欧米の新聞・雑誌を分析し、異質な強国としてイメージが出現したことを解明。欧米の自己像の鏡としての日本像などの新視点を提示。 飯倉　章 著

東京海上ディーアールが始動した新しい研究プロジェクト、能動的サイバー防御（ACD）の成果について解説します。法律整備や能力構築に向けた脅威分析がテーマです。

出典：DD Images（Shutterstock経由） 北朝鮮の高度持続的脅威（APT）Blue Noroffは、暗号資産を盗み金正恩政権の資金調達を目的に、macOSプラットフォームへの攻撃を続けています。しかし、今年の2つの新たなキャンペーンの分析から、同グループがWindowsプラットフォームや他の分野にも焦点を移しつつあり、生成AIを活用して新たなマルウェアを作成する取り組みも強化していることが示されています。 BlueNoroffは、Sapphire Sleet、APT38などの別名でも知られ、2年以上にわたりSnatchCrypto作戦を静かに実行してきました。カスペルスキーの研究者が4月から追跡している2つのキャンペーンは、それぞれGhostCallとGhostHireと名付けられ、本日公開されたブログ記事で最新の調査結果がまとめられています。最初のキャンペーンはテクノロジーおよびベンチャーキャピタル（VC）の幹部を、2つ目はWeb3開発者を標的とし、いずれも高度なソーシャルエンジニアリングと様々なマルウェアを用いて被害者から認証情報やその他のデータを盗みます。 BlueNoroffは、銀行、VC企業、暗号資産取引所、スタートアップなどの金融機関やその利用者を標的とし、金銭的利益を追求する北朝鮮の攻撃者としてセキュリティ研究者の間で既によく知られています。今年のキャンペーンは、AIを活用してオペレーションを効率化し、高度なマルウェアを用いて財務目標を達成しようとする中で、macOSプラットフォームへの集中的な攻撃からさらに進化していることを示しています（カスペルスキー談）。 「我々の調査によれば、攻撃者はWindowsおよびmacOSシステムの両方を標的とするマルウェアの開発を、統一されたコマンド＆コントロール（C2）インフラを通じて継続的に行っています」とカスペルスキーのSojun Ryu氏は投稿で述べています。「生成AIの活用により、このプロセスは大幅に加速され、運用負荷を軽減しつつ、より効率的なマルウェア開発が可能になっています。」 Blue Noroffはまた、認証情報や暗号資産の窃取という従来の活動を超え、「さまざまな資産にわたる包括的なデータ取得」にも乗り出している兆候が見られます。これにより、初期ターゲットだけでなく、その後の攻撃を容易にするためにデータを悪用する意図があるとRyu氏は述べています。これにより、サプライチェーン攻撃の実行や、既存の信頼関係を利用してより広範なユーザーに影響を及ぼすことが可能になります。 GhostCall、信頼性を拡大 GhostCallキャンペーンは、macOSデバイスを持つテクノロジーおよびベンチャーキャピタル幹部をTelegramなどのプラットフォームを通じて標的にし、投資機会やパートナーシップの協力を持ちかけます。場合によっては、実在する起業家やスタートアップ創業者の乗っ取られたアカウントからメッセージが送られ、その信頼性が高まるとRyu氏は述べています。 これらのメッセージはZoom風のフィッシングサイトに誘導され、被害者は偽の通話に参加できますが、「この脅威の他の実際の被害者の本物の録音」を使っており、ディープフェイクではないとRyu氏は投稿で述べています。通話が順調に進むと、攻撃者はユーザーにZoomクライアントのアップデートを促し、そのスクリプトが最終的に感染チェーンにつながるzipファイルをダウンロードさせるといいます。 カスペルスキーは、Microsoft、Huntability、Huntress、Field Effect、SentinelOneなどの様々なセキュリティ研究者もGhostCallを追跡し、既に調査結果を公開していることを認めていますが、同じ名称では呼んでいません。カスペルスキーの報告は新たなマルウェアチェーンやキャンペーンに関する洞察をカバーしています。 例えば、9月には同グループが偽ミーティングのプラットフォームとしてMicrosoft Teamsを使うようになったことをカスペルスキーが発見しました。「会議室に入ると、背景動画が始まった直後に、ターゲットのOSに特有のプロンプトがほぼ即座に表示されます。これは以前のZoomとほぼ同じですが、macOSユーザーにはSDKファイルのダウンロードを促す別のプロンプトも表示されます」とRyu氏は述べています。 研究者らはまた、マルチステージの実行プロセスを通じて様々なマルウェアが配布されていることも観察しました。キャンペーンでのペイロードには、DownTroyマルウェアローダー、RealTimeTroyバックドア、SilentSiphonマルチクレデンシャルスティーラー、CosmicDoorリモートコントロールマルウェアなどが含まれます。 偽リクルーター、クロスプラットフォーム化へ 一方、GhostHireはWeb3開発者に接近し、採用プロセスのスキル評価を装ってマルウェアを含むGitHubリポジトリをダウンロード・実行させる手口です。実際、北朝鮮の脅威アクターは、採用活動を誘い文句に使うことで悪名高く、実際にフリーランスの仕事に採用された例もあり、米国組織への侵入を試みています。 GhostHireキャンペーンの最新バージョンはクロスプラットフォーム対応を示しており、ユーザーエージェント（被害者の使用OSを識別）に応じて最終的なペイロードを選択します、とRyu氏は述べています。 最初の接触と簡単なスクリーニングの後、「リクルーター」はユーザーをTelegramボットに追加し、そこからzipファイルまたはGitHubリンクを送信します。その後、応募者は30分以内に課題を完了するよう求められます。これにより被害者は急いで悪意あるプロジェクトを実行し、実行後にペイロードがシステムにダウンロードされます。 「ZIPファイルで配布されるプロジェクトは、一見正当なGo言語で書かれたDeFi関連プロジェクトであり、暗号資産取引を様々なプロトコル間でルーティングすることを目的としています」とRyu氏は述べています。「メインのプロジェクトコードは、プロジェクト自身のファイルに悪意あるコードを直接埋め込むのではなく、go.modファイルで指定された外部の悪意ある依存関係に依存しています。」 このキャンペーンでBlue Noroffが使用した外部プロジェクトは「uniroute」と名付けられ、今年4月9日に公式Goパッケージリポジトリに公開されました。他にもGhostHireで配布されるマルウェアはGhostCallと類似しており、DownTroyやRealTime Troy、さらにWindows版CosmicDoorなどが含まれます。 金正恩支援活動の拡大 今年の北朝鮮指導者のためのBlue Noroffの悪意ある活動は、同グループがツールセットを拡大し、macOS以外のプラットフォームにも進出していること、さらにソーシャルエンジニアリングやAIの活用を洗練させ、より迅速かつ柔軟に行動していることを示しています（カスペルスキー談）。 「AI駆動のカスタマイズ手法により、攻撃者は詳細な情報をもとに巧妙に偽装し、より精密な標的型攻撃が可能になっています」とRyu氏は述べています。「侵害データとAIの分析・生産能力を組み合わせることで、攻撃者の成功率は明らかに向上しています。」 Blue Noroffを追跡するために、カスペルスキーはキャンペーンで展開された様々なマルウェアに関連するものを含む、包括的な侵害指標リストをブログ記事で公開しました。一般的に、ビジネスパーソンは知らない人物からの雇用提案や協業の申し出には注意し、必ず相手の身元と信頼性を確認してから対応するべきです。 翻訳元:

ICE is ramping up its social media surveillance efforts by partnering with a company capable of ingesting and analyzing billions of posts on social media.

Google launches agentic threat intelligence to help security teams analyze threats faster through conversational, AI-driven research tools.

Dataminr announced Tuesday it has reached a deal to acquire ThreatConnect for $290 million, in a move aimed at boosting its capabilities around AI-powered threat intelligence.

チェック・ポイント・リサーチが発表した2025年9月のサイバー脅威に関するレポートでは、ランサムウェア攻撃の激増と生成AI関連リスクの拡大が注目されています。

Googleの脅威分析チームによると、北朝鮮のハッカーが暗号資産や機密情報を盗む目的で、スマートコントラクト内に悪意のあるコードを埋め込む手法を採用していることが明らかになった。この手法は「EtherHiding」と呼ばれており、2023年に登場した。Googleによれば、EtherHidingは一般的にソーシャルエンジニアリングと組み合わせて使われる。（Cointelegraph）

ワシントンDCにいる間、私は座って、 大紀元のヤン・ジェキエレク氏とのインタビュー。このインタビューでは、アンティファとの私の9年間の歴史と、暴力的左翼が米国に直面している現在の脅威についての分析を探ります。 自由を愛するこのジャーナリストは、何年にもわたって殺害の脅迫や身体的虐待を受けた後、アンティファに焦点を当てるのをやめるよう指導者からのアドバイスを拒否したと語った。 「私はアメリカを愛しているので、このビートを追い求めています」と、ベトナムの共産主義から逃れてきた難民の両親の息子であるゴは語った。 「私には、外に出てビデオを録画し、何が起こっているのかを人々に見てもらう義務があると感じました。」 同氏は、「統治不能になる」ことを目指す同団体の破壊的なイデオロギーを警告し、同団体の政策や意図が十分な情報を得られていない証拠として、2020年のシアトルの悪名高い「キャピトルヒル自治区」を含む都市中心部で自治権を確立しようとする同団体の過去5年間の試みが何度も失敗していることを指摘した。 インタビューは録音されており、 ここで完全なビデオを見ることができます。 以下のプレビュークリップでは、過去 12 か月間に米国が非常に多くの左派による攻撃を経験し、人々がその事件を忘れてしまった、あるいはさらに悪いことに、それが今では普通のことであると思い込まされている様子について説明します。暗殺からテスラ店舗銃乱射事件、ICEの待ち伏せ銃撃事件まで、左派のテロが急増している。 あなたの考えを教えてください インタビュー。 Original Title: 「私はアンティファに殺されそうになった。これが私が学んだことです』 Author: Andy Ngo Publish Date: 2025-10-17 02:57:00 Source Name: Ngo Comment Enclosure Link: OG Image: The DeepSafe AI by DTP for DTPNews has verified this information, you can view it at the original source link

ワシントンDCにいる間、私は座って、 大紀元のヤン・ジェキエレク氏とのインタビュー。このインタビューでは、アンティファとの私の9年間の歴史と、暴力的左翼が米国に直面している現在の脅威についての分析を探ります。 自由を愛するこのジャーナリストは、何年にもわたって殺害の脅迫や身体的虐待を受けた後、アンティファに焦点を当てるのをやめるよう指導者からのアドバイスを拒否したと語った。 「私はアメリカを愛しているので、このビートを追い求めています」と、ベトナムの共産主義から逃れてきた難民の両親の息子であるゴは語った。 「私には、外に出てビデオを録画し、何が起こっているのかを人々に見てもらう義務があると感じました。」 同氏は、「統治不能になる」ことを目指す同団体の破壊的なイデオロギーを警告し、同団体の政策や意図が十分な情報を得られていない証拠として、2020年のシアトルの悪名高い「キャピトルヒル自治区」を含む都市中心部で自治権を確立しようとする同団体の過去5年間の試みが何度も失敗していることを指摘した。 インタビューは録音されており、 ここで完全なビデオを見ることができます。 以下のプレビュークリップでは、過去 12 か月間に米国が非常に多くの左派による攻撃を経験し、人々がその事件を忘れてしまった、あるいはさらに悪いことに、それが今では普通のことであると思い込まされている様子について説明します。暗殺からテスラ店舗銃乱射事件、ICEの待ち伏せ銃撃事件まで、左派のテロが急増している。 あなたの考えを教えてください インタビュー。 Original Title: 「私はアンティファに殺されそうになった。これが私が学んだことです』 Author: Andy Ngo Publish Date: 2025-10-17 02:57:00 Source Name: Ngo Comment Enclosure Link: OG Image: The DeepSafe AI by DTP for DTPNews has verified this information, you can view it at the original source link

セキュリティ企業Codificの共同創業者兼CEOであるアラム・ホヴェスピアン氏は、セキュリティ脆弱性を特定し脅威リスクを評価するための評価システムは見直しが必要だと述べています。 ホヴェスピアン氏は、CVE（共通脆弱性識別子）脆弱性識別番号システムを調査した結果、CVEの約3分の1は意味がないと主張しています。 彼の分析は、USENIXセキュリティシンポジウムの一環として8月に発表された学術研究を引用しています。論文「Confusing Value with Enumeration: Studying the Use of CVEs in Academia」（Moritz Schloegelら）は、過去5年間に研究論文で引用された1,803件のCVEのうち34％が、公開で確認されていないか、脆弱とされたソフトウェアプロジェクトの管理者によって異議が唱えられていると報告しています。著者らは、CVEを主張される脆弱性の実世界での影響の代替指標として扱うべきではないと主張しています。 CVEは、セキュリティ研究者がCVE番号付与機関（CNA）に脆弱性を報告することで始まります。CNAは、当初はMITREが担当していましたが、その後他の組織（例：Microsoft）にもCNAの地位を拡大しました。CNAは提出内容を審査・検証し、CVE番号を割り当て、最終的に詳細を公開することになっています。 CNAには企業、オープンソースのメンテナー、財団、サービスプロバイダー、脆弱性研究者、国家コンピュータセキュリティインシデント対応チーム（CSIRT）などが含まれます。CNAはまた、CNA-LR（最終手段のCVE番号付与機関）にCVEの割り当てを委任することもできます。例えばRed Hatなどがこれに該当し、CNAの代理として自らの範囲外のCVEを割り当てたり詳細を公開したりできます。 ホヴェスピアン氏は、CVE割り当てシステムには動機の不一致があると述べています。 「脆弱性研究者は、自身の評判を高めるためにできるだけ多くのCVEを公開しようとする傾向があります」とホヴェスピアン氏は自身の投稿で書いています。「一方で、製品のCNAは自社ソフトウェアの欠陥をさらすCVEを作成する動機がほとんどありません。その一方で、CNA Last Resortは徹底的な検証のための技術的背景が不足していることが多く、正確さよりも迅速な公開を優先しがちです。」 その結果、開発者はこれらの報告に対応しなければならず、異議を唱えるのが難しく、正確性や妥当性に欠ける場合もあります。 ホヴェスピアン氏はまた、脆弱性の重大度をランク付けするためのCVSS（共通脆弱性評価システム）についても調査しました。彼はこれらのスコアが一貫性に欠けていると主張し、「研究によれば、CVEの40％以上が、同じ人物によってわずか9か月後に再評価された際に異なるスコアを受けている」と指摘しています。 また、CVSSスコアで計算を行うことは数学的に正当ではないとも主張しています。CVSSの序数的な数字は脆弱性のリスト内での位置を示すだけであり、本来はセキュリティツールの計算やアルゴリズムで定量的な値として扱うべきではありません。 CVEシステムの問題の例として、ドイツの博士課程学生フロリアン・ハントケ氏が、誰も使っていない廃止されたシステムに対してCVEを作成した事例を挙げています。この脆弱性は当初9.1のCVSSスコアを受けましたが、その後引き下げられました。ハントケ氏は自身の経験をブログ記事で記録し、「CVEの認識と価値を再調整する必要がある」と結論付けています。 ホヴェスピアン氏はまた、CVSSスコア10点中9.8を受けた後に3.3に引き下げられたcurlの脆弱性報告の問題も挙げています。 人気のコマンドラインツールcurlの作成者兼メンテナーであるダニエル・ステンバーグ氏は、The Registerへのメールで、ホヴェスピアン氏の批判は実際の問題を指摘していると述べました。特に、単一のスコアではすべての利用シナリオを正確に反映できない多様な環境で使われる製品やプロジェクトにとっては大きな問題だといいます。 「CVSSは基本スコアを示すものであり、各自が自分の環境やリスク判断を加えるべきですが、実際にはそのように数字が使われていません」とステンバーグ氏は説明しました。 「これが、curlプロジェクトで私たちがCVSSスコアを一切提供しない理由の一つです。世界中で（悪用も含めて）使われる単一のスコアを信頼性を持って設定できるとは思いません。私はしばしば、LinuxカーネルのCNA責任者であるGreg と一緒にこの点を主張しています。彼もまた、自分たちが作成するCVEにはCVSSを設定しません。curlよりもはるかに多くの件数を扱っているにもかかわらずです。」 実際、ステンバーグ氏は今年初めにこのテーマについてブログ記事を書いています。タイトルは「CVSSは私たちにとって死んだも同然」です。 ホヴェスピアン氏は、脆弱性報告を評価する人々の手続き的な改善を主張する一方で、CVEやCVSSスコアにも一定の価値があることは認めています。 「CVEやCVSSが無価値というわけではありません」と彼はThe Registerに提供した声明で述べています。「これらは有用なインプットです。しかし、AppSec戦略全体の基盤にすべきではありません。リスクの共通理解から始め、脅威モデリングや文脈に即したトリアージに基づくべきです。脆弱性ダッシュボードも役立ちますが、科学的な視点で解釈されて初めて意味を持ちます。」® 翻訳元:

ニュース 2025年10月15日7分 高度持続的脅威（APT）セキュリティ Flax Typhoonは信頼されたESRIのマッピングツールをウェブシェルに変え、持続的なアクセスを獲得した。 高度持続的脅威（APT）グループであるFlax Typhoonは、マッピングツールArcGISに1年以上にわたり持続的なアクセスを獲得し、複数の企業を危険にさらしていた。 ArcGISはESRIによって開発された地理空間プラットフォームで、組織が地理的な文脈でデータを理解・分析するためによく利用されている。 中国を拠点とするFlax Typhoon（別名Ethereal Panda）は、ReliaQuestの新たな調査によると、地図作成アプリケーションのJavaサーバーオブジェクト拡張（SOE）を機能するウェブシェルに改造した。 Flax Typhoonは、排他的な制御のためにハードコードされたキーでアクセスを制限し、それをシステムバックアップに埋め込んだ。これにより、攻撃者はシステムの完全なリカバリ後も生き残る深く長期的な持続性を実現した。持続性、横展開、認証情報の収集を優先し、主に公開サーバーの脆弱性を突いて初期アクセスを獲得し、ウェブシェルを展開し、VPN接続を確立していたと同社は指摘している。 「攻撃手法はますます高度化しており、マルウェアを作成・注入するのではなく、PowerShellやカスタムSOE、公開ポータル接続など、信頼されたコンポーネントやツールの侵害・操作にシフトしている」とCounterpoint Researchの副社長Neil Shah氏は述べた。「このため、すでに確立されたベースラインや高い信頼性があるために、企業がホワイトリストに登録しているアプリケーションやツールの開発者に責任があるとして見逃される可能性がある。」 ArcGISをウェブシェルに変える この活動は、ArcGISサーバーのSOEをウェブシェルとして動作するように改造することから始まったとReliaQuestは説明している。攻撃者は、バックエンド計算用にプライベートな内部ArcGISサーバーに接続された公開ArcGISサーバー（一般的なデフォルト構成）を発見した。その後、base64でエンコードされた（偽装された）コマンドをポータルサーバーに実行し、このプロキシモデルに沿った動作を行った。 初期実行のために、攻撃者はlayerパラメータにbase64エンコードされたペイロードを含む悪意のあるGETウェブリクエストを送信した。デコードすると「cmd.exe /c mkdir C:\Windows\System32\Bridge」となり、サーバーにBridgeという隠しシステムディレクトリを作成させるものだった。これは攻撃者のプライベートな作業領域となる。リクエストにはハードコードされたキーが付加されており、これがウェブシェルを発動しコマンドを実行するために必要だった。 その後も同じウェブシェルを繰り返し悪用し、同じ「JavaSimpleRESTSOE」拡張と「getLayerCountByType」操作を経由して追加のエンコードされたPowerShellコマンドを実行した。この一貫した手法により、通常のサーバートラフィックに紛れながら目的を進めることができた。 ウェブシェルが機能することを確認した脅威アクターは、「whoami」などの探索コマンドを使ってローカル管理者権限を持つ侵害済みサービスアカウントを特定し、後で使用するツールのステージングエリアとなる新たなディレクトリを作成した。 活動はさらに拡大し、Secure Shell（SSH）、HTTPS、Server Message Block（SMB）、Remote Procedure Call（RPC）など様々なプロトコルで内部ネットワークをスキャンし、複数の内部サブネットでSMBスキャンを実行した。次に、長期的なアクセスを確立するため、リネームしたSoftEther VPN実行ファイル「bridge.exe」をデフォルトのWindows System32ディレクトリにアップロードし、検知の可能性を低減した。悪意あるSOEも継続的なアクセスを提供し、ArcGISサーバー上に長期間存在していたため、被害者のバックアップにも保存されていた。 誰がリスクにさらされているのか？ ArcGISによって確認された最初の事例では、悪意あるSOEが使用され、ReliaQuestはArcGISポータル管理者アカウントのパスワードが出所不明のリートパスワードであったことを特定し、攻撃者が管理者アカウントにアクセスしパスワードをリセットできたことを示唆している。 「ArcGISをネットワーク環境で利用している組織で、外部または他の企業データシステムに公開されている場合は、リスクにさらされています」とPrimus Partnersの共同創業者兼MDのDevroop Dhar氏は述べた。「主なリスクは、攻撃者が侵害された拡張機能を使ってアクセスを維持し、機密データを持ち出せることです。ArcGISは地図作成、物流、公共部門の計画などで広く使われているため、ネットワークマップ、人口記録、インフラ配置図など、機密性の高いデータを持っています。」 その結果、多くの企業にとって懸念されるのは、即時の混乱だけでなく、静かに観察されることでもある。攻撃者がインフラや物流を追跡するシステム内部に潜んでいれば、それは深刻な情報上の優位性となる。 「侵害の有無を確認するには、まず自社環境内のすべてのArcGIS Serverバージョンを完全に棚卸しし、使用中のすべてのServer Object Extension（SOE）およびServer Object Interceptor（SOI）を列挙することから始めるべきです」とAnkura Consultingインド担当シニアマネージングディレクターのAmit Jaju氏は述べた。「次に、これらを既知のソースやベンダーのハッシュ値と比較し、不正な変更を検出します。異常なSOE JARファイルやクラス構造、ハードコードされたトークンや暗号鍵、不審な管理者アクティビティログ、セキュリティ研究者が特定したウェブシェルの兆候などを詳細に調査してください。」 Jaju氏は、CISOはバックアップやAMIも見落とさず、悪意あるSOEが仕込まれていないか、ゴールデンイメージの完全性を確認することも重要だと付け加えた。 対策としては、直ちに影響を受けたArcGISサーバーを隔離し、関連するすべてのサービスアカウントやシークレットをローテーションし、ArcGISサービスIDには厳格な最小権限制御を適用すること。「侵害されたシステムは、既知の良好なメディアからのみ再構築し、署名済みかつ独立してレビューされた拡張機能のみを再展開してください。可能であれば、すべてのSOEに対してコード署名検証を強制し、改ざんを防ぎましょう。最後に、監視体制を強化し、SOEの悪用や異常なArcGIS管理エンドポイントの活動を検知する仕組みを追加し、KEVだけに頼らず複数のフィードに購読することで脅威インテリジェンスの多様化を図ってください」とJaju氏は述べた。 信頼されたソフトウェアが新たな攻撃対象に セキュリティアナリストは、Flax Typhoonの事例は従来型マルウェアの展開ではなく、信頼されたコンポーネントの武器化が進化していることを浮き彫りにしていると指摘する。 2023年には、同グループが台湾の多数の組織を標的にスパイ活動を行った可能性が高いとMicrosoftは報告している。2020年には、SolarWindsがハッカーの標的となり、SolarWinds Orion IT監視・管理ソフトウェアに悪意あるコードが仕込まれ、世界中の数千の企業や政府機関が利用していた。 2023年3月には、3CXが深刻なソフトウェアサプライチェーン侵害を受け、WindowsおよびmacOSアプリケーションの両方に悪意あるコードが仕込まれた。 専門家によれば、脅威アクターは信頼されたベンダーモジュールを侵害すれば自由にアクセスできることに気づいている。そのため、ベンダーソフトウェアをデフォルトで安全とみなすべきではない。「信頼されたプラットフォームも継続的な検証が必要です。定期的なコード完全性チェック、ベンダーアップデートの厳格な監視、統合システムの定期的なペンテストが不可欠です」とDhar氏は付け加えた。 CISOはまた、ベンダーにSBOM（ソフトウェア部品表）や自社のセキュリティテスト・開示プロトコルの詳細など、透明性と明確性の提供を求めるべきだとDhar氏は述べた。「また、権限の分離も重要です。信頼されたベンダーのモジュールだからといって、ネットワーク内のすべてにアクセスする必要はありません。」 AIを効率的に活用し、行動分析における異常をリアルタイムで監視し、単なる一時点ではなく長期的な履歴と比較することが重要だとShah氏は付け加えた。 翻訳元: