セキュリティ、マイル、投資に関するブログです。 / A blog about security, miles, and investments.

LevelBlueの最新レポートによると、2025年前半はインシデントがほぼ3倍に。ソーシャルエンジニアリングが初期侵入の39%を占め、ClickFixが急増しています。AIで攻撃速度も加速。今こそ最新の対策と教育が必要です。クリック操作や偽CAPTCHAを悪用する新手口への警戒を強めましょう。

Gen Z, or individuals born between 1997 and 2012, have certain types of lifestyles, upbringings and character traits that make them ideal for social engineering exploitation.

Open Source Security（OpenSSF）とOpen JS Foundationは、先日発生したXZ Utilsのインシデントを教訓に、ソーシャルエンジニアリングによるオープンソースプロジェクトの乗っ取りに関する注意喚起を行...

North Korean APT Kimsuky is attempting to deliver malware to South Korean targets by leveraging the so-called "ClickFix" tactic.

ITの仕組みを学びながらIT資格を目指しましょう。 本ブログで目指す資格は、「基本情報技術者試験」です。 基本情報技術者試験については、こちらもご参照ください。 問題については、独立行政法人情報処理推進機構（IPA）が公開している「サンプル

2024年12月、シリアで長年独裁体制を敷いていたバッシャール・アル＝アサド大統領が反体制派の攻撃を受け国外に亡命したことで、アサド政権が崩壊しました。このアサド政権の崩壊には、シリア軍将校の間で流行していたスパイウェアが一役買っていたことが明らかになっています。

YouTube video by nilab - NI Laboratory

「TikTok」が、情報窃取型マルウェアやその他の悪意あるプログラムの配布手段として悪用されており、無料ソフトウェアがその「餌」として使われているケースが報告されている。

2025年8月、GoogleのSalesforce基盤で運用されていたデータベースが不正アクセスを受け、Gmail利用者最大25億人規模への影響が懸念される事案が報じられました。攻撃は2025年6月頃から始まり、IT担当を装う電話等のソーシャルエンジニアリングで従業員に悪性アプリ承認を誘導、連絡先・企業名・関連メモ等の情報が流出した可能性が指摘されています。

セキュリティ専門家は、npmパッケージを標的とした新たに発見されたサプライチェーン攻撃が依然として活動中であり、すでにクラウド環境の10％に影響を与えている可能性があると警告しています。 月曜日、脅威アクターがソーシャルエンジニアリングを通じて著名な開発者「qix」のnpmアカウントを乗っ取り、人気パッケージのトロイの木馬化バージョンを公開しました。 これらの暗号資産を盗むマルウェアを含む悪意のあるバージョンは、わずか2時間以内に削除されましたが、セキュリティベンダーのWizは、それらがクラウド環境の10分の1に到達したと主張しています。 「これらのバージョンがダウンロード可能だった短い2時間の間に、もしフロントエンドのビルドに組み込まれ、Webアセットとして配信された場合、影響を受けたウェブサイトを読み込むすべてのブラウザは、ネットワークおよびウォレットAPIをフックする悪意のあるペイロードを実行し、署名前に暗号通貨の受取人や承認を密かに書き換えて、取引が攻撃者の管理するウォレットに転送されるようにします」と同社は述べています。 「悪意のあるバージョンがリリースされた後、当社のデータによると、悪意のあるコード自体は少なくともクラウド環境の10％で、バンドルやアセット内に存在していた可能性があります。」 オープンソースの脅威についてさらに読む：悪意のあるオープンソースパッケージが年間188％増加 Wizはまた、JFrogの調査を引用し、このキャンペーンがqixだけでなく他のnpmアカウントにも及んでいることを示しました。 「感染したパッケージの最初のバッチの後、duckdbを含むいくつかのアカウントがさらに侵害されていることを確認しました。これはキャンペーンが依然として継続中であることを示しています」とサプライチェーンセキュリティベンダーは記しています。 悪意のあるパッケージには、@duckdb/[email protected]、@duckdb/[email protected]、@duckdb/[email protected]、[email protected]が含まれていました。良いニュースとして、これらもすぐに削除され、「ほとんどダウンロードされなかった」とJFrogは述べています。 油断は禁物 世界最大のソフトウェアレジストリであるNPMのユーザーには、引き続き警戒を怠らないよう呼びかけられました。 「リストは進化しているものと考え、レジストリ/ミラーと照合し、ブロックリストを常に最新に保ってください」とWizは述べています。 クラウドセキュリティベンダーは、セキュリティチーム向けに以下のアドバイスを提供しています： プライベートレジストリ/プロキシで悪意のあるパッケージバージョンをブロックリストに追加し、既知の安全なバージョンにピン留めまたは上書きする クリーンなキャッシュ（CI＋ローカル）から再ビルドし、ローカル開発マシンやCI/CDビルドサーバー上のすべてのキャッシュをクリアして、「汚染された」キャッシュから侵害された依存関係が再導入されるのを防ぐ 会社のコンテンツデリバリーネットワーク（CDN）上のすべての影響を受けたJavaScriptアセットに対して無効化コマンドを発行し、サーバーがキャッシュされた悪意のあるファイルを破棄するよう強制する 必要に応じてクライアント側のチェックサム/サブリソースインテグリティ（SRI）を追加してUIをホットフィックスする。一時的にチップ/寄付モジュールを無効化し、ウォレットフローの再認証を強制する バンドル/アセットスキャンを実行し、9月8日13:16～15:15（UTC）の間に署名フローのテレメトリを確認して異常を調査し、悪意のあるパッケージを特定する その時間帯に予期しない受取人/支出者アドレスへの承認/送金を自動でフラグ付けし、影響を受けたユーザーに通知する キャンペーンが続く間はnpmのブロックリストを毎日更新し、DuckDBや新たに報告されたパッケージも含める 翻訳元:

Endpoint malware detections were up significantly during the third quarter of 2024, with a 300% increase compared to Q2.

米Zimperiumのリサーチャーは、フィッシングキャンペーンがAndroidスマートフォンを標的に「バンキングトロイの木馬Antidot」を配信していると警告しています。攻撃者は採用担当者を装い、偽の求人オファーで求職者を標的にしています。

2025年9月16日Ravie Lakshmananマルウェア / ソーシャルエンジニアリング サイバーセキュリティ研究者は、FileFixのソーシャルエンジニアリング手法の亜種を利用し、StealC情報窃取型マルウェアを配信する新たなキャンペーンについて警告しています。 「観測されたキャンペーンでは、非常に説得力のある多言語対応のフィッシングサイト（例：偽のFacebookセキュリティページ）を使用し、解析回避技術や高度な難読化を駆使して検知を逃れています」とAcronisのセキュリティ研究者Eliad Kimhyは、The Hacker Newsと共有したレポートで述べています。 大まかに言うと、この攻撃チェーンはFileFixを利用してユーザーに初期ペイロードを実行させ、その後Bitbucketリポジトリから悪意のあるコンポーネントを含む一見無害な画像をダウンロードさせる仕組みです。これにより、攻撃者は正規のソースコードホスティングプラットフォームへの信頼を悪用し、検知を回避しています。 FileFixは、2025年6月にセキュリティ研究者mrd0xによって概念実証（PoC）として初めて文書化されました。これは、ClickFixとは少し異なり、ユーザーがWindowsの「ファイル名を指定して実行」ダイアログを開き、すでにコピーされた難読化コマンドを貼り付けてフィッシングページ上の偽CAPTCHA認証を完了する必要がありません。 その代わりに、ウェブブラウザのファイルアップロード機能を利用し、ユーザーを騙してFile Explorerのアドレスバーにコマンドをコピー＆ペーストさせ、被害者のマシン上でローカルに実行させます。 攻撃は、被害者がメールからリダイレクトされる可能性の高いフィッシングサイトから始まります。そのメールは、共有された投稿やメッセージがポリシー違反であると主張し、1週間後にFacebookアカウントが停止される可能性があると警告します。ユーザーは、決定に異議申し立てをするようボタンをクリックするよう求められます。 フィッシングページは高度に難読化されているだけでなく、ジャンクコードや断片化などの技術も用いて解析を妨害しています。 FileFix攻撃は、ボタンがクリックされた時点で発動し、被害者には「ポリシー違反のPDF版」にアクセスするには、File Explorerのアドレスバーにドキュメントのパスをコピー＆ペーストするよう指示するメッセージが表示されます。 指示に記載されたパス自体は完全に無害ですが、ページ上のボタンをクリックしてFile Explorerを開くと、悪意のあるコマンドが密かにユーザーのクリップボードにコピーされます。このコマンドは多段階のPowerShellスクリプトで、前述の画像をダウンロードし、それを次のペイロードへデコードし、最終的にGoベースのローダーを実行してStealCを起動するシェルコードを展開します。 FileFixはまた、ClickFixに比べて重要な利点があります。それは、システム管理者によってセキュリティ対策としてブロックされる可能性のある「ファイル名を指定して実行」ダイアログ（またはApple macOSの場合はターミナルアプリ）を開くのではなく、広く使われているブラウザ機能を悪用している点です。 「一方で、ClickFixがそもそも検知が非常に難しい理由の一つは、runダイアログ経由でExplorer.exeから、または直接ターミナルから起動されることですが、FileFixの場合は被害者が使用するウェブブラウザによってペイロードが実行されるため、調査やセキュリティ製品においてはるかに目立ちやすい」とAcronisは述べています。 「この攻撃の背後にいる攻撃者は、フィッシングインフラ、ペイロード配信、支援要素を慎重に設計し、回避性とインパクトの最大化を図るなど、相当な投資を行っていることが示されました。」 この情報公開は、Doppelが、偽のサポートポータル、Cloudflare CAPTCHAエラーページ、クリップボードハイジャック（すなわちClickFix）を組み合わせて、被害者に悪意のあるPowerShellコードを実行させ、AutoHotkey（AHK）スクリプトをダウンロード・実行させる別のキャンペーンを観測したと詳細に説明したタイミングで行われました。 このスクリプトは、侵害されたホストをプロファイリングし、AnyDesk、TeamViewer、情報窃取型マルウェア、クリッパーマルウェアなど追加のペイロードを配信するよう設計されています。 サイバーセキュリティ企業はまた、被害者がGoogleの偽ドメイン（"wl.google-587262[.]com"）を指すMSHTAコマンドを実行するよう誘導され、リモートの悪意あるスクリプトを取得・実行するという他の亜種の活動も観測したと述べています。 「AHKは、もともとキーストロークやマウスクリックなどの繰り返し作業を自動化するために設計されたWindowsベースのスクリプト言語です」とDoppelのセキュリティ研究者Aarsh Jawaは指摘しています。 「そのシンプルさと柔軟性から長年パワーユーザーやシステム管理者に人気でしたが、2019年頃から脅威アクターがAHKを武器化し、軽量なマルウェアドロッパーや情報窃取ツールを作成し始めました。これらの悪意あるスクリプトは、しばしば無害な自動化ツールやサポートユーティリティを装っています。」 翻訳元:

Targeted Scams & What to do About Them Chris Clements, VP of Solutions Architecture Companies that have suffered massive data breaches are quick to downplay the risks, but they’re ignoring the…

Russian hackers used Gmail app passwords and fake State Dept. emails to access inboxes of academics.