サイバーセキュリティ研究者によると、最も長期間活動しているランサムウェア・アズ・ア・サービス（RaaS）運営の一つであるQilinランサムウェアグループに関連するランサムウェア事件の増加が観測されています。 S-RMの最新インテリジェンスによると、Qilinは引き続き、パッチ未適用のVPN機器、多要素認証（MFA）の未導入、公開された管理インターフェースなどの脆弱性を悪用して、企業ネットワークへの初期アクセスを獲得しています。 月曜日に公開されたアドバイザリで、同社は、2024年の英国医療システムへのSynnovis攻撃のような大規模な侵害が広く注目を集める一方で、Qilinの被害者の多くは建設、医療、金融分野の中小企業であると指摘しました。 サイバー犯罪グループ間の協力関係の拡大 Qilinは数年間活動していますが、これまで広範な注目を避けてきました。 S-RMは現在、Scattered Spiderグループの関係者がQilinのRaaSプラットフォームを利用していることを観測しており、著名なサイバー犯罪組織間でより深い協力関係があることを示唆しています。 S-RMの調査による主な発見として、Qilinは2023年からRaaSグループとして活動し、ツールやインフラをアフィリエイトに貸し出していることが挙げられます。 また、調査では、初期アクセスは通常、パッチ未適用のVPNや単一要素のリモートアクセスツールを通じて得られていることも示されました。 さらにS-RMは、2025年に観測されたQilinの事例の88%がデータ窃取とファイル暗号化の両方を伴い、身代金が支払われない場合は被害者のデータがダークウェブのリークサイトに公開されていると指摘しました。 QilinはTelegramやWikiLeaksV2のような公開サイトを含む新たな恐喝チャネルの実験も始めていました。 ランサムウェア・アズ・ア・サービスのトレンドについてさらに読む：ランサムウェアグループがAIチャットボットを使い被害者への圧力を強化 単なるハッカーではなく、テックビジネス 「Qilinは、ハッカーというよりテックビジネスのように運営される新世代のランサムウェアグループの一つです」とS-RM英国サイバーセキュリティ責任者のTed Cowell氏は述べています。 「彼らのアフィリエイトはツールをレンタルし、利益を分配し、ネットワークへの侵入方法を常に新しく試しています。」 Cowell氏は、Qilinの静かな活動が特に危険であると付け加えました。 「必ずしも大きな見出しにはなりませんが、Scattered Spiderを含む他の脅威グループにもますます利用されています。これにより、責任の特定が難しくなり、防御もさらに複雑になります」と説明しました。 S-RMはまた、多くの侵害が依然として基本的なセキュリティの抜け穴から発生していることを強調しました。 リスクを軽減するために、同社はすべての組織に以下を推奨しています： VPNやリモートアクセス機器を定期的にパッチ適用・更新する すべてのアカウントにMFAを適用する 公開された管理インターフェースを制限または削除する ネットワークを分割し、重要なシステムを隔離する 横方向の移動や侵入の兆候を積極的に監視する S-RMの調査結果は、ランサムウェアネットワークのプロフェッショナリズムの高まりと、全業界で強固なサイバー衛生が引き続き必要であることを浮き彫りにしています。 翻訳元:

（画像クレジット：Facebook） ハッカーが実際のfacebookmail.comドメインを使い、Facebookの警告を偽装してBusiness Suiteユーザーをフィッシング 4万通以上のメールが送信され、ある企業には4,000通以上が集中 ― ほとんどがテンプレート化された広範囲攻撃 防御にはMFA（多要素認証）、パスワードマネージャー、スタッフ教育、アカウント監視が必要 サイバー犯罪者がFacebook Business Suiteのユーザーを標的に、非常に巧妙なフィッシングメールを送りつけ、ログイン情報やその他の貴重な情報をだまし取ろうとしていると、専門家が警告しています。 このソーシャルネットワークのビジネスプラットフォームには適切な本人確認の仕組みがなく、ハッカーがFacebook自身を装ってユーザーの信頼を悪用できると、Check Point Research（CPR）の専門家が指摘しています。 Facebook Business Suiteは、企業がFacebook、Instagram、Messengerのアカウントを一元管理できるプラットフォームです。主に中小企業（SMB）、ソーシャルメディアマネージャー、マーケターに利用されています。 何ができるか？ しかし、悪意のある人物が新しいFacebookビジネスページを作成すると、公式のFacebookブランドを模倣した名前やロゴを簡単に設定し、公式のFacebook通知を装ったフィッシングメールを送信できます。 「重要なのは、これらのメッセージが正規のfacebookmail.comドメインから送信されていることです」と研究者は説明します。「多くのユーザーは見慣れない送信者アドレスを警戒するよう訓練されていますが、今回は知っていて信頼しているドメインからメールが届きます。そのため、フィッシングメッセージが非常に信じやすくなっています。」 攻撃者が送る通知の内容は、主にSMBや中堅企業が関心を持ちそうな「アカウント認証」「Metaパートナープログラム」「無料広告クレジットプログラム」などに関するものです。 これまでに攻撃者は、Check Pointの顧客（約5,000団体）に対して4万通以上のフィッシングメールを送信しており、実際の被害規模はさらに大きいと考えられます。 CPRの顧客のほとんどは300通未満のメールを受信しましたが、ある企業には4,000通以上が集中しました。メッセージの多くはテンプレート化されており、特定の組織を狙うのではなく、広くばらまいて誰が引っかかるかを狙ったものです。 被害者は主に米国、ヨーロッパ、カナダ、オーストラリアに分布しています。 これらの高度なフィッシング攻撃に対抗するために、いくつかの対策が考えられます。 まず、ユーザーは一元管理型のパスワードマネージャーを利用し、すべてのアカウントで多要素認証（MFA）を有効にすべきです。その上で、送信者の正当性を慎重に確認し、従業員やソーシャルメディアマネージャーにプラットフォーム上でのソーシャルエンジニアリングのリスクについて教育する必要があります。 最後に、アカウントの不審な活動を監視し、すべてのフィッシングの試みをFacebookに報告してください。 GoogleニュースでTechRadarをフォロー、 お気に入りの情報源に追加して、専門家によるニュース、レビュー、意見をフィードで受け取りましょう。必ずフォローボタンをクリックしてください！ もちろん、TikTokでTechRadarをフォローして、ニュースやレビュー、開封動画などを動画でチェックしたり、WhatsAppでも定期的な最新情報を受け取れます。 翻訳元:

130社以上が、多要素認証システムを偽装した大規模なフィッシングキャンペーンに巻き込まれた。 TwilioとCloudflareの従業員を標的とした攻撃は、130以上の組織で9,931件のアカウントが侵害された大規模なフィッシングキャンペーンに関連している。このキャンペーンは、アイデンティティおよびアクセス管理企業Oktaの悪用に焦点を当てており、研究者によって脅威アクターは「0ktapus」と名付けられた。 「脅威アクターの主な目的は、標的組織のユーザーからOktaの認証情報と多要素認証（MFA）コードを入手することでした」とGroup-IBの研究者は最近のレポートで述べている。「これらのユーザーは、自分たちの組織のOkta認証ページを模倣したフィッシングサイトへのリンクが含まれたテキストメッセージを受け取りました。」 被害を受けたのは米国拠点の114社で、さらに68か国にわたる追加の被害者も確認されている。 Group-IBのシニア脅威インテリジェンスアナリスト、ロベルト・マルティネス氏は、攻撃の規模はまだ不明だと述べている。「0ktapusキャンペーンは非常に成功しており、その全容が明らかになるには時間がかかるかもしれません」と彼は語った。 0ktapusハッカーの狙い 0ktapusの攻撃者は、標的となる電話番号へのアクセスを得るため、通信会社を最初に狙ったと考えられている。 脅威アクターがMFA関連攻撃に使用された電話番号リストをどのように入手したかは正確には分かっていないが、研究者が推測する一つの説は、0ktapusの攻撃者が通信会社を標的にキャンペーンを開始したというものだ。 「Group-IBが分析した侵害データによると、脅威アクターはモバイルオペレーターや通信会社を標的に攻撃を開始し、最初の攻撃でこれらの番号を収集した可能性があります」と研究者は記している。 次に、攻撃者はターゲットにテキストメッセージでフィッシングリンクを送信した。これらのリンクは、ターゲットの雇用主が使用するOkta認証ページを模倣したウェブページに誘導した。被害者は、Okta認証情報に加え、従業員がログインを保護するために使用する多要素認証（MFA）コードの入力を求められた。 付随する技術ブログで、Group-IBの研究者は、主にSaaS企業の初期侵害が多面的な攻撃の第一段階であったと説明している。0ktapusの最終的な目標は、企業のメーリングリストや顧客向けシステムにアクセスし、サプライチェーン攻撃を容易にすることだった。 関連する可能性のある事件として、Group-IBが先週末にレポートを公開してから数時間以内に、DoorDash社が0ktapus型攻撃の特徴を持つ攻撃の標的となったことを明らかにした。 被害範囲：MFA攻撃 ブログ投稿でDoorDashは、「不正な第三者がベンダー従業員の盗まれた認証情報を使用して、当社の内部ツールの一部にアクセスした」と明かした。投稿によると、攻撃者は顧客や配達員の名前、電話番号、メールアドレス、配達先住所などの個人情報を盗み出した。 Group-IBの報告によれば、攻撃者はキャンペーンの過程で5,441件のMFAコードを侵害した。 「MFAのようなセキュリティ対策は安全に見えるかもしれませんが…攻撃者は比較的単純なツールでそれを突破できることが明らかです」と研究者は記している。 「これは、攻撃者がいかに簡単に、いわゆる安全とされる多要素認証を回避できるかを示す、また一つのフィッシング攻撃です」とKnowBe4のデータ駆動型防御エバンジェリスト、ロジャー・グライムズ氏はメールでの声明で述べている。「簡単にフィッシングされるパスワードから、簡単にフィッシングされるMFAにユーザーを移行させても意味がありません。多大な労力、リソース、時間、お金をかけても、何の利益も得られないのです。」 0ktapus型キャンペーンを防ぐため、研究者はURLやパスワードの衛生管理、MFAにはFIDO2準拠のセキュリティキーの使用を推奨している。 「どのようなMFAを使う場合でも」とグライムズ氏は助言する。「ユーザーには、そのMFA形式に対して行われる一般的な攻撃の種類、それらの攻撃の見分け方、対応方法を教えるべきです。パスワードを選ぶ際にはユーザーに注意を促しますが、より安全とされるMFAを使わせる際には、それをしないのです。」 翻訳元:

（画像クレジット：Shutterstock） ハッカーは盗まれたSSO認証情報を使って大学のシステムにアクセスし、120万人分の個人データを盗んだ 一部のアクセス遮断後、攻撃的な大量メールが送信される。大学は後に侵害が事実であることを認めた 攻撃は、上級職員のMFA（多要素認証）運用の甘さをソーシャルエンジニアリングで突いたもの 最近ペンシルベニア大学のハッカーによって主張された「明らかに偽物」や「詐欺的」とされた内容は、結局のところ「明らかに偽物」や「詐欺的」ではなかったようです。組織はハッカーがシステムからファイルを盗んだことを正式に認めました。 サイバー犯罪者は最近、「完全なアクセス権」を大学職員のPennKey SSOアカウントで得たと明かし、それによりVPN、Salesforceデータ、Qlik分析プラットフォーム、SAPビジネスインテリジェンスシステム、SharePointファイルにアクセスできたとしています。そのアクセスを利用し、約120万人の学生、卒業生、寄付者のデータを盗みました。 盗まれた情報には、氏名、生年月日、住所、電話番号、推定純資産、寄付履歴、人口統計情報（人種、宗教、性的指向など）が含まれているとされています。 攻撃の調査 ネットワークのほとんどから追い出された後、ハッカーは残されたアクセス権を使い、約70万人に怒りのメールを送りました： 「ペンシルベニア大学は、目覚めたバカどもでいっぱいのクソみたいなエリート主義の機関だ。私たちはひどいセキュリティ運用をしており、全く実力主義ではない。」とメールには書かれていました。 「私たちは、レガシー、寄付者、そして資格のないアファーマティブ・アクション入学者が大好きなので、バカを雇い、入学させている。私たちはFERPAのような連邦法（あなたのデータはすべて漏洩する）やSFFAのような最高裁判決を破るのが大好きだ。」 当初、ペンシルベニア大学はこれらのメールを「明らかに偽物」や「詐欺的」と説明していましたが、最近のアップデートでこの主張を撤回しました： 「ペンシルベニア大学のスタッフは迅速にシステムをロックダウンし、さらなる不正アクセスを防ぎましたが、攻撃者によって攻撃的かつ詐欺的なメールがコミュニティに送信され、情報が盗まれました」とアップデートには記されています。「ペンシルベニア大学は、この期間中に取得された情報の性質について、現在も調査を続けています。」 また、ペンシルベニア大学は攻撃がソーシャルエンジニアリングによって行われたとも述べています。ほとんどの職員は多要素認証（MFA）の利用が義務付けられていますが、TechCrunchによると、一部の上層部はこの手順を省略することが許可されていたとのことです。 出典：TechCrunch GoogleニュースでTechRadarをフォロー および お気に入りソースに追加 して、専門家によるニュース、レビュー、意見をフィードで受け取りましょう。必ず「フォロー」ボタンをクリックしてください！ もちろん、TikTokでTechRadarをフォロー して、ニュース、レビュー、開封動画などを動画でチェックしたり、WhatsApp でも定期的に最新情報を受け取れます。 翻訳元:

DDSとスズキ教育ソフトが連携し、指紋認証を含む多要素認証を搭載した統合型校務支援システムを提供。教育機関のセキュリティ強化に貢献します。

And learn what else you can do to secure your online accounts

日本経済新聞社は、社内で利用しているチャットツール「Slack」に外部からの不正ログインがあったと発表した。

CISA and NSA warn of WSUS and Exchange attacks, urging immediate patching and zero trust adoption.

近江八幡市は2025年9月24日、アカウント管理の杜撰さがたたり、Twitter（現X）が乗っ取られたことを明らかにした。

造船や海運などの事業を展開する常石グループは、グループ会社従業員のメールアカウントが不正利用され、不特定多数にフィッシングメールが送信されたことを明らかにした。 ：Security NEXT

セキュリティの強化ということで、2025年6月1日からログイン時のメール認証が必須になるとの事。 認証はメールで送られてきたいくつかの絵文字を認証画面で順番に入力する形式。 これは認証設定を行う場合も同様です。 しかしこの絵文字は画像で、これを説明するテキストが付与されていません。 昨今普及しつつあるAIのツールを駆使して判別は可能ですが、 サービス提供者側で画像への代替テキストのう付与をしていた...

多要素認証の重要性が増す中、最適な選択をするためのウェビナーを開催します。参加して新しい知識を得ましょう。

（画像提供：Shutterstock） 10個のタイポスクワットnpmパッケージが約10,000台のシステムに情報窃取マルウェアを配布 マルウェアはシステムのキーチェーンを標的にし、アプリレベルのセキュリティを回避して復号化された認証情報を盗む 影響を受けたユーザーは認証情報の失効、システムの再構築、多要素認証の有効化が必要 危険な情報窃取マルウェアを配布する悪意あるnpmパッケージが10個近く、発見・削除されるまでに約10,000回ダウンロードされていました。 最近、セキュリティ研究者のSocketは、npm（Node Package Manager）エコシステムでJavaScriptやNode.jsライブラリをインストールするソフトウェア開発者を標的とした10個のパッケージをnpm上で発見しました。 これらは2025年7月初旬にアップロードされ、名前からも分かる通り、TypeScript、discord.js、ethers.jsなどの人気パッケージのタイポスクワット（綴り間違いを利用した偽パッケージ）がほとんどです。合計で9,900回ダウンロードされた後、プラットフォームから削除されました。 安全を守るには 全リストはこちら： deezcord.js dezcord.js dizcordjs etherdjs ethesjs ethetsjs nodemonjs react-router-dom.js typescriptjs zustand.js この情報窃取マルウェアは、システムのキーチェーン、ブラウザ、認証サービスから認証情報を収集するよう設計されていました。Windows、Linux、macOSを含む主要なプラットフォームすべてで動作します。 「このマルウェアはペイロードを隠すために4層の難読化を使用し、正規のものに見せかけるため偽のCAPTCHAを表示し、被害者をIPアドレスで特定し、24MBのPyInstallerパッケージ化された情報窃取ツールをダウンロードします」とSocketのセキュリティ研究者Kush Pandyaは説明しています。 Pandya氏はさらに、システムのキーチェーンは特に重要な標的であり、メールクライアント、クラウドストレージ同期ツール、パスワードマネージャー、SSHパスフレーズ、データベース接続文字列、その他OSの認証情報ストアと連携するアプリの認証情報が保存されていると説明しています。 「キーチェーンを直接狙うことで、マルウェアはアプリケーションレベルのセキュリティを回避し、保存された認証情報を復号化された状態で収集します。これらの認証情報により、企業のメール、ファイルストレージ、内部ネットワーク、プロダクションデータベースへ即座にアクセスできてしまいます。」 当然ながら、上記のパッケージをインストールしている場合は、システムが完全に侵害されたものとして扱うべきです。リスクを軽減するため、影響を受けたシステムをインターネットから切断し、SSHキー、APIトークン、GitHubやGitLabのアクセストークン、クラウドプロバイダー（AWS、GCP、Azure）キー、npmトークン、ブラウザやパスワードマネージャーに保存されている認証情報など、漏洩の可能性があるすべての認証情報を失効させ、感染したシステムを消去・再構築し、すべてのパスワードを変更し、npm依存関係やロックファイルを監査してください。 最後に、システムやネットワークのログを確認し、不審な活動や未知のドメインへの外部接続がないか調査し、すべてのアカウントで多要素認証を有効にしてください。 情報元：The Hacker News GoogleニュースでTechRadarをフォロー、 お気に入りソースに追加して、専門家によるニュース、レビュー、意見をフィードで受け取りましょう。フォローボタンもお忘れなく！ もちろん、TikTokでTechRadarをフォローして、ニュースやレビュー、開封動画などを動画でチェックしたり、WhatsAppでも定期的に最新情報を受け取れます。 翻訳元:

Riot Games（ライアットゲームズ）は、基本プレイ無料のタクティカルFPS『VALORANT（ヴァロラント）』に適用される最新パッチ11.09の詳細を公開。本パッチより、予告されていた多要素認証の必須化が一部地域とプレイヤーを対象にスタートしたほか、「インタラクティブオブジェクト」に関するアップデートが行われる。