かつて「すべての道はローマに通ず」と言われた巨大帝国。 その交通網は人類史に残る伝説ですが、実は私たちが知っていたローマ街道の姿は、ほんの“氷山の一角”に過ぎませんでした。 このたび、デンマーク・オーフス大学（Aarhus University）ら国際研究チームが発表した最新のデジタル地図「Itiner-e（イティネレ）」によって、古代ローマ帝国の道路網は従来考えられていた約2倍、総延長30万キロ以上にも及ぶことが明らかになったのです。 チームは膨大な歴史・考古学データ、古地図、衛星画像を総動員し、ヨーロッパから中東、北アフリカまで、ローマ帝国全域の道路網を一つのデータセットにまとめ上げてい…

8/11/2025

財經中心／陳妍霖 莊柏驊 新北報導台中爆發非洲豬瘟，全台禁運禁宰令要到七號才解禁，各地以豬肉為主的小吃店遭衝擊，新北三重老字號魯肉飯，改用「素肉」代替，引發部分顧客不滿，直呼味道、口感也差太多，不過店家哀怨說，因為肉源短缺，不得不改用素肉，店內也有貼出告示。但新北市衛生局派員稽查說，如果食材與標示不實，最高可開罰400萬元。

90年で5倍になった水使用量　今日は「水の日」。人間の水使用量はこの100年で急激に増えた。世界の年間の水使用量が1000km3になったのは1930年代半ばのこと。人間の歴史がはじまってから数千年かか

ルーブル美術館強盗 実行犯とみられる2人の身柄拘束 北アフリカ逃亡を画策か  産経ニュースルーブル盗難事件、出国間際の空港などで２人を拘束…４人組が開館中に侵入し被害総額１５６億円  読売新聞オンライン【速報】ルーブル美術館強盗「容疑者2人拘束」とフランスメディア

【パリ＝三井美奈】フランス民放BFMテレビは26日、仏警察がルーブル美術館で19日に起きた宝飾品強盗事件の実行犯とみられる容疑者2人を身柄拘束したと報じた。

イランのお気に入りの泥足サイバースパイ集団が再び動き出し、今回は中東および北アフリカ全域で100以上の政府機関を侵害したと、Group-IBの研究者が報告しています。 8月に始まったこのキャンペーンでは、侵害された企業のメールボックスを利用して、大使館、省庁、通信事業者に巧妙なフィッシングメールを送りつけました。攻撃者はMuddyWater（別名Seedworm、APT34、OilRig、TA450）として追跡されており、NordVPNサービスを通じてアクセスした正規のアドレスから悪意のあるメッセージを送信することができました。 各メッセージには「コンテンツの有効化」を求める細工されたWord添付ファイルが含まれていました。これを有効にしたユーザーは、"FakeUpdate"と呼ばれるローダーを展開するマクロを実行し、その後クルー独自のバックドア「Phoenix」の更新版がインストールされます。一度インストールされると、マルウェアはオペレーターが感染システムを探索したり、認証情報を盗んだり、ファイルのアップロードやダウンロード、永続的なアクセスを維持したりすることを可能にします。 Group-IBによると、このツールキットはChrome、Edge、Opera、Braveの保存されたブラウザパスワードも盗み出し、PDQやAction1などの市販のリモート管理ツールを利用して正規の管理者トラフィックに紛れ込んでいました。 被害者の4分の3以上は外交または政府機関で、残りは国際機関や通信事業者だったとGroup-IBは述べていますが、具体的な標的は明らかにしていません。MuddyWaterの手口は長年、フィッシングやソーシャルエンジニアリングに大きく依存してきましたが、今回のキャンペーンの規模は、能力の向上か、テヘランのスパイマスターによる異例の広範な情報収集要請を示唆しています。 MuddyWaterは、イラン情報保安省と関連付けられており、少なくとも2017年から中東、アフリカ、中央アジアの政府、エネルギー、通信、防衛ネットワークを徘徊しています。通常はランサムウェアのような破壊的な攻撃ではなく、長期的なアクセスと情報収集に注力していますが、ツールやインフラが時折APT35など他のイラン系グループと重複することもあります。 Group-IBの報告によると、正規のVPNサービスと既に信頼されているメールボックスの利用により、検知が特に困難になったとのことです。「このような通信に伴う信頼と権威を悪用することで、キャンペーンは受信者を悪意のある添付ファイルを開かせる可能性を大幅に高めた」とGroup-IBは指摘しています。 この作戦は、地域の緊張や制裁圧力の中でイラン情報機関がサイバースパイ活動を強化しているという広範なパターンに合致しています。MuddyWaterは昨年、イスラエルの組織への攻撃にも関連付けられており、その際はBugSleepという別のバックドアを使用していました。そのキャンペーンは規模こそ小さかったものの、同様にソーシャルエンジニアリングによって企業メールシステムを侵害していました。 Group-IBは、MuddyWaterが「戦術とツールを進化させ続けている」と警告しつつ、長年見られるスパイ活動への注力は変わらないとしています。研究者らは、このキャンペーンが「MENA地域の政府および外交機関に対するMuddyWaterの持続的な関心を示している」と強調し、同グループが国家関連ネットワークや高価値標的に活動を集中させ続けていることを示唆しています。つまり、スパイ活動に関してはイランの作戦は明確だということです――たとえ水が濁っていても。® 翻訳元:

The well-known Iranian cyber-espionage operation tracked as MuddyWater spread backdoor malware in recent months through a compromised email account, researchers said.

出典：AGR Srl（Alamy Stock Photo経由） ここ数年、中東および北アフリカ（MENA）地域では、小売業が最も頻繁に標的となる業界の一つとなっています。 内紛や先端産業の存在を考えれば、中東では特定の種類のサイバー攻撃が主流になると予想されるかもしれません。下位ではハクティビズム、上位では政府や重要なサービスの妨害、あるいは先進的な軍事・防衛・人工知能（AI）分野を狙った攻撃などです。 しかし、それらと並んで小売業への攻撃も多発しています。SOCRadarの年次「MEA脅威情勢レポート」によると、小売業は通信や銀行などの重要分野と同等、あるいはそれ以上に標的となっていることが明らかになりました。 このレポートでは、他にも直感に反する発見がいくつか報告されています。例えば、MENA地域のランサムウェア攻撃のほとんどは犯人が特定されておらず、パキスタンはこの地域の他のどの国よりも2倍多くのランサムウェア攻撃を受けています。 また奇妙なことに、サハラ以南の国はSOCRadarのデータには一つも含まれていませんでした。Dark Readingは同社に対し、それが単にデータ収集方法によるものなのか、それともアフリカ大陸でのサイバー攻撃の発生率が低いことを反映しているのか質問しました。回答があり次第、この記事は更新されます。 小売業界への脅威 2024年9月から2025年9月の間、ダークウェブ上の脅威活動から判断すると、MENA地域で最も標的となった業界は公共部門でした。金融とITがトップ3を占めています。 そしてトップ5には小売業への攻撃も含まれています。衣料品やベビーフードを販売する店舗に対するフィッシング、データ恐喝、その他のサイバー犯罪です。 この発見が特に注目される理由は2つあります。1つは、実際には2024年より減少していることです。昨年のSOCRadarのMEAレポートでは、小売業は公共部門に次いで2番目に多く標的となった業界でした。もう1つは、レポートが小売業を電子商取引や通信販売とは別カテゴリーとして追跡しており、これらは標的業界の中で7位にランクインしています。 小売業の情報漏えいは、通常ニュースになる政治的・国家レベルの攻撃と比べると、やや滑稽に映ることもあります。SOCRadarは、エジプトのベビーフードeストアから盗まれた57,548件の注文データを宣伝するダークウェブ投稿を取り上げています。他のケースでは、小売業への攻撃が政治的動機の攻撃と重なることもあります。あるダークウェブ投稿では、イスラエルのショッピングモールから盗まれたとされる259GBのデータが宣伝されていました。 小売業は、この地域を標的とする金銭目的の脅威アクターの能力や労力にちょうど合致しているのかもしれません。中小規模の小売店は多くのクレジットカードを処理していますが、Deepwatchのシニア脅威ハンターリードであるCertis Foster氏は「通常、彼らは高額なセキュリティ対策を講じる余裕がありません。攻撃者は簡単に侵入でき、すぐにクレジットカード番号をダークウェブで現金化できると考えています。さらに、これらの店舗は1日以上閉店できないため、業務再開のために身代金をすぐに支払う傾向があります」と指摘しています。 MENA地域のランサムウェア動向 このレポートでは、MENA地域におけるランサムウェアに関してもいくつか奇妙なデータポイントが明らかになりました。 例えば、どの国が最も多くランサムウェア攻撃を受けていると予想しますか？政治的に緊張しているイスラエルでしょうか？アラブ首長国連邦（UAE）でしょうか？裕福で技術的に進んでいるからでしょうか？ アフリカと中東全体で、サウジアラビアがこの1年でパキスタンの半分のランサムウェア攻撃しか受けていません。レポートによると、パキスタンはこの地域全体のランサムウェア攻撃の3分の1以上を経験しており、数千平方マイルにわたって拡散しています。アナリストは「この高い集中度は、攻撃者が主要産業の防御が弱いことから高いリターンが見込める標的と見なしているためだろう」と推測しています。 防御の弱さは、そもそもこれらの攻撃を実行しているのが誰なのかという点でも特に重要かもしれません。ダークウェブから得られた2025年のMENA地域のランサムウェア攻撃のうち、71.4％は小規模グループや一度きりのオペレーション、あるいは全く正体不明の脅威アクターによるものでした。 「これらのアクターの大半をコミュニティが全く知らないというのは、私には気持ち悪いことです。今や彼らや他の誰でも、ランサムウェアキットを購入してすぐに攻撃を始められる時代になったのだと感じます」とFoster氏は語っています。 翻訳元:

MuddyWaterとして知られるイランの国家支援グループが、新たなキャンペーンを展開し、侵害されたメールアカウントを利用してPhoenixと呼ばれるバックドアを中東および北アフリカ（MENA）地域のさまざまな組織、100以上の政府機関を含む組織に配布していたことが判明しました。 このキャンペーンの最終的な目的は、重要な標的に侵入し、情報収集を促進することにあると、シンガポールのサイバーセキュリティ企業Group-IBが本日発表した技術レポートで述べています。 このキャンペーンの標的の4分の3以上が大使館、外交使節団、外務省、領事館であり、次いで国際機関や通信会社が含まれています。 「MuddyWaterはNordVPN（脅威アクターによって悪用された正規サービス）を通じて侵害されたメールボックスにアクセスし、それを利用して本物のやり取りに見せかけたフィッシングメールを送信していました」と、セキュリティ研究者のMahmoud Zohdy氏とMansour Alhmoud氏が述べています。 「このような通信に伴う信頼と権威を悪用することで、受信者が悪意のある添付ファイルを開くよう騙す可能性が大幅に高まりました。」 攻撃の流れは本質的に、脅威アクターが細工されたMicrosoft Word文書を配布し、開封したメール受信者に内容を表示するためマクロの有効化を促すというものです。何も知らずにユーザーがこの機能を有効にすると、ドキュメントは悪意のあるVisual Basic for Application（VBA）コードを実行し、Phoenixバックドアのバージョン4が展開されます。 バックドアはFakeUpdateと呼ばれるローダーによって起動され、これはVBAドロッパーによってデコードされディスクに書き込まれます。ローダーにはAdvanced Encryption Standard（AES）で暗号化されたPhoenixのペイロードが含まれています。 MuddyWaterは、Boggy Serpens、Cobalt Ulster、Earth Vetala、Mango Sandstorm（旧称Mercury）、Seedworm、Static Kitten、TA450、TEMP.Zagros、Yellow Nixとも呼ばれており、イラン情報保安省（MOIS）と関連しているとみられています。少なくとも2017年から活動していることが知られています。 この脅威アクターによるPhoenixの使用は、先月Group-IBによって初めて文書化され、MuddyWaterに関連するPythonベースのインプラントであるBugSleepの軽量版と説明されています。Phoenixの異なるバージョン（バージョン3とバージョン4）が実際に確認されています。 サイバーセキュリティベンダーによると、攻撃者のコマンド＆コントロール（C2）サーバー（「159.198.36[.]115」）は、リモート監視および管理（RMM）ユーティリティや、Brave、Google Chrome、Microsoft Edge、Operaを標的とするカスタムWebブラウザ認証情報窃取ツールもホスティングしていることが判明しており、これらが作戦で使用された可能性が高いことを示唆しています。MuddyWaterが過去にもフィッシングキャンペーンを通じてリモートアクセスソフトウェアを配布してきた経緯があることも注目に値します。 「Phoenix v4バックドアやFakeUpdateインジェクター、カスタム認証情報窃取ツールなどの最新マルウェア亜種を、PDQやAction1といった正規のRMMユーティリティと組み合わせて展開することで、MuddyWaterはカスタムコードと商用ツールを統合し、ステルス性と持続性を高める能力を示しました」と研究者らは述べています。 翻訳元:

出典: Xcages / Shutterstock イラン支援の脅威グループ「MuddyWater」は、フィッシングメールを通じてカスタムバックドアを配布するサイバースパイ活動により、中東および北アフリカの100以上の政府関連組織やその他の団体を標的にしています。 サイバーセキュリティベンダーのGroup-IBは、このキャンペーンを発見しました。これは8月19日に始まり、攻撃者が正規のVPNサービスであるNordVPNを通じてアクセスした侵害済みメールボックスを利用しており、悪意のあるメールに信憑性を持たせていると、研究者らは本日公開されたブログ記事で明らかにしました。 「このような通信に関連する信頼と権威を悪用することで、このキャンペーンは受信者をだまして悪意のある添付ファイルを開かせる可能性を大幅に高めました」とGroup-IBのマルウェアアナリストMahmoud Zohdy氏とサイバーインテリジェンスアナリストMansour Alhmoud氏は投稿で述べています。 このキャンペーンの最終的なペイロードは、MuddyWater専用のPhoenixバックドアのバージョン4であり、別のカスタムマルウェアであるFakeUpdateインジェクターを介して配布されたとアナリストは述べています。Group-IBによると、このキャンペーンの目的は持続性を確立し、情報収集やリモート監視のためにMuddyWaterのコマンド＆コントロール（C2）インフラに接続することです。 実行にはマクロが必要 MuddyWater（APT34、Helix Kitten、Seedworm、TA450、OilRigなどとも呼ばれる）は、少なくとも2017年から活動しているイランの脅威グループで、イラン情報保安省（MOIS）と関係があるとされています。このグループはサイバースパイ活動や地政学的な混乱を目的としており、過去数年でカスタムマルウェアやステルス戦術を武器に大きく復活し、2023年には中東のある政府機関のシステムに8か月間発覚せず潜伏していました。 Group-IBが追跡した最新のキャンペーンでは、MuddyWaterは主に政府機関、例えば大使館、外交使節団、外務省、領事館などを中東およびアフリカで標的にしています。「標的となった受信者の中には、国際協力や人道活動に注力する著名な国際機関の一員も含まれています」と研究者らは記しています。「これはグループのより大きな地政学的目標と、標的選定の意図的な性質を裏付けています。」 被害者は、意図的にぼかされたMicrosoft Word文書が添付されたフィッシングメールを受け取り、内容を表示するためにマクロの有効化を促されます。マクロが有効化されるとすぐに、文書は悪意のあるVisual Basic for Application（VBA）コードを実行し、ドロッパーとして機能してローダーをディスクにデコード・書き込み、その後実行します。 この過程で使用されるローダーはFakeUpdateで、インジェクター型ツールとして組み込まれた第2段階のペイロードをAdvanced Encryption Standard（AES）で復号し、自身のプロセスにインジェクトします。この活動の最終的な結果として、被害者のマシンにPhoenixバックドアが展開されます。 カスタムマルウェアが犯人を特定 Group-IBは、このキャンペーンの犯人をMuddyWaterと特定しました。なぜなら、FakeUpdateローダーとPhoenixバックドアの両方がこの脅威グループ専用で使用されているためだと、アナリストは投稿で指摘しています。 実行されると、Phoenixバックドアのバージョン4はミューテックス（sysprocupdate.exe）を作成して一意のプロセスを設定し、ホストやシステム情報を収集します。その後、自身をC:\ProgramData\sysprocupdate.exeにコピーし、Windowsレジストリを変更して持続性を確立します。最終的にバックドアはWinHTTP経由でC2と通信し、MuddyWaterからのコマンドを受信・実行します。 このキャンペーンで使用された他のマルウェアには、電卓アプリに偽装したカスタム認証情報窃取ツールChromium_Stealerや、MuddyWaterがリモート制御と持続性のために使用しているリモート監視・管理ツールPDQ RMMおよびAction1などがあります。 国家支援型攻撃者への防御強化を MuddyWaterや同様の国家支援型攻撃者は、一貫して政府機関や重要インフラ事業者を標的に、情報収集や混乱を引き起こそうとしています。このため、Group-IBは組織に対し、これらの攻撃者への防御を強化するよう呼びかけています。 これらの対策には、MuddyWaterに関連する最新の侵害指標（IoC）や戦術・技術・手順（TTP）を受け取るため、信頼できる脅威インテリジェンスフィードを購読することが含まれます。グループは戦術やマルウェアを頻繁に変更するため、防御側はPhoenixやFakeUpdate、その他グループ関連の悪意あるインフラやツールに関する指標を継続的に脅威ハンティングする必要があります。 また、組織はOffice文書のサンドボックス化や添付ファイルのスキャンを導入し、マクロが埋め込まれているものや疑わしいVBAコードを持つものをフラグ付けすることで、メールやフィッシング対策を強化できます。アナリストによれば、一般的なルールとして、従業員に対して定期的なフィッシング訓練や啓発を実施し、このキャンペーンで使われた「コンテンツの有効化」マクロ誘導の手口を強調すべきです。 さらに組織が防御態勢を強化する方法としては、グループポリシーでOfficeマクロをデフォルトで無効化し、署名済みまたは信頼できるソースからのみ実行を許可するなど、エンドポイントやアクセス制御を実装することが挙げられます。また、EDR/XDRソリューションを導入・チューニングしてPowerShellの悪用やプロセスインジェクション、異常な自動レジストリ変更を検出し、すべてのアカウントで多要素認証（MFA）を強制して不正なメールボックスアクセスを防ぐべきだとGroup-IBは述べています。 翻訳元: