医学部に通うほど優秀だったが、統合失調症の症状が現れて突然叫びだした姉。姉を「問題ない」と医療か...

安全なメッセージングプラットフォームとして宣伝されているアプリ「Freedom Chat」は、重大な2つの脆弱性が発見されたことで深刻なリスクにさらされました。ユーザーの電話番号を隠すことを含むデータプライバシーの保証があったにもかかわらず、研究者は、電話番号だけでなくユーザーのPINコードにもアクセスできてしまう欠陥を特定しました。 研究者のEric Daigleによると、脆弱性は先週発見されました。Freedom Chatにはセキュリティ問題を報告するための公開窓口がないと判断したうえで、彼はその調査結果をTechCrunch に共有しました。その後、同誌はアプリの創設者であるTanner Haasに連絡し、Haasはこの事案を認め、対応として講じた手順を説明しました。 欠陥の一つは、電話番号を大量に照合して、どの番号がプラットフォームに登録されているかを判定できるものでした。この手法は、ウィーン大学の研究者がWhatsAppの調査で以前に記録したアプローチと同様で、数十億の番号の組み合わせが試され、その結果、数十億アカウントに関するデータが収集されました。 さらに、Freedom Chatの別の脆弱性により、ユーザーがアプリへのアクセス保護のために設定していたPINコードが露出しました。ネットワークトラフィックを分析すると、同じ公開チャンネルを共有する他のユーザーのPINコードがサーバー応答として返されていることが確認できました。これらのコードはインターフェース上には表示されないものの、チャンネル参加者であれば誰でも取得できてしまいました。 Daigleは、この欠陥が悪用されれば、登録ユーザー約2,000人分に近いPIN情報を収集できた可能性があり、端末が盗まれた場合に攻撃者がアプリレベルの保護を回避できる恐れがあると見積もっています。 同社はその後、アップデートを公開し、サーバーリクエストのレート制限を強化し、不正利用を防ぐためにすべてのPINコードを自動的にリセットしました。開発者はまた、電話番号がサービスの他ユーザーに見えてしまう可能性がある状況にも対処しました。 以前、Tanner Haasは別のアプリ「Converso」をめぐっても批判を受けており、ユーザーのプライベートメッセージが露出するセキュリティ問題が発見された後、同アプリはアプリストアから削除されました。 翻訳元:

2025年8月上旬以降、Zscalerの研究者は、BlackForceとして知られる新たなフィッシングキットの拡散を追跡してきました。短期間のうちに、少なくとも5つの異なるバージョンのツールが確認されています。BlackForceは認証情報の窃取とMan-in-the-Browser攻撃を組み合わせ、二要素認証をリアルタイムで回避できるようにします。このキットはTelegramで200～300ユーロで販売されており、頻繁な更新を伴う活発な開発が続いています。 BlackForceはすでに、Disney、Netflix、DHL、UPSを含む11以上の著名ブランドになりすまして使用されています。その設計は、セキュリティ制御の回避と攻撃のレジリエンス維持に特に重点を置いています。第4リリースから、開発者はブラウザセッションの永続化を導入し、ページが更新されても被害者が入力したデータを保持することで攻撃の信頼性を高めました。 BlackForceの決定的な特徴は、分離チャネル型アーキテクチャです。フィッシングサーバーは、盗まれたデータを受け取るTelegramチャンネルから切り離されています。この分離により、フィッシングサイト自体がオフラインにされても、収集した情報へのアクセスを継続できます。 攻撃チェーンは、被害者が悪意のあるリンクをクリックし、偽装されたウェブページへリダイレクトされるところから始まります。この段階で、スキャナーやセキュリティシステムを遮断するために、IPアドレスおよびUser-Agentのフィルタリングが適用されます。この「審査」ステップを通過すると、被害者には正規サイトの説得力のある複製が提示され、認証情報を入力します。データは直ちにオペレーターへ転送され、オペレーターは「ライブ」セッションの通知を受け取ります。続いて第2フェーズが開始され、ワンタイムMFAコードの傍受が行われます。 多要素認証を突破するため、攻撃者はMFAトークンを取得するよう設計された偽の検証ページを注入します。入手できれば、アカウントの完全な乗っ取りが可能になります。場合によっては、疑念を招かないよう、攻撃の最後に正規サイトへリダイレクトします。 技術的観点から見ると、BlackForceはReactおよびReact Routerを広範に利用しており、悪意あるコンポーネントを洗練された本番品質のサイトの一部であるかのように偽装するのに役立っています。後期バージョンではJavaScriptの難読化も組み込まれ、解析と検知が大幅に困難になっています。 サーバー側コンポーネントは専用のコントロールパネルで管理され、セッション管理から国、ネットワークプロバイダー、User-Agentによるフィルタリングまで、オペレーターに幅広い機能を提供します。バージョン4では「モバイルのみ」ポリシーが導入され、バージョン5ではフィルタリングロジックがさらに洗練され、自動解析ツールに対する対抗策が追加されました。 BlackForceの開発が減速する兆しはありません。急速な反復、ハイブリッドアーキテクチャへの移行、そして耐障害性の高いデータ保存メカニズムの採用は、その作成者が防御策に積極的に適応し、効果を最大化しようとしていることを示しています。これらの進歩はフィッシング検知をさらに複雑化させ、ゼロトラストアーキテクチャへの移行を含め、組織がセキュリティ戦略を継続的に再評価する必要性を浮き彫りにしています。 翻訳元:

デジタル脅威の動向を監視する中で、Seqrite Labsの研究者は、Operation MoneyMount-ISOと名付けられた新たな標的型キャンペーンを発見しました。この攻撃は、支払い確認を装ったISOイメージを介してPhantom Stealerマルウェアを展開する多段階の配信チェーンにより、機密情報を流出させるよう設計されています。 このキャンペーンは、完了した銀行振込の詳細が含まれていると称する大量メール配信から始まります。メッセージはフォーマルでビジネスライクな文面で書かれており、「Bank Transfer Confirmation（銀行振込確認）」とラベル付けされたZIPアーカイブが添付されています。アーカイブの中にはISOファイルがあり、仮想ディスクとしてマウントすると実行ファイルが表示されます。このファイルを起動すると感染が引き起こされます。 主な標的は、財務・経理・支払いチームの従業員に加え、法務、人事、調達部門のスタッフです。メールは個別化されておらず、このキャンペーンが広範で無差別な性質を持つことを示しています。フォーマルな言葉遣いにより、特に支払い関連の書類を扱い慣れている受信者にとって、メッセージに正当性があるかのような印象を与えます。 技術分析により、ISOファイルには、暗号化された悪性コードを埋め込んだ追加ライブラリのダウンロードを開始する実行コンポーネントが含まれていることが明らかになりました。復号後、このコードは中核ペイロードであるPhantom Stealerを展開します。このマルウェアには強力な解析回避機能が組み込まれており、仮想マシン、デバッガ、解析ツールの有無を環境チェックし、調査の兆候が検知されると実行を終了して自己削除します。 Phantom Stealerは非常に幅広いデータを収集します。ブラウザベースの暗号資産ウォレット拡張機能やデスクトップウォレットアプリケーションから情報を抽出し、保存されたパスワード、Cookie、決済カード情報を窃取し、Discordトークンを取得し、クリップボードを監視し、キーストロークを記録します。収集されたデータは整理・保存され、アーカイブに圧縮されるとともに、IPアドレス、ユーザー名、アンチウイルス保護の状態などのシステムメタデータが付加されます。 攻撃者への流出は、Telegramボット、DiscordのWebhook、FTPサーバーという3つの異なるチャネルを通じて行われます。通信は非同期方式とハードコードされた接続パラメータに依存しており、盗まれた情報を外部エンドポイントへ確実に送達できるようにしています。 Operation MoneyMount-ISOは、現代のマルウェアが高度化していること、そして従来の防御を回避するための意図的な取り組みを浮き彫りにしています。初期感染ベクターとしてISOファイルを利用することで、攻撃者は多くのメールセキュリティフィルタを回避できます。このキャンペーンが金融および支払いインフラに焦点を当てていることを踏まえ、組織はこの種の添付ファイルをブロックする制御を実装し、メモリ上のプロセス挙動を監視し、メールセキュリティを強化してリスクを軽減する必要があります。 翻訳元:

3か月間の観測期間において、Forescoutの研究者は、産業ネットワークのエッジに配置されたデバイスを標的とする6,000万件超の悪意あるリクエストを記録しました。ハニーポット活動の分析により、明確なパターンが判明しました。境界デバイス（産業用ルーターおよびファイアウォール）は、たまたまインターネットに露出してしまったシステムよりもはるかに高頻度で攻撃を受けています。これらのエッジ資産だけで、観測された悪意ある活動全体の約3分の2を占めました。 リクエストの大半はSSHおよびTelnetサービスを標的としており、自動化されたクレデンシャルスタッフィングやブルートフォースによるログイン試行が主要な脅威となっていました。活動の約4分の1を占めたHTTPおよびHTTPSトラフィックは、主として脆弱性の悪用試行と悪意あるペイロードの配布に関連していました。 特に顕著な新興脅威として、RondoDoxおよびShadowV2のボットネットが挙げられました。5月に初めて検知されたばかりのRondoDoxは、すでに50件以上のエクスプロイトを活用しており、その一部には公開識別子が存在しないものもあります。後から出現したShadowV2も急速に勢いを増しています。両者はいずれも同じ手口に依存しています。すなわち、脆弱なデバイスに悪意あるバイナリをダウンロードさせるためのコマンドを実行することです。 特に注目を集めたのが、Chaya_005と呼ばれる活動クラスターです。その挙動は非典型的で、HTTPリクエストには不正な形式のエクスプロイトや、標的デバイスと整合しないパラメータが含まれている一方、全体としては潜在的に脆弱なシステムから応答を引き出そうとする意図が示されています。これは標準的なボットネットの挙動には見えず、むしろ偵察段階—マルウェア配布、暗号資産マイニング、またはプロキシ展開のいずれかの後続利用に向けた標的リストの作成—を反映している可能性があります。 Chaya_005は少なくとも2年間活動しています。初期の活動はSierra Wireless製ルーターの既知の脆弱性の悪用に集中していましたが、時間の経過とともに、別のデバイスやアドレス範囲へと移行しました。注目すべき点として、一部のIPアドレスが約1年周期で再出現しており、最終的に悪意あるバイナリが配布されることはありませんでした—これは、準備的または研究志向のキャンペーンであることを示唆する状況証拠です。さらに、関与したIPアドレスには、広範な侵害や典型的な悪意ある活動への参加を示す兆候は見られませんでした。 Chaya_005が純粋な悪意ある攻撃者ではなく研究機関に関連している可能性を完全に排除することはできないものの、そのようなシナリオは考えにくいとされています。報告書の著者によれば、最大のリスクはサポート終了に達したルーターを悪用しようとする試みにあります。その一例がLS300モデルで、2021年以降セキュリティ更新を受けておらず、さらに3Gネットワークの段階的廃止によりその重要性は一層低下しています。それでも、この種のデバイスは産業環境全体で依然として使用されています。 著者らは、ITとOTの環境がますます密接に結び付くにつれ、脅威を「情報系」か「運用系」かのいずれかにきれいに分類することはもはやできないと強調しています。デンマークのエネルギー分野で発生した過去の事案—企業が隔離された運用モードを余儀なくされた—は、もともとIT用途で配備されたエッジルーターの侵害によって引き起こされました。このようなケースは孤立したものではなく、同様のインフラ上の弱点は欧州全域に残存しています。 これらのリスクを軽減するため、専門家は、ネットワーク接続されたすべてのデバイスを特定すること、デフォルトの認証情報を変更すること、未使用のサービスを無効化すること、OT資産をパブリックインターネットから隔離すること、侵入試行や異常な挙動を検知できる監視ソリューションを導入することを推奨しています。 翻訳元:

偽のオンラインアカウント作成に対する主要な防御壁の一つが、驚くほど脆弱であることが明らかになった――わずか数セントで回避できてしまうのだ。ケンブリッジ大学の研究者らは発見した。ソーシャルネットワークやその他のオンラインサービスで広く利用されているSMSベースの本人確認は、グレーマーケットで容易に入手できる一時的な電話番号を用いることで、大規模に迂回できるという。 電話番号認証は、偽アカウント防止の要と一般に見なされている。携帯番号に有効化コードを送信することで、表向きはユーザーの真正性を担保する仕組みだ。ところが研究では、研究者らはSMSActivate、5Sim、SMShub、SMSPVAという4つの人気サービスを調査した。これらは使い捨て番号を1回の有効化あたり10〜30セントで提供している。場合によっては、特に英国、ロシア、インドネシアの番号で、費用が10セント未満にまで下がった。最も高額だったのは日本とオーストラリアの番号で、それぞれ最大5ドルと3ドルだった。 これらのサービスの一部は、驚くほど効果的であることが示された。いくつかのテストでは、研究者らは中断されることなくアカウントを作成できた。これは、認証要件がプラットフォーム間で大きく異なることにも助けられている。例えばWhatsAppは著しく厳格で、有効化には約3ドルかかった。対照的に、ソーシャルネットワークXはその約8分の1、約8セントだった。研究の著者の一人によれば、この差は、他のプラットフォームと比べてXのモデレーションが相対的に弱いことを反映している可能性がある。 WhatsAppはその後、この調査結果についてコメントし、こうしたサービスに関する研究を歓迎すると述べたうえで、電話番号に加えて、悪用を検知するための追加の技術的・行動的シグナルも用いていると強調した。Xの担当者はコメント要請に応じなかった。提供事業者の一つであるSMSPVAは、自社は合法的に運営しており、すべての規制を遵守し、テスターだけでなくプライバシー意識の高い利用者にもサービスを提供していると主張した。残るプラットフォームはコメントを控えた。 この研究には、国別・プラットフォーム別に使い捨て電話番号の価格を視覚的に示すオンラインダッシュボードも付随していた。研究の査読者の一人であるピッツバーグ大学の教授によれば、公表されたデータは偽情報の「経済的側面」の重要性を浮き彫りにしている。すなわち、防御策を回避するコストを理解することは、脅威の真の規模を評価するうえで不可欠だという。 総合すると、長らく十分に堅牢だと考えられてきた基本的な認証手段でさえ、偽アカウントの массовое な作成や偽情報の拡散に対して、もはや十分な防御を提供できないことを示唆している。これらの保護を回避するコストがあまりにも低いため、悪意ある行為者は事実上、経済的制約なしに活動できてしまう。 翻訳元:

ブラウザ拡張機能は、生産性を高めたり便利な機能を追加したりするための身近な手段として長らく利用されてきたが、また別の事例が、この利便性がいかに容易に機密データをひそかに収集する経路へと変貌し得るかを示している。 Koi Securityの研究者は報告で、Google Chrome向けのUrban VPN Proxy拡張機能（「注目」扱いで、約600万人がインストール）が、人気AIチャットボットとの会話を傍受していたと述べた。対象には、ChatGPT、Claude、Copilot、DeepSeek、Gemini、Grok、Meta AI、Perplexityといったサービスのプロンプトおよび応答が含まれていた。Urban VPN ProxyはChromeウェブストアで4.7の評価を得ており、Microsoft Edgeのアドオンカタログでは約130万件のインストールが記録されている。 報告によれば、データ収集機能は2025年7月9日に公開された更新後、既定で有効化されており、ユーザーはバージョン5.5.0を受け取っていた。各AIプラットフォームごとに、拡張機能は専用のJavaScriptスクリプトを読み込み、チャットボットのページへ直接注入していた。 展開後、これらのスクリプトはブラウザ標準のリクエスト送信機構であるfetch()およびXMLHttpRequest()を置き換え、すべての通信がまず拡張機能のコードを経由するようにした。これにより会話内容を抽出し、analytics.urban-vpn[.]comおよびstats.urban-vpn[.]comの外部サーバーへ送信できるようになっていた。 収集されたデータには、ユーザーのプロンプト、チャットボットの応答、会話識別子とタイムスタンプ、セッションのメタデータ、ならびに利用中のAIプラットフォームとモデルに関する情報が含まれていたとされる。Urban VPNの2025年6月25日付の更新版プライバシーポリシーでは、こうしたデータはセーフブラウジング目的およびマーケティング分析のために収集され、匿名化されると保証している。同時に同社は、ユーザーのクエリ内で機微情報が取得されることを完全に防ぐのは常に可能とは限らないことも認めている。 報告書の著者らは、ウェブ閲覧データを受け取るパートナーに特に注目した。その中には、広告分析とブランド監視を専門とする関連会社BIScienceが含まれる。Urban VPNの文書によれば、BIScienceは非匿名化データを用いて商業的インサイトを生成し、それをビジネスパートナーと共有しているという。文書ではまた、BIScienceと、デラウェア州登録でUrban VPN Proxyの開発元であるUrban Cyber Security Inc.との関係も強調されている。 拡張機能の掲載ページでは、プロンプト内の個人データや応答内の不審なリンクについてユーザーに警告することを目的とした「AI保護」機能を宣伝している。しかしKoi Securityは、このオプションが有効かどうかに関わらず、会話の傍受と送信が行われていたことを確認した。 調査担当者は、同一パブリッシャーによる追加の3つの拡張機能（1ClickVPN Proxy、Urban Browser Guard、Urban Ad Blocker）にも、同様のAI対話の傍受ロジックを特定した。これらの拡張機能は合計で800万件を超えるインストール数に達しており、その多くが同様に「注目」扱いとなっているため、プラットフォーム側でより厳格な審査が行われているかのような印象を与える。The Hacker NewsはGoogleとMicrosoftにコメントを求めており、回答を待っている。 翻訳元:

大河ドラマ『べらぼう～蔦重栄華乃夢噺～』の魅力に迫る特別講演。浮世絵師たちの人物像や作品の魅力を、俳優と研究者が語ります。

同志社大学と三井住友海上火災保険株式会社が連携し、次代の研究者や起業家を支援します。ビジネスプランコンテストも要注目。

三井住友海上火災保険株式会社と同志社大学が、研究者や学生起業家の支援を目的に連携協定を締結しました。その取り組みを詳しく解説します。

Arctic Wolfは、先週明らかになった認証の穴が、未パッチのFortinetデバイスへの攻撃につながっていると述べている。 脅威アクターは、Fortinetデバイスの認証に関して新たに明らかになった脆弱性を悪用するのに時間を無駄にしていない。 Arctic Wolfの研究者は、Fortinetが12月9日に管理者へ脆弱性について警告して以降、FortiGate次世代ファイアウォールの穴を悪用しようとする悪意あるシングルサインオン（SSO）の試行が確認されていると述べた。 「2025年12月12日以降、数十件の侵入を確認しています」とArctic Wolf Labsの広報担当者はCSOに語った。「これまでのところ、活動パターンは機会主義的な性質のものに見えます。この脆弱性に直接さらされているデバイス数を推定するのは難しいものの、特殊な検索エンジンを通じて公開インターネット上からアクセス可能なFortinetアプライアンスは数十万台に上ります。これにより、脅威アクターは一度に広範なデバイス群に対して機会主義的に悪用を試みることができます。」 Arctic Wolfの勧告では、ログに悪意ある活動が見られる管理者は、流出した構成情報に保存されていたハッシュ化されたファイアウォール認証情報が侵害されたものとみなし、それらの認証情報を「できるだけ早く」リセットすべきだとしている。 火曜日、米国サイバーセキュリティ・インフラストラクチャ安全保障庁（CISA）は、脆弱性の一つであるCVE-2025-59718を、既知の悪用されている脆弱性（KEV）カタログに追加した。欠陥がカタログに掲載されると、連邦政府の民間行政機関は影響を受ける製品またはサービスを直ちに是正しなければならない。CISAは、掲載は民間部門のIT部門にとっても、自社の是正やパッチ適用を優先すべきだという警告として受け取るべきだとしている。 とりわけ、脆弱性を悪用するハッカーはFortinetデバイスの設定ファイルにアクセスし、セキュリティ制御の突破を加速させる可能性がある。 認証バイパスの脆弱性であるCVE-2025-59718およびCVE-2025-59719は、FortiWeb、FortiProxy、FortiSwitchManagerデバイスを動作させるFortinetのFortiOSオペレーティングシステムに存在する。悪用された場合、当該機能がデバイスで有効になっていれば、未認証の攻撃者がFortiCloud SSOログイン認証を回避できる可能性がある。 一部の管理者にとっては、知らないうちに有効化されていた可能性がある。管理者がFortiCare製品サポートポータルを使用してデバイスを登録すると、登録ページで「FortiCloud SSOを使用した管理者ログインを許可する」設定を無効にしない限り、FortiCloud SSOは自動的に有効になる。 この脆弱性の影響を防ぐため、管理者は（有効になっている場合）FortiCloudログイン機能をオフにし、その後、機能を再度有効にする前にソフトウェアを最新バージョンへアップグレードすべきだ。 脆弱性プラットフォーム提供企業TuskiraのCEOであるPiyush Sharmaは、Fortinetは認証バイパスの脆弱性に対して迅速にパッチを提供したと述べた。 「しかし」と彼は付け加えた。「脅威アクターが新たに発見された欠陥を悪用するスピードは、従来のパッチサイクルを上回り続けており、継続的でリアルタイムの露出管理と自律的な脅威対応を提供するエージェント型AIシステムの重要な必要性を浮き彫りにしています。」 彼は、流出した設定ファイルがあれば、ハッカーがネットワークアーキテクチャを把握し、標的型攻撃キャンペーンや悪用に利用できる脆弱なインターフェースや故障点を特定できる可能性があると指摘した。また、弱いパスワードはオフラインで解析され、攻撃者が正規ユーザーになりすましてネットワーク内を横方向に移動できるようになる恐れがある。「この情報の組み合わせは、潜在的に危険で非常に精密なサイバー攻撃の土台となり、データ窃取、さらにはネットワークの完全な侵害に至る可能性があります」と彼は警告した。 Fortinetが公開したパッチを適用していない脆弱な組織は、直ちに適用すべきだと彼は述べた。 また、すべての組織は認証情報のローテーションを実践し、最小権限の原則を実装して、不要なデータ漏えいを防ぐべきだとも付け加えた。 Fortinetが推奨するデバイスソフトウェアのアップグレードに従うことに加え、Arctic Wolfは管理者に対し、デバイスの堅牢化に関するメーカーのベストプラクティスに従うよう促している。 翻訳元:

攻撃者は被害者の電話番号だけで、気付かれずにスマホを監視できる 配信確認の悪用を継続すると、プロービングによりバッテリー消費が大幅に増加する 継続的な追跡はモバイルデータを消費し、負荷の高いアプリの動作を妨げる セキュリティ研究者は、人気メッセージングアプリが配信確認を処理する仕組みを悪用する追跡手法「Silent Whisper」を公開した。 この手法は、アプリが受信ネットワークトラフィックを処理するたびに自動的にやり取りされる低レベルのメッセージ受領確認を悪用し、WhatsAppとSignalを標的にする。 電話番号さえ分かれば、攻撃者は目に見えるメッセージを送ったり通知を発生させたりすることなく、端末に対して繰り返しプローブを行える。 バッテリー寿命とデータ使用量への影響 Silent Whisperはユーザーインターフェースの下層で動作するため、通常のスマホ利用中に検知される可能性は低い。 複数のスマートフォンでのテストでは、プロービング中に異常に高いバッテリー消費が確認された。 通常、待機中のスマホは1時間あたり1%未満しかバッテリーが減らないのが一般的だ。 テストでは、iPhone 13 Proは1時間あたり14%、iPhone 11は1時間あたり18%、Samsung Galaxy S23は1時間あたり15%減少した。 同じ手法をSignalに適用した場合、より厳格なレート制限により、バッテリー減少は1時間あたり1%にとどまった。 継続的なプロービングはモバイルデータも消費し、ビデオ通話など帯域を多く使うアプリケーションを妨害する。 この追跡手法は、配信確認の往復時間（RTT）を測定することに依存している。 これらの応答時間は、端末がアクティブか、待機中か、オフラインか、WiFiに接続しているか、モバイルデータを使用しているかによって変動する。 安定して速い応答は、端末が自宅で積極的に使用されていることを示唆し得る一方、遅い、または不安定なタイミングは移動中や接続性の低下を示す可能性がある。 長期間にわたっては、メッセージ内容や連絡先リストにアクセスすることなく、日々の行動パターン、睡眠スケジュール、移動の傾向が明らかになり得る。 この脆弱性は以前から学術研究で説明されていたが、一般公開された概念実証（PoC）ツールにより、その実用性がいま示された。 このツールは最短50ms間隔でプローブでき、対象に気付かれずに詳細な観察を可能にする。 開発者は悪用を戒め研究目的であることを強調しているが、ソフトウェアは誰でも入手できる状態にある。 これは、特にこの脆弱性が2025年12月時点でも悪用可能であることから、広範な悪用への懸念を高めている。 既読通知を無効にすると通常のメッセージに対する露出は減るが、この手法を完全に遮断することはできない。 WhatsAppには不明なアカウントからの大量メッセージをブロックするオプションがあるが、プラットフォームは適用の閾値を定義していない。 Signalは追加の制御機能を提供しているものの、研究者はプロービングが可能なままであることを確認した。 従来のアンチウイルスソフトは、プロトコルレベルの悪用を検知しない。 身元盗用対策やマルウェア除去をうたうサービスも、端末にマルウェアがインストールされていない場合には価値が限定的だ。 このリスクはデータ窃取というより、ユーザーが容易に観測・検証できない持続的な行動監視にある。 出典： Cybernews 翻訳元:

アマゾンのセキュリティ研究者によると、西側のエネルギー企業を標的にする中で、著名なロシア政府系ハッカーは、新たな脆弱性を突いて組織に侵入する手口から、設定不備のネットワークエッジ機器を狙う手口へと切り替えたという。 Amazon Integrated SecurityのCISOであるCJ・モーゼス氏はインタビューでRecorded Future Newsに対し、被害組織の数は10を超えると述べ、攻撃はAPT44として知られる著名なハッキング作戦によるものだとした。通称サンドワーム（Sandworm）またはシーシェル・ブリザード（Seashell Blizzard）と呼ばれるこのグループは、米当局によりロシアの参謀本部情報総局（GRU）と関連付けられている。 モーゼス氏は、アマゾンがこのキャンペーンの追跡を2021年に開始し、西側の重要インフラ、とりわけエネルギー部門に焦点が当てられていることを確認したと述べた。アマゾンは「Amazon MadPot」と呼ぶ大規模なハニーポット網を通じて、このキャンペーンを検知できたという。 アマゾンが入手したデータは、「AWS上でホストされる顧客のネットワークエッジ機器に対する協調的な作戦」を示していた。 「これはAWSの弱点によるものではない。これらは顧客側で設定が誤っている機器のようだ」とモーゼス氏は主張した。 このキャンペーンは似たパターンをたどった。ハッカーはAWS上でホストされる顧客のネットワークエッジ機器を侵害し、傍受したトラフィックから認証情報を盗み、その情報を被害者のオンラインサービスやインフラに対して使用し、その後、横展開を可能にする永続的なアクセスを確立した。 今週の記者向け説明会でアマゾンの担当者は、この数年にわたるキャンペーンが「重要インフラ標的化における大きな進化を示している。すなわち、設定不備と思われる顧客のネットワークエッジ機器が主要な初期侵入ベクターとなり、脆弱性悪用の活動は減少したという戦術的転換だ」と述べた。 専門家らは「この戦術的適応により、攻撃者の露出とリソース支出を抑えつつ、同じ作戦上の成果、認証情報の収集、そして被害組織のオンラインサービスやインフラへの横展開が可能になる」と述べた。 アマゾンの研究者は述べたところによると、ハッカーは2025年に複数の分野のエンドポイントへアクセスしており、電力会社、エネルギー供給事業者、そしてエネルギー部門の顧客を専門とするマネージド・セキュリティ・サービス・プロバイダーなどが含まれるという。 このキャンペーンには、通信事業者やテクノロジー企業を標的とした攻撃も含まれていた。 アマゾンは、侵害されたネットワーク機器を発見した場合には影響を受けた顧客に通知し、調査結果を業界パートナーおよび影響を受けたベンダーとも共有したとしている。 「手の届きやすい標的」 アマゾンの研究者は、同じグループが以前は新たな脆弱性を何年にもわたって利用していたが、2025年に設定不備の顧客ネットワークエッジ機器の悪用へ切り替えたことを突き止めた。 2021年から2022年にかけて、ハッカーはCVE-2022-26318を悪用した。これはWatchGuardの人気ファイアウォール製品群に影響するバグだ。翌年、GRUの攻撃者はCVE-2021-26084およびCVE-2023-22518を使用した。これらはConfluence Data CenterおよびConfluence Server製品に影響する。 アマゾンによると、2024年までに同グループはソフトウェア企業Veeamの脆弱性（CVE-2023-27532を含む）の悪用へ移行し、その後2025年には「設定不備の顧客ネットワークエッジ機器」を標的にしたという。 国家主体とサイバー犯罪者の双方が、管理インターフェースが露出した設定不備の機器という「手の届きやすい標的」を長年狙ってきた。目的は、重要インフラネットワークへの永続的アクセス、または認証情報の収集である。 アマゾンによれば、この手法は、ゼロデイやNデイ脆弱性を見つけて開発するために必要な金銭的投資を一部削減する狙いもある。 アマゾンは被害者の詳細を明らかにしなかったが、機器が侵害されてから侵入が試みられるまでの時間差は、ハッカーが能動的な認証情報窃取よりも受動的な情報収集に関心を持っていた可能性を示していると述べた。 このハッキンググループは、世界的に重要インフラやエネルギー企業を標的にしてきたとして、これまでに非難されており、特にウクライナでの活動が指摘されている。研究者がロシア軍情報部隊74455と関連付けているサンドワームは、少なくとも2013年から活動しており、KillDiskやFoxBlade、さらにNotPetyaやPrestigeといった大きく報じられた事件を含む、ロシアによる最も注目度の高い破壊的攻撃の一部に関与している。 Securonixのセキュリティ専門家アーロン・ベアズリー氏は、アマゾンの調査結果はサイバーセキュリティ業界におけるより広範な文化的変化を反映していると述べた。 同氏によれば、セキュリティチームは脆弱性管理を劇的に改善し、パッチ適用サイクルは数カ月から数週間へと短縮され、サイバー防御プラットフォームは悪用の痕跡を確実に検知できるようになったという。 ベアズリー氏によると、脅威インテリジェンスの共有により、防御側が適応するまでの間にエクスプロイトが有効でいられる期間は短くなっている。 「結果として、従来型の脆弱性悪用はより多くのリソースを必要とし、検知リスクが高まり、得られる見返りは逓減している。だから高度な攻撃者は、高度な攻撃者がすることをした。最も抵抗の少ない道へと舵を切ったのだ」と同氏は述べた。 「この変化はセキュリティプログラムの失敗ではない。機能している証拠だ。防御側が従来の悪用モデルを高コストで高リスクなものにしたため、攻撃者が適応した。問題は、設定のセキュリティが重要なセキュリティ統制ではなく運用上の雑務として扱われてきたことであり、これは直ちに変える必要がある。」 前の記事はありません 新しい記事はありません 翻訳元: