けたユーザーからは、本物のInstagramパスワードリセット通知を受け取ったとの報告があり、実際に悪用が試みられていることを示しています。 この会話で共有されたダークウェブの掲載情報のスクリーンショットによると、データセットのタイトルは「Instagram.com 10億ユーザー – 2024年リーク」となっていますが、実際には2024年後半に世界中からスクレイピングされた1,750万件のレコードが含まれているとされています。 販売者「Subkek」は、公開APIと国別の情報源を用い、直近3か月で新たに収集したデータだと主張しており、ユーザー名、完全なメールアドレス、電話番号、住所の一部が含まれるとしています。 画像に表示されたサンプルレコードは、詳細の真正性を裏付けており、「Usernames, Emails, Phones」といったフィールドが明示され、2024年11月のタイムスタンプも併記されています。 このスクレイピング手法は従来型のハッキングを回避し、Instagramの公開プロフィールやAPIを悪用して、システムへ直接侵入することなく連絡先データを収集します。世界規模であることがリスクを高めており、サイバー犯罪者が地域ごとに最適化したフィッシングやなりすまし（ID窃取）を仕掛けられる可能性があります。 流出データの詳細 侵害された情報は、1,750万アカウントそれぞれについて危険なプロファイルを形成します。 項目 提供される詳細 リスクレベル ユーザー名 固有のInstagramハンドル 高 instagram-breach1.jpg​ メール 完全なメールアドレス 重大 instagram-breach2.jpg​ 電話番号 直接連絡可能な番号 重大 位置情報 住所の一部／国 高 instagram-breach1.jpg​ この組み合わせにより、SIMスワップやクレデンシャルスタッフィング（漏えいした認証情報の使い回し攻撃）などの高度な攻撃が可能になり、流出したメールや電話番号がアカウント乗っ取りを助長します。 BreachForumsのようなプラットフォームでの販売にとどまらず、この漏えいは差し迫った脅威を引き起こしています。Malwarebytesは、ユーザーにパスワードリセットメールが届いていることを指摘しており、脆弱なセキュリティ慣行の隙を突いて支配権を奪うための手口だとしています。パスワード自体が盗まれたことを示す証拠はありませんが、過去の侵害と組み合わさることで、このデータは脆弱性を増幅させます。 2026年1月10日時点で、Meta（Instagramの親会社）から公式声明は出ておらず、ユーザーは不透明な状況に置かれています。サイバーセキュリティの専門家は、侵入を伴わない性質のためにスクレイピングが検知を回避した可能性があると推測しており、APIセキュリティの隙を浮き彫りにしています。 ユーザーが取るべき防御策 被害を軽減するため、迅速に行動してください。 Instagramで二要素認証（2FA）を直ちに有効化する。 パスワードを強力で固有のものに変更し、Have I Been Pwnedで侵害状況を確認する。 メールと電話の不審な動きを監視し、心当たりのないリンクはクリックしない。 アプリの権限とログイン履歴を見直し、不審な点がないか確認する。 組織は従業員アカウントをスキャンすべきです。流出データが企業スパイ活動の燃料になり得るためです。この侵害は、オンラインでのプライバシー重視の習慣の必要性を再確認させるものであり、専門家はMetaに対してより厳格なAPI制御を求めています。2026年の脅威環境では、警戒を怠らないことが依然として重要です。 翻訳元:

スペイン当局は、サイバー詐欺に関与する犯罪ネットワークの一員とされ、ヨーロッパ全域で違法活動を行っているBlack Axeグループとつながりがあるとみられる34人を逮捕した。 この作戦は、バイエルン州刑事警察局の協力と、ユーロポールの支援を受けて実施された。 セビリア、マドリード、マラガ、バルセロナでの捜索で、警察は現金6万6,400ユーロ、電子機器、車両を押収し、銀行口座11万9,350ユーロを凍結した。 スペインのサイバー犯罪組織は、ナイジェリア系の人物らが主導しており、Black Axeギャングのメンバーとして、ビジネスメール詐欺（BEC）などの、いわゆる中間者攻撃（man-in-the-middle）詐欺を専門としていた。 「この組織は、Man-in-the-Middle（MITM）として知られる詐欺を専門としていた。これは、犯罪者が正当な通信に割り込み、被害者に気づかれないまま情報や支払いを傍受、改ざん、または転送する手口だ」 と、スペイン国家警察は述べている。 「最も一般的に確認された形態はビジネスメール詐欺（BEC）で、企業のメールアカウントが侵害またはなりすましされることで、犯罪者が企業間の正規のやり取りを傍受し、銀行口座情報を改ざんして、組織が管理する口座へ多額の支払いを迂回させることが可能になる。」 捜査当局によると、サイバー犯罪者が過去15年間に与えた被害は600万ドルを超え、そのうち350万ドルが今回の作戦に関連している。 このグループは、ヨーロッパ各国に拠点を置く広範なマネーミュール（資金受け子）と名義人のネットワークを利用し、不正収益の移動を助け、追跡を困難にしていた。 逮捕された4人の主要容疑者は、勾留（公判前拘禁）となった。彼らは、加重・継続的詐欺、犯罪組織への加入、資金洗浄、文書偽造、司法妨害に関連する罪に問われている。 スペイン当局は、捜査は現在も継続中であり、近くさらなる逮捕が行われる可能性があると強調している。 Black Axeは1977年にナイジェリアで設立され、登録メンバー3万人と、広範なマネーミュールおよび協力者のネットワークを有するとみられる、世界でも最も広範で危険なサイバー犯罪シンジケートの一つだ。 同グループは、麻薬密売、人身売買、売春、誘拐、武装強盗、霊的詐欺、そして近年ではサイバー犯罪に関与している。 2年前、米国は同グループのメンバーの一人であるOlugbenga Lawalに対し、国内の人々をだましてBlack Axeの実行犯が盗み取った数百万ドルの資金洗浄を行ったとして、懲役10年を言い渡した。 2022年には、INTERPOLが南アフリカで大規模な作戦を実施し、Black Axeグループのメンバーとみられる70人を逮捕した。 翻訳元:

大規模なデータ侵害により、約1,750万人のInstagramユーザーの個人情報が漏えいし、機微な詳細が現在ダークウェブのフォーラムで出回っています。 この漏えいは、Malwarebytesのサイバーセキュリティ研究者によって最初に指摘され、ダークウェブ上のリスティングを通じて検証されました。数百万人をなりすまし被害や標的型フィッシング攻撃にさらす、膨大な連絡先情報の宝庫が露出しています。 流出したデータセットは今週初め、悪名高いハッキングフォーラムに登場し、「Solonik」という別名で活動する脅威アクターによって投稿されました。「INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK」と題されたこの掲載は、JSONおよびTXTファイル形式で1,750万件のレコードを含むと主張しています。 フォーラム投稿によると、このデータは2024年後半に「API Leak」を通じて収集され、標準的なセキュリティ対策を回避して世界中のユーザープロフィールをスクレイピングしたとされています。 データサンプルのスクリーンショットにより、これらの項目の有効性が確認されており、サイバー犯罪者が標的の包括的なプロフィールを構築できる、個人情報の構造化された一覧が示されています。 この侵害はすでに受動的な脅威から能動的な悪用へと移行しています。データ公開後、多くのInstagramユーザーが、身に覚えのないパスワードリセット通知が急増したと報告しています。 漏えいにパスワード自体は含まれていないようですが、メールアドレスと電話番号の組み合わせだけでも、「SIMスワップ」攻撃や高度なソーシャルエンジニアリングには十分です。 Instagramサポートを装ったり、流出した個人情報を用いて信頼関係を築いたりすることで、詐欺師は被害者をだまして二要素認証（2FA）コードやログイン認証情報を渡させることができます。 この事案は、Instagramの中核サーバーへの直接侵入ではなく、「スクレイピング」—公開インターフェースを介したデータの自動収集—として分類されています。しかし、「API Leak」の規模は、レート制限やプライバシー保護策の不備を示唆しており、アクターが検知されることなく数百万のアカウントを照会できたことになります。 2026年1月10日現在、Metaはこの1,750万件のレコード流出に関して正式な声明を発表していません。サイバーセキュリティの専門家は、すべてのInstagramユーザーに対し、SMSではなく認証アプリを用いた多要素認証（MFA）を直ちに有効化し、促していないパスワードリセットメールは無視するよう強く勧告しています。 翻訳元:

オフィスでサーバーやネットワークの管理にHewlett Packard Enterprise（HPE）OneViewを使用している場合、ただちにソフトウェアのバージョンを確認する必要があります。ログインやパスワードなしでハッカーがシステムを掌握できてしまう重大なセキュリティ欠陥が発見されました。 状況は深刻で、米政府が介入し、各機関に対して月末までにシステムを更新する厳格な期限を設けました。この問題は、既知の悪用されている脆弱性（KEV）カタログにも正式に追加されています。周知のとおり、CISAが欠陥をこのリストに載せるのは、誰もが直ちに行動すべきだという合図です。 問題点：鍵のかかっていない扉 この欠陥は、ベトナムのセキュリティ専門家Nguyen Quoc Khanh氏によって発見され、HPEに報告されました。CVE-2025-37164として追跡され、CVSSスコアは満点の10.0（可能な限り最高の深刻度）に割り当てられています。基本的にはコードインジェクションの問題です。簡単に言えば、ハッカーがソフトウェアをだまして、自分たちの悪意ある命令を実行させられるということです。 Rapid7のチームによる調査で、この問題が「ID Pools」と呼ばれる機能の中に潜んでいることが明らかになりました。調査によれば、REST APIエンドポイントとして知られる特定の通信経路が、パスワードなしで開放されたままになっていました。 この入口は認証を必要としないため、攻撃者は簡単なリクエストを送るだけでシステムを完全に制御できます。HPEは、この「脆弱性が悪用される可能性があり、リモートの未認証ユーザーが」重大な被害を引き起こし得ると警告しています。 最もリスクが高いのは？ Rapid7の研究者は、この欠陥が11.00より古いすべてのバージョンに存在する一方で、製品によって影響の度合いが異なるようだと指摘しました。具体的には、パッチ未適用の「HPE OneView for HPE Synergy」はすべて脆弱である可能性が高いとしています。仮想マシン利用者については、6.xが主な標的になっているようです。 参考までに、安全を保つための回避策や調整可能な設定はありません。解決策は完全なアップデートのみです。HPEは必要な修正を12月中旬に公開しており、すべてのユーザーに対し、直ちにOneView 11.00以降へ移行するよう強く求めています。 攻撃のパターン 脅威はこれだけではありません。CISA当局者は、ハッカーがMicrosoft Office PowerPointのはるかに古い欠陥（CVE-2009-0556）を使ってネットワークに侵入する行為も依然として続いていると指摘しました。CISAによれば、こうした種類の穴は、組織が古いソフトウェアの更新を忘れたり、何年も前に最初に悪用された「レガシー」ファイルを使い続けたりすることをハッカーが知っているため、「頻繁な攻撃ベクター」になります。 政府は修正を提案しているのではなく、拘束力のある運用指令22-01の下でそれを要求しています。サーバー管理ツールの最新のバグであれ、プレゼンアプリにある10年前の穴であれ、当局からのメッセージは明確です。パッチを当てなければ、いずれ誰かがそれを利用して侵入してきます。 専門家の見解 Hackread.comにコメントを寄せたBlack Duckのシニア・サイバーセキュリティ・ソリューション・アーキテクトであるChrissa Constantine氏は、この事例はセキュリティテストがいかに重要かを示す完璧な例だと説明しました。 Constantine氏は、「CVE‑2025‑37164のOneView脆弱性は、公開到達可能なREST APIエンドポイントを介して未認証のリモートコード実行（RCE）を可能にするため深刻です」と述べました。さらに、OneViewは環境全体の管理の中核であるため、「この脆弱性はアプリケーションを侵害するだけでなく、環境全体を危険にさらす」と警告しました。 Cequence Securityの最高情報セキュリティ責任者であるRandolph Barr氏は、企業ネットワーク内におけるソフトウェアの位置づけが、この状況を特に危険にしていると付け加えました。「OneViewは、あらゆるものを広く見渡せる集中管理レイヤーです」とBarr氏は述べています。「ハッカーがHPE OneViewのようなプラットフォームを侵害すると、単一のシステムへのアクセスを得るだけでなく、環境全体の中核業務にも侵入します。」 Barr氏は、企業はこれを通常の更新として扱うべきではないと助言しました。「緊急の運用計画上の懸念として扱ってください」と同氏は促しています。「迅速に動きつつも、基本を忘れないでください。導入状況を理解し、露出（影響範囲）を評価し、パッチ適用中は綿密に監視し、ロールバックが可能であることを確保してください。」 翻訳元:

テキサス州を拠点とするガソリンスタンド運営会社Gulshan Management Services, Inc.は、37万7,000人超の顧客の個人情報が侵害された重大なデータ侵害を公表しました。 このインシデントは2025年9月17日から9月27日の間に発生し、2025年9月27日に発覚しました。影響を受けた個人への通知は2026年1月5日に行われました。 テキサス州全域でガソリンスタンドを運営するシュガーランド拠点の同社は、無許可のハッキングを伴う外部からのシステム侵害の被害に遭いました。 サイバー犯罪者は、氏名や、なりすましや詐欺に悪用され得るその他の個人識別情報を含む、機微な顧客情報を保有するシステムにアクセスしました。 メイン州司法長官事務所に提出された侵害通知によると、全米で377,082人が影響を受け、その中にはメイン州在住者54人が含まれます。 同社の法務代理人であるWillkie Farr & Gallagher LLPのDaniel Alvarez氏が、Gulshan Management Servicesを代表して、義務付けられた侵害開示を提出しました。 このセキュリティインシデントへの対応として、Gulshan Management Servicesは、Kroll Identity Monitoring Servicesを通じて、影響を受けた顧客に12か月間の無料の本人確認保護サービスを提供しています。 保護パッケージには、クレジット監視、詐欺に関する相談、ならびに本人確認情報盗難の復旧支援サービスが含まれており、被害者が情報を保護し、潜在的な悪用から回復できるよう支援します。 同社は影響を受けたすべての個人に書面で通知を送付し、侵害の詳細と保護サービスへの登録手順を提供しました。 これは、過去12か月間における同組織からの初めての侵害通知となります。 本件は、特に顧客の支払い情報や個人情報を取り扱う小売・サービス事業者が直面する、継続的なサイバーセキュリティ上の課題を浮き彫りにしています。 ガソリンスタンド運営会社や同様の事業者は、詐欺行為に悪用するための金融データや個人識別情報を狙うサイバー犯罪者にとって、依然として魅力的な標的です。 影響を受けた顧客には、提供されている監視サービスへの登録を強く推奨するとともに、本人確認情報の盗難や不正なアカウント活動の兆候に注意を払うよう呼びかけています。 翻訳元:

イランの脅威アクターとして知られるMuddyWaterが、Rustベースのインプラント「RustyWater」を用い、中東の外交、海運、金融、通信関連の組織を標的としたスピアフィッシング・キャンペーンに関与しているとされている。 「このキャンペーンは、アイコンの偽装と悪意のあるWord文書を用いて、非同期C2、解析回避、レジストリによる永続化、侵害後の機能拡張をモジュール式に行えるRustベースのインプラントを配布します」と、CloudSEKのリセッターであるPrajwal Awasthiは、今週公開されたレポートで述べた。 今回の最新動向は、MuddyWaterの手口が継続的に進化していることを示している。同グループは、侵害後のツールとして正規のリモートアクセスソフトウェアへの依存を徐々に、しかし着実に減らし、Phoenix、UDPGangster、BugSleep（別名MuddyRot）、MuddyViperといったツールを含む多様なマルウェア・アーセナルへと移行している。 このハッキンググループは、Mango Sandstorm、Static Kitten、TA450としても追跡されており、イラン情報省（MOIS）に関連していると評価されている。少なくとも2017年から活動している。 RustyWaterを配布する攻撃チェーンは比較的単純だ。サイバーセキュリティのガイドラインを装ったスピアフィッシングメールにMicrosoft Word文書が添付されており、これを開くと、悪意のあるVBAマクロの実行を有効化するために「コンテンツの有効化」を行うよう被害者に指示する。このマクロがRust製インプラントのバイナリを展開する役割を担う。 Archer RATおよびRUSTRICとも呼ばれるRustyWaterは、被害者マシンの情報を収集し、インストールされているセキュリティソフトを検出し、Windowsレジストリキーによって永続化を設定し、ファイル操作とコマンド実行を可能にするため、コマンド＆コントロール（C2）サーバー（「nomercys.it[.]com」）との通信を確立する。 なお、RUSTRICの使用は、イスラエルの情報技術（IT）、マネージドサービスプロバイダー（MSP）、人事、ソフトウェア開発企業を標的とした攻撃の一環として、先月末にSeqrite Labsが指摘している。この活動は、同サイバーセキュリティ企業によりUNG0801およびOperation IconCatの名称で追跡されている。 「歴史的に、MuddyWaterは初期侵入および侵害後の活動にPowerShellとVBSローダーを利用してきました」とCloudSEKは述べた。「Rustベースのインプラントの導入は、より構造化され、モジュール化され、ノイズの少ないRAT機能へとツールが顕著に進化していることを示しています」 翻訳元:

Surveyor 高度なWindowsカーネル解析およびシステムプロファイリングツール。ユーザーランドAPIと、任意のカーネルドライバー統合の両方を通じて、カーネルコールバック、ETWセッション、ドライバー解析、システム状態を包括的に可視化します。 主な機能 カーネルコールバック解析：シンボル解決を用いて、プロセス／スレッド／イメージロード／レジストリのコールバックを列挙 ETWセッション検出：カーネルレベルの可視性により、アクティブなETWセッション、コンシューマー、トレースプロバイダーを特定 セキュリティ製品検出：コールバック列挙とミニフィルター解析により、EDR/AV製品を検出 シンボル解決：Windowsカーネルシンボルを解決するためのMicrosoftシンボルサーバー連携 ドライバー解析：フックのギャップ検出を備えた包括的なカーネルモジュール列挙 メモリ・フォレンジクス：高度な解析とパターン検出のためのカーネルメモリへの直接アクセス コアコンポーネント データコレクター システム： GetVersionExW、 GetSystemInfo、 GlobalMemoryStatusEx プロセス： CreateToolhelp32Snapshot、 Process32FirstW/NextW、モジュール列挙 ドライバー： NtQuerySystemInformation(SystemModuleInformation)、レジストリ解析 サービス：サービスコントロールマネージャーAPI、構成クエリ ネットワーク： GetAdaptersAddresses、 GetExtendedTcpTable、ルーティングテーブル レジストリ：セキュリティハイブの列挙、永続化箇所のスキャン ファイルシステム：ドライブ列挙、セキュリティソフトウェアのディレクトリ検出 AMSI：プロバイダーのレジストリ解析、COMオブジェクトのイントロスペクション ETW： TdhEnumerateProviders、セッション列挙、コンシューマー解析、オートロガー設定 コールバック：シンボル解決とドライバー通信によるカーネルコールバックテーブルの列挙 ミニフィルター：ファイルシステム操作コールバックの列挙と分類 カーネルドライバー コールバック列挙：プロセス、スレッド、イメージロード、レジストリのコールバック ETW解析：セッション列挙、コンシューマー特定、ロガー解析 シンボル解決：カーネルシンボルのためのMicrosoftシンボルサーバー連携 モジュール解析：ドライバー列挙、署名検証、ギャップ検出 メモリアクセス：高度な解析のためのカーネルメモリ直接読み取り インストール＆使用方法 翻訳元:

ここ数日、イランは、対立が物理的な通りだけでなくデジタル領域にも浸透する国家の姿をますます強めている――とりわけ、突如生じた通信の深い断絶の中で。抗議活動と労働ストライキが激化する嵐のさなか、テヘランおよび他の複数の大都市圏の住民は深刻な接続障害を報告しており、独立した監視システムは、国家主導による世界インターネット接続の遮断と整合する状況を描き出している。 Cloudflare Radarが公表したデータによれば、不安定化が頂点に達した局面で、同国の外部から可視なIPv6インフラはほぼ消失した。「アナウンスされたIPv6アドレス空間」は約98.5%急落し、IPv6トラフィックの割合も12%からわずか1.8%へと後退した。この技術的後退は極めて重大である。IPv6は携帯電話ネットワークで広く利用されているため、こうした崩壊は、ローカルおよび有線サービスがかろうじて存続していたとしても、このデジタルな切断の主たる標的がモバイル接続であったことを示唆する。 リアルタイムのネットワーク指標とサービス可用性を精査するNetBlocksも、これらの所見をさらに裏付け、首都を含む複数地域が「デジタル・ブラックアウト」の状態へと沈み込んだと特徴づけた。実際には、メッセージング・プラットフォームの麻痺、ウェブ資源の断続的な不具合、VPNの不安定な動作、そしてモバイルデータと通話が何時間にもわたり激しく変動する、といった形で現れる。 同時に、前線からの報告や国際メディアは、現在の騒乱を近年で最も手強いものだと伝えている。人道支援団体や報道機関の報告によれば、12月下旬に通貨の急変と急騰するインフレによって火が付いたデモは、経済的な不満をすぐに超えて、露骨に政治的なものへと変質した。複数の都市で治安部隊との衝突が記録されており、当局は検閲を強化し、通信に対する苛烈な制限を課すことで応じている。 翻訳元:

Linuxカーネル内で重大な脆弱性が発見されました。カーネルが誤って解放済みメモリとやり取りしてしまうまでの、ほんの一瞬の時間的な隙を突くだけで悪用できるものです。これはもはや机上の理論ではありません。CVE-2025-38352（CVSSスコア7.4）の動作する概念実証（PoC）エクスプロイトがGitHub上に公開され、この欠陥がローカル権限昇格に十分実用的であることが示されています。 具体的にCVE-2025-38352はPOSIX CPUタイマーの実装に存在し、handle_posix_cpu_timers()関数におけるuse-after-free（UAF）状態として現れます。この脆弱性は、CONFIG_POSIX_CPU_TIMERS_TASK_WORKフラグが無効になっている構成でのみ発生します。この設定は32ビットAndroidカーネルで一般的である一方、64ビットシステムでは通常、影響を受けない別の構成が用いられます。 問題の核心は、いわゆる「ゾンビタスク」でPOSIX CPUタイマーが期限切れになった際に引き起こされる競合状態です。ゾンビプロセスの生成、親プロセスによる回収、そしてタイマーの削除を精密に同期させることで、カーネルがすでに解放されたメモリにアクセスしてしまう可能性があります。最悪の場合、権限昇格や、カーネル権限での任意コード実行への道が開かれます。 Chronomalyと名付けられたこのエクスプロイトは、サイバーセキュリティ企業ZellicのFaithとして知られる研究者によって公開されました。コードには、この欠陥の発見、分析、実用的な悪用方法を詳述した全3部構成の包括的な技術解説も付属しています。特筆すべき点として、Chronomalyはカーネルシンボルのオフセットや固定メモリアドレスの事前知識を必要とせず、さまざまなビルドに対して非常に移植性が高いものとなっています。 必要な競合の時間窓を確実に捉えるため、このエクスプロイトには少なくとも2CPUを備えたマルチコアプロセッサが必要です。テストはLinuxカーネル5.10.157を用いたQEMU上で実施されましたが、パラメータは多様な環境に合わせて調整可能です。手法としては、CPUタイマー操作によって競合の時間窓を拡大し、ヒープグルーミング戦略を用いてオブジェクトの割り当てに影響を与えます。特にsigqueue構造体が対象となります。 重要な点として、この脆弱性は実際に悪用されている欠陥のカタログに組み込まれており、現実の侵害で使用されている可能性を示唆しています。主なリスクは32ビットAndroidデバイスに結び付いているものの、影響を受けるコンポーネントは他の32ビットLinuxベースのシステムにも残っているため、レガシーなモバイル問題として片付けるべきではありません。 対処は標準的ですが、極めて緊急です。修正済みカーネルへ移行するか、可能であればCONFIG_POSIX_CPU_TIMERS_TASK_WORKフラグを有効化してください。コミットf90fff1e152dedf52b932240ebbd670d83330ecaとして実装された修正は、ゾンビタスク上でのタイマー処理を実質的に禁止します。Chronomalyが大規模悪用のための普遍的な道具へと進化する前に、デバイスメーカーおよびシステム管理者はこれらの更新を最優先で適用することが強く求められます。 翻訳元:

サイバー攻撃者は、メールサービスが悪意あるQRコードを遮断するために用いるセキュリティ手順を回避する巧妙な手口を考案しました。従来の画像ファイルを使うのではなく、HTMLコードだけで構成されたQRコードを拡散し始めたのです。その結果、これらのメールは無害に見え、背後にあるフィッシング攻撃を認識できないセキュリティシステムをしばしばすり抜けてしまいます。 SANS Technology Instituteの一部であるInternet Storm Centerのアナリストは、この新たなキャンペーンを特定しました。12月22日から26日にかけて、QRコードが従来の画像形式として添付されるのではなく、HTMLテーブルを用いて「描画」された一連のフィッシングメールを捕捉しました。 この手口は驚くほど効果的であることが示されています。現代の防御機構の大半は、画像内のQRパターンを精査するよう調整されていますが、このケースでは解析すべき正式な画像が存在しません。専門家は、この技術によって電子メール内での自動検知と分析を回避しやすくなると指摘しています。 メッセージ自体は際立って簡素で、数行の文章とQRコードのみで構成され、余計な情報は排されていました。受信者は、文書を確認して承認するという名目でコードをスキャンするよう促されました。見た目の体裁はもっともらしく、直ちに疑念を抱かせるものではありませんでした。 技術的には、QRコードの各「ピクセル」は35×35の単位で測られる個別のHTMLテーブルセルとして描画されていました。これらのセルの背景を黒または白に塗り分けることで、見慣れたパターンを表現しています。一般の観察者には概ね通常のコードに見えますが、縦方向がわずかに圧縮されていました。 コードをスキャンすると、被害者は認証情報を窃取するために作られた偽サイトへリダイレクトされました。基本的な発想自体はまったく前例がないわけではありませんが、実際の侵害活動での運用は、悪意あるコンテンツの配信方法について固定的な前提に依存することの危険性を浮き彫りにしています。 研究者らは、技術的な対策だけでは、特に技術的な回避とソーシャルエンジニアリングを組み合わせた攻撃に対して、あらゆる脅威を無力化するには不十分だと強調しています。この終わりのないいたちごっこの中で、攻撃者は常に新たな抜け穴を探し出し、そして実際に見つけ出します。HTMLベースのQRコードは、その最新の分かりやすい例にすぎません。 翻訳元:

10年以上ぶりに、米国当局はストーカーウェア事業の所有者に対する有罪判決を確保した。ミシガン州を拠点とするpcTattletaleの創設者ブライアン・フレミングは、同意なく個人を密かに監視することを目的として特別に設計された製品の流通に起因する連邦罪について、有罪を認めた。 司法記録によれば、フレミングはpcTattletaleの運営を取り仕切り、主に不貞の発覚手段として同サービスを売り込んでいた。彼の宣伝戦略は驚くほど率直で、YouTubeでのプレゼンテーションでは、このソフトウェアをAndroid端末に所有者に気づかれないよう密かにインストールし、検知されないまま動作させる方法を説明していた。これにより監視者は、被害者の私的なメッセージやデジタル上の足跡について、生々しい「映画のような」記録を得られるという。 ウェブサイトには違法使用に関する形式的な免責事項が掲げられていたものの、周辺のコンテンツは違法な監視を明確に助長していた。捜査資料は、この製品が長年にわたり配偶者、家族、雇用主が他者をスパイするのに役立ってきたとする宣伝文句を強調している。フレミングは、電子・口頭・有線通信の傍受を目的とした装置の製造、流通、所持、広告について有罪を認めた。量刑言い渡しは2026年4月3日に予定されている。 裁判所が詳述したところによれば、この捜査は包括的な市場監査から始まった。2021年6月、国土安全保障捜査局（HSI）は、ストーカーウェアを販売する100以上の他ドメインとともにpcTattletaleを精査した。マーケティング提携者を装ったHSIの潜入捜査官は、標的となる顧客層についてフレミングと協議した。フレミングは書簡の中で、不貞なパートナーを陥れようとする女性のほうが男性よりも収益性の高い市場だと推測したとされる。 その後、捜査官はパートナーの端末を監視しようとする顧客を装い、その際フレミングがインストール支援を申し出たと報告されている。2022年1月、捜査当局は管理下のテスト端末にpcTattletaleをインストールし、99.99ドルのサブスクリプションで通信内容、活動ログ、正確な位置情報への包括的なリモートアクセスが得られることを確認した。 さらに検察は、顧客が恋愛対象を追跡するための具体的な助言を求めていたことを示すやり取りを入手した。ある事例では、フレミングが、疑念を招かないようクレジットカード明細で取引を目立たなくする方法を心配する購入者に指示したとされる。 pcTattletaleの事業は、壊滅的なデータ侵害を受けた2024年に崩壊した。TechCrunchは、13万8,000件超の顧客記録を含むデータベースが持ち出され、同社ウェブサイトが改ざんされてギガバイト級の盗難情報が暴露されたと報じた。この種の侵害はしばしば二重の被害をもたらし、監視の被害者と、それを依頼した加害者の双方を危険にさらす。 電子フロンティア財団（EFF）は、この有罪答弁を重要な節目と捉えており、ストーカーウェア運営者に対する刑事訴追は極めて稀だと指摘する。EFFは、この市場が存続してきた背景に、広く蔓延する「罰せられない」という感覚があるとし、FTCのような規制当局が制裁を科しても、刑事上の有罪判決を得ることは困難だったとしている。影響は主として米国内で感じられる可能性がある（こうした事業体の多くは米国の管轄外で運営されているため）一方で、市場は着実に縮小している。EFFとAV-Comparativesの共同報告書によれば、稼働中のストーカーウェア製品数は2021年の20から昨年は17へと減少した。 翻訳元:

バックアップリポジトリは伝統的に防御の最終砦と見なされてきましたが、Veeamは最近、これらのシステム自体が侵入の主要な経路となり得ることを痛烈に思い起こさせました。同社はVeeam Backup & Replication向けに重大なセキュリティパッチを公開し、一連の脆弱性、とりわけリモートコード実行（RCE）を可能にするエクスプロイトに対処しました。 これらの欠陥の中で最も注目すべきものはCVE-2025-59470（CVSSスコア：9.0）として識別されています。Veeamの技術アドバイザリによると、Backup OperatorまたはTape Operatorのロールを持つ攻撃者は、悪意のあるintervalまたはorderパラメータを注入することで、postgresユーザーの権限でRCEを達成できます。重要な点として、VeeamはCVSSが「重大（critical）」評価であるにもかかわらず、これを「高（high）深刻度」に分類しています。これは、事前に管理者権限が必要であること、そしてVeeamのハードニングガイドラインに従っていれば悪用リスクが大幅に軽減されるという前提に起因します。 これらのロールに付与される権限は確かに広範です。Backup Operatorはジョブ実行の管理、バックアップのエクスポートまたは複製、そしてVeeamZipアーカイブの生成を行えます。同様に、Tape Operatorはテープベースのワークフローを監督し、カタログ作成、テープ消去、および資格情報管理を含みます。堅牢に構成された環境では、このような高権限アカウントへのアクセスは厳格に制限し、厳密な監査の対象とすべきです。 主要な脆弱性に加えて、同一製品ライン内でさらに3つの欠陥が修正されました： CVE-2025-55125（CVSS：7.2）：侵害されたバックアップ構成ファイルを介して、BackupまたはTape OperatorがrootレベルのRCEを達成できるようにします。 CVE-2025-59468（CVSS：6.7）：Backup Administratorがpasswordパラメータを介してpostgresとしてコードを実行できるようにします。 CVE-2025-59469（CVSS：7.2）：BackupまたはTape Operatorにroot権限でファイルを書き込む能力を付与します。 これらの脆弱性はVeeam Backup & Replication 13.0.1.180およびv13系統のそれ以前のビルドに影響し、修正はバージョン13.0.1.1071で提供されています。Veeamは現時点で実環境における積極的な悪用の証拠を確認していないものの、直ちにパッチを適用することが強く推奨されます。バックアップソリューションは、ランサムウェア集団や侵害後活動者にとって恒常的な標的であり、バックアップサーバーを支配することは、しばしば組織の復旧インフラ全体への無制限のアクセスを意味するためです。 翻訳元:

アイルランド外務省は、ソフトウェア更新により印刷不具合が発生したことを受け、約1万3,000冊のパスポートを回収しました。 この印刷エラーにより、当該文書は国際的な渡航基準に適合しなくなり、自動化された国境ゲートで読み取れない可能性があります。 欠落した「IRL」コード 政府は、12月23日から1月6日に発行された影響を受けたパスポートは、世界各地のeゲートおよび出入国管理システムで不具合が生じる可能性があるとして、国際民間航空機関（ICAO）を通じた世界的な警告と、大規模な再発行プログラムを実施すると述べました。 「パスポート局は、2025年12月23日から2026年1月6日（両日を含む）に発行されたアイルランドのパスポート12,904冊が、国際的な渡航基準を完全には満たしていない可能性があることを確認しました」と政府は発表しました。 「この問題はソフトウェア更新が原因で、出入国管理またはeゲートでの利用に影響する可能性があります。」 所持者には、パスポート冊子（該当する場合はカードも）を返送して無償交換するよう求めており、新しい文書はおおむね10営業日以内に発行される予定です。 「これにより、今後の渡航で問題が生じないようにします。新しいパスポートを再申請する必要はありません」と公式通知は述べています。 外務省は欠落している「IRL」がどこに表示されるのかを明確には示していませんが、ICAO適合への言及とeゲートでの不具合の可能性から、このエラーは機械読取領域（MRZ）に影響している可能性が高いと考えられます。MRZでは、ICAO Doc 9303に基づき、3文字の発行国コードが必須とされています。 発行日とMRZを示すアイルランドのパスポート身分事項ページのサンプル （アイルランド政府） MRZとは？ MRZは、パスポートの身分事項ページ下部にある2行のテキストブロックで、航空会社のシステム、出入国管理キオスク、eゲートによって読み取られます。文書種別、発行国、パスポート番号、国籍、生年月日、そして文書の真正性を検証するためのチェックサムなどの重要データが符号化されています。 この領域で発行国コード「IRL」が欠落している、または形式が不正な場合、目視で確認できる身分事項ページや内蔵チップが正常に見えても、自動化システムがパスポートを即座に拒否する可能性があります。 近日中に渡航予定の方や海外在住者は、パスポート局のカスタマーサービスに、メール（[email protected]）または電話（+353 (0) 1 613 1780）で連絡できます。 翻訳元: