【攻撃の傾向・手法】

Massive Brute Force Attack Targets VPN & Firewall Logins Using 2.8 Million IPs

ここ数週間、VPN やファイアウォールを狙った大規模なブルートフォース攻撃が急増しており、サイバー犯罪者は毎日最大 280 万の固有 IP アドレスを使用して執拗なログイン試行を行っています。攻撃は、インターネットに接続されたデバイスの脆弱性を悪用し、弱いログイン認証情報やデフォルトのログイン認証情報を使用してシステムに侵入しようとすることに重点を置いています。

Ransomware Gangs Increasingly Prioritize Speed and Volume in Attacks - Infosecurity Magazine

Huntressが本日発表した2025年サイバー脅威レポートによると、この変化はスピードにも反映されている。同社が身代金要求までの時間（TTR）の平均は17時間弱と判定したが、  AkiraとRansomHubは はるかに速く動作し、通常約6時間でランサムウェアを展開した。 
フィッシング攻撃の約 30% は電子署名サービスを偽装したもので、最も模倣されているブランドは Microsoft と DocuSign です。
ランサムウェアが高速かつ大量のビジネス モデルに進化するにつれて、組織はいくつかの重要な戦略を実装して、機敏なサイバー犯罪者に対する防御を強化する必要があります。
これには、定期的なデータのバックアップと安全な保管、フィッシング攻撃の認識に関する包括的な従業員トレーニングの提供、高度な脅威検出ツールへの投資などが含まれます。
さらに、ネットワークのセグメント化により攻撃の拡大を制限できると同時に、堅牢なパッチ管理ポリシーにより脆弱性が迅速に対処されます。多要素認証 (MFA) によりセキュリティがさらに強化され、攻撃時の被害を最小限に抑えるには、明確に定義されたインシデント対応計画が不可欠です。 

Russian Hackers Target Microsoft 365 Accounts with Device Code Attacks - Infosecurity Magazine

複数のロシア国家の攻撃者がデバイス コード認証フィッシングを通じて機密性の高い Microsoft 365 アカウントこの攻撃では、攻撃者は米国国務省を含む政府機関や著名な研究機関の職員になりすまします。これは、ソーシャルエンジニアリングによって標的に特定の Microsoft デバイス認証コードを提供させ、攻撃者がユーザーのアカウントに長期的にアクセスできるようにすることを目的としています。を標的にしていることが明らかになりました。
この戦術は、侵入先の組織から「ロシアの脅威アクターにとって興味深い」機密情報を盗み出すことを目的としています。

この攻撃では、「デバイス コード フィッシング」と呼ばれる手法が使用され、攻撃者が被害者のアカウントにアクセスするために必要なすべての詳細 (ユーザー名、パスワード、攻撃者が Microsoft に要求したデバイス認証コード、ユーザーの MFA 応答) を、標的を騙して提供させようとします。ここで重要なのは、この犯罪集団が Microsoft にデバイス コードを要求し、被害者を騙してそのコードで認証させ、攻撃者用のアクセス トークンを生成して、被害者のアカウントにアクセスできるようにすることです。

【攻撃組織の動向】

8Base Ransomware Site Seized, Phobos Suspects Arrested in Thailand - Infosecurity Magazine

8Base ransomware site taken down as Thai authorities arrest 4 connected to operation | The Record from Recorded Future News

法執行機関は、著名なランサムウェアグループである8Baseのダークウェブ漏洩サイトを押収し、タイで関連するPhobos作戦に参加していたとされる4人を逮捕した。

RansomHub: The New King of Ransomware? Targeted 600 Firms in 2024

Hackread.com と Group-IB の最新の調査では、ランサムウェア・アズ・ア・サービス (Ransomware-as-a-Service) の活動が急増していることが強調されており、この分野で非常に活発に活動しているグループが RansomHub であることが特定された。
RansomHub のランサムウェアは、クロスプラットフォーム互換性を考慮して設計されており、Windows、ESXi、Linux、FreeBSD など、さまざまなオペレーティング システムとアーキテクチャをターゲットにしています。
Group-IB は、14 時間未満続いた特定の RansomHub 攻撃を調査しました。攻撃者は最初に Palo Alto ファイアウォールの脆弱性 ( CVE-2024-3400 ) を悪用し、次に VPN 認証情報を総当たり攻撃してアクセスを取得しました。次に、脆弱性CVE-2021-42278 (sAMAccount Spoofing) とCVE-2020-1472 (ZeroLogon) を使用してドメイン コントローラーを侵害して制御を取得し、ネットワーク内で横方向に移動してNAS サーバーと共有フォルダーにアクセスし、Filezilla を使用してデータを盗み出しました。

【脆弱性情報】

Hackers exploit authentication bypass in Palo Alto Networks PAN-OS

ハッカーは、認証をバイパスできる最近修正された脆弱性 (CVE-2025-0108) を悪用して、Palo Alto Networks PAN-OS ファイアウォールに対して攻撃を仕掛けています。

このセキュリティ問題は重大度スコアが高く、PAN-OS 管理 Web インターフェイスに影響を及ぼし、ネットワーク上の認証されていない攻撃者が認証をバイパスして特定の PHP スクリプトを呼び出すことができるため、整合性と機密性が損なわれる可能性があります。

【政府機関・公的機関】

情報通信研究機構、「NICTER観測レポート2024」を公開 – SecurityInsight | セキュリティインサイト

国立研究開発法人情報通信研究機構（NICT）のサイバーセキュリティネクサスは2月13日、「NICTER観測レポート2024」を公開した。
2024年は2023年とほぼ同じダークネット観測規模（ダークネットIPアドレス数）で観測を行ったが、1 IPアドレス当たりの年間総観測パケット数は前年の2023年から増加しており、インターネット上を飛び交う探索活動が更に活発化していることが数字から読み取れる。

【調査結果・ベンダーレポート】

米国CISAの「セキュア・バイ・デザイン誓約」に沿ったトレンドマイクロの取り組み | トレンドマイクロ | トレンドマイクロ (JP)

→CISA「セキュアバイデザイン誓約」の解説と、トレンドマイクロ社の取り組みについて。認証機能の実装、脆弱性への対応（自社製品の脆弱性の公開、顧客のパッチ適用の促進などなど）、顧客への必要なログの提供等々・・。

参考）Secure by Design Pledge | CISA,米CISAが新たな「CPGs（セキュリティパフォーマンス目標）」発表、18項目からなるIT分野版の固有目標とは【海の向こうの“セキュリティ”】 - INTERNET Watch

DDoS Attack Volume and Magnitude Continues to Soar - Infosecurity Magazine

Gcoreの新しいレポートによると、DDoS攻撃は2024年後半に量と規模が急増した。2024年下半期のDDoS攻撃は2023年下半期と比較して56%増加した。また、2024年上半期と比較して攻撃の総数も17%増加した。
2024 年下半期には、攻撃はより短期間でより激しくなる傾向もありました。
この期間に観測された最大の DDoS は 2Tbps に達し、これは 2024 年上半期から 18% 増加したことになります。

Microsoft 365 SharePoint Onlineのフォレンジック: NECセキュリティブログ | NEC

EntraIDログとUnified Audit Logで調査をする模様。

【コラム系】

継続的な保証とコンプライアンス自動化はなぜ必要なのか | CSAジャパンブログページ組織におけるガバナンスとリスクマネジメントの枠組みは、ポリシーと管理策を設計し、実装し、施行し、モニターするために使用される仕組みであるはずです。また、データを収集し、分類し、分析し、評価し、それに基づいて行動することで、変化する環境の中で長期にわたり正しい方向性が設定され維持されることを確実にするものでもあります。
空間における保証とは、組織が運営上のリスクを管理しながら、ガバナンスをいかに適切に識別し、設計し、構築し、実装し、監視し、変更し、改善しているかを、評価・測定・伝達・報告した結果なのです。
統制範囲（誰かが適用する管理策の数）が高ければ高いほど、提供（主張）される保証のレベルも高くなります。

【その他】

Penetration Testers Arrested During Approved Physical Penetration Testing

→警察官にとっては、いくらその企業の許可証を持っていようとも、犯罪行為には変わりないのなら、逮捕はするわな、という印象。事前のコミュニケーションをよくとっておきましょう、と書いてあるけど、侵入系のテストって事前のアナウンスを極力しないことがベストプラクティスなのでは。。法執行機関まで事前に調整するのはどうなんでしょう（国によるのですかね）。

【インシデント関連】

Insurance firm Globe Life to warn 850,000 of potential data theft following extortion attempt | The Record from Recorded Future News]

保険会社グローブ・ライフがハッカーによる恐喝の試みについて規制当局に報告したことを受け、同社の顧客約85万人にデータ漏洩の警告が出されている。
「当社は、十分な注意を払うため、脅威の攻撃者がこれらの追加個人のデータを入手したかどうかは確認できていないものの、関連データベースに情報が保存されていた約85万人の追加個人に対して、自主的な通知と信用監視サービスを提供するプロセスも開始しました。」

【攻撃の傾向・手法】

FUNNULL Unmasked: AWS, Azure Abused for Global Cybercrime Operations

Silent Push の脅威分析チームの調査によると、サイバー犯罪者は Amazon Web Services ( AWS ) や Microsoft Azure などの主流のクラウド プロバイダーを悪用しています。
インフラストラクチャ ロンダリングとは、犯罪者が悪意のある活動を正当な Web トラフィックと混ぜて、正当なユーザーを妨害せずに防御側がアクセスをブロックすることを困難にするサイバー犯罪の一種。
FUNNULL の活動には、大手クラウド プロバイダーから何千もの IP アドレスを借りて、常にそれらを切り替えて検出を回避し続けることが含まれます。伝えられるところによると、FUNNULL は Amazon から 1,200 以上の IP アドレスを借り、Microsoft からは 200 近くの IP アドレスを借りていました。
アマゾンは公式声明でこの問題を認め、不正に取得されたアカウントを停止していることを確認した。

LockBit Ransomware: 11-Day Timeline from Initial Compromise to Deployment

フィッシングによる認証情報窃取をきっかけに、不正アクセス→内部展開→ランサムウェア実行を進めていく流れの解説。

【脆弱性情報】

Critical D-Link Router Flaw Allows Attackers to Take Full Remote Control

D-Link の DSL-3788 ルーター、具体的にはファームウェア バージョン v1.01R1B036_EU_EN 以下を実行しているハードウェア リビジョン Ax/Bx に、重大な認証されていないリモート コード実行 (RCE) の脆弱性が見つかりました。
この欠陥により、攻撃者はデバイスへの完全なリモートアクセスを取得できるようになる。
D-Link は迅速に対応し、報告を受けてすぐに調査とパッチ適用プロセスを開始しました。その結果、最初の開示から 90 日以内に、修正されたファームウェア バージョンがリリースされました。

【政府機関・公的機関】

【セキュリティ ニュース】「セキュリティ10大脅威2025」 - 「地政学的リスク」が初選出（1ページ目 / 全1ページ）：Security NEXT

「組織」における脅威では、「ランサムウェアによる被害」が前年から引き続きトップだった。10年連続でランキングに入っている。2位も前年同様「サプライチェーンの弱点を悪用した攻撃」だった。

他項目についても例年上位に入る脅威だが、7位の「地政学的リスクに起因するサイバー攻撃」については今回はじめて選出された。

米国 NIST IR 8374 Rev.1（初期公開ドラフト）ランサムウェアのリスクマネジメント： サイバーセキュリティフレームワーク2.0コミュニティ (2025.01.13): まるちゃんの情報セキュリティ気まぐれ日記

CSFをベースにしたランサムウェア対策のベストプラクティス・・・？

【調査結果・ベンダーレポート】

Lazarus サブグループ分類に見る「アトリビューションの実務的課題」とは | ScanNetSecurity

佐々木勇人氏は「Lazarus」について、一つの攻撃グループを指す名称ではなく、実際には多数のサブグループの集合を指すもので、もともとは一つのグループ、あるいはごく限られた規模の集団による活動を示していたが、活動体の規模が拡大し、複数のユニットに規模が拡大・枝分かれしたのではないかと推測している。

アカマイ、国内事業者向けでは過去最大規模のDDoS攻撃について解説 - ZDNET Japan

Mirai Botnetは2016年に当時最大規模の分散型サービス拒否（DDoS）攻撃を実行したIoTデバイスベースのボットネットだが、ソースコードがハッカーコミュニティーに公開されたことから、その技術要素を受け継いだ亜種が繰り返し登場している。
現在のDDoS攻撃に使われているMirai Botnet亜種の特徴として、従来型のUDPリフレクションDDoSとは異なり、「C2サーバーからの要求次第でTCPベースの攻撃など複雑な指示が可能」な自由度の高さと、その副作用ともいえる「準備（開発や感染台数維持）にコストと時間がかかる」。
Akamaiが観測した傾向として「レイヤー3/4（SYN/Ack/UDP/GRE Floodなど）とレイヤー7（HTTP/HTTPS）の混成型DDoSで、攻撃ベクトルは時間経過によって変化」「観測した攻撃ボリュームのピーク（主にレイヤー3/4）は数十Gbps～数百Gbpsにおよび、国内事業者向けのDDoSとしては過去最大規模」「CDNの緩和を経由しない、IPアドレス直打ちによるオリジンサーバー or 関連ネットワーク機器への直接攻撃や、サブネットのIP（1～254まで）を総当たりする攻撃傾向も見られる」「攻撃ソースは英国、香港、日本、シンガポールなど各国（世界中）に分散」などの特徴。

Cloudflare DDoS脅威レポート (まとめ) - TT Security Trend

ペネトレーションテストはどこまでやればいい？ | LAC WATCH

ペネトレーションテストを実施する目的の1つに、「実際にサイバー攻撃を受けた際に悪用されると考えられるセキュリティ上の問題点を洗い出し、セキュリティ対策に活用すること」を挙げています。攻撃者の目的を達成した時点でテストを終了してしまうと、テスト自体の目的には不十分となってしまうことに注意が必要です。
「目的達成のための経路」に関連して、脆弱性診断とペネトレーションテストの大きな違いについて説明します。脆弱性診断を実施した場合、アウトプットとして得られるのは検出した脆弱性の一覧です。一方で、ペネトレーションテストでは目的達成可否を含む攻撃の過程がまずアウトプットとして存在し、検出した脆弱性は攻撃の過程を構成する要素にあたります。端末でマルウェアを実行する攻撃手法を想定した場合は、攻撃シナリオに沿って調査をするペネトレーションテストよりは、端末でのマルウェア実行について数百種類、数千種類のパターンを試行するBAS（Breach Attack Simulation）のようなツールの方が効果的です。

【セキュリティ対策機器、ツールの紹介記事】

Microsoft Entra: 2024 年の注目機能トップ 50 | Japan Azure Identity Support Blog

Entra IDのセキュリティ関連の機能も色々強化される模様。不正ログイン対策がやはり目立つ印象。

【その他】

コンプライアンス自動化革命： 真の変革の時 | CSAジャパンブログページ

CSAにて、クラウドのガバナンスに対する、自動化・効率化を主導するような取り組みが進んでいく？
以下のような事項に取り組む模様。
継続的なモニタリングアーキテクチャにより、問題をリアルタイムで検出
AIを活用した規制の分析により、複雑な要件を理解
自動化された管理策のテストにより、手動によるオーバーヘッドを排除
マシン・ツー・マシンのコンプライアンス通信を可能にする標準

DDoS対策 - セキュリティコミュニティ「WEST-SEC」

DDoS攻撃の概要と攻撃手法の説明。対策についても。

Microsoft Teams phishing attack alerts coming to everyone next month

Microsoft は、Microsoft 365 管理者に対し、Teams チャットの新しいブランドなりすまし防止機能が 2025 年 2 月中旬までにすべての顧客に提供されることを通知しました。
有効にすると、外部の Teams アクセスを有効にしている組織 (これにより、脅威アクターは外部ドメインの任意のユーザーにメッセージを送信できます) を標的としたフィッシング攻撃を検出したときにアラートが表示されます。

★DeepSeek関連

DeepSeek Exposed Database Leaks Sensitive Data - Infosecurity Magazine

DeepSeekは、最近同社のAIデータベースに関連するインフラの脆弱性を発見し、サイバーセキュリティの専門家から急速に精査されるようになった。
クラウド セキュリティ企業 Wiz の研究者は、チャット履歴、API キー、バックエンドの運用詳細などの機密データが漏洩しているデータベースを公開したことを発見しました。

DeepSeek’s Flagship AI Model Under Fire for Security Vulnerabilities - Infosecurity Magazine

DeepSeekのジェイルブレークにセキュリティー企業が成功、「ChatGPTより脆弱」 | 日経クロステック（xTECH）

※DeepSeekはほかの生成ＡＩよりも脆弱性が多い、とのレポート
コンサルタント会社Kela Cyber​​の1月27日のレポートによると、DeepSeek-R1はサイバー脅威に対して非常に脆弱であり、AIの脆弱性を悪用する攻撃者にとって格好の標的となっている。
Kela Cyber​​ のテストにより、このモデルはさまざまな手法を使って簡単に脱獄できることが明らかになりました。その手法には、モデルに「悪」のペルソナを採用するように促してモデルを悪用する「Evil Jailbreak」手法も含まれます。
レッドチームは、OpenAI の o1 モデルと比較して、R1 は安全でないコードを生成する脆弱性が 4 倍高く、有害な出力を作成する可能性が 11 倍高いことを発見しました。

ディープシークへのサイバー攻撃 中国メディア“米との見方” | NHK | 生成AI・人工知能

生成AIの開発を手がける中国のスタートアップ企業「ディープシーク」は、大規模なサイバー攻撃を受けたと発表し、中国メディアは発信元のIPアドレスはアメリカだとする見方を伝えました。

中国ディープシーク、米オープンＡＩからデータを不正入手か…米報道（読売新聞オンライン） - Yahoo!ニュース

「ディープシーク」を巡り、米ブルームバーグ通信は２８日、ディープシークの関係者が対話型ＡＩサービス「チャットＧＰＴ」を開発した米オープンＡＩからデータを不正に入手した可能性があると報じた。

初心者向けJWT講座：JSON Web Tokenを使った認証の仕組み

JWTの仕組み。トークン認証の仕組み。

聴く技術書！ラジオ好きエンジニアに贈る2025年おすすめテック系Podcast7選 #Security - Qiita

2025年中に読破したい、最高の技術書10選 #AWS - Qiita

【インシデント関連】

「tenki.jp」への DDoS 攻撃、1月10日時点で断続的に障害継続 | ScanNetSecurity

「tenki.jp」（WEB版）では1月9日午前7時1分頃から、DDoS攻撃によるネットワーク輻輳が原因でが利用しづらい事象が発生し、同日午後4時30分頃には一度障害が解消したが、その後、午後8時過ぎに再度のDDoS攻撃があり、1月10日時点で障害が断続的に継続していたが、1月10日午後4時30分ごろに復旧したという。

【攻撃の傾向・手法】

生成AIプロンプトインジェクションの新たな手口「リンクトラップ」 | トレンドマイクロ | トレンドマイクロ (JP)
プロンプトインジェクションの新たな一種として、AIに外部接続の権限がなくてもユーザや企業の情報を流出させる「リンクトラップ」の手口が、研究者の間で議論されている。生成AIからの回答に、攻撃者の環境へのリンクを「参照」ボタンのような形で孵化し、ユーザーのチャット上の出のやり取りを盗取することなどが可能になると想定。

フィッシング報告状況[概要] (まとめ) - TT Malware Log

→2024年10-12月にかけてフィッシングサイトの報告件数もURL件数も増加。

New 'Sneaky 2FA' Phishing Kit Targets Microsoft 365 Accounts with 2FA Code Bypass

Microsoft 365アカウントにアクセスし、認証情報と2要素認証（2FA）コードを盗むことを目的としている新しい中間者攻撃（AitM）フィッシングキット「Sneaky 2FA」について。
フィッシング キャンペーンでは、支払い領収書関連のメールを送信し、受信者を誘導して QR コードを含む偽の PDF 文書を開かせ、スキャンすると巧妙な 2FA ページにリダイレクトすることが確認されています。このキットには、ボット対策や分析対策もいくつか備わっており、トラフィック フィルタリングや Cloudflare Turnstile チャレンジなどの技術を採用して、特定の基準を満たす被害者だけが認証情報収集ページに誘導されるようにしています。

Appleのセキュリティコードを悪用した新種マルウェア「Banshee」の脅威 | Gadget Hack

ロシア語圏のサイバー犯罪者による新種マルウェア「Banshee」が、Appleのセキュリティコードを悪用し、約2か月にわたり検出を回避していたことが判明した。Check Point Researchの調査によれば、このマルウェアはiCloudキーチェーンのパスワードや暗号通貨ウォレットを狙い、正規アプリに偽装して拡散された。

【脆弱性情報】

【悲報】iPhoneのUSB-Cに重大な脆弱性発覚。コントローラーチップの不正書き換えが可能に - すまほん!!

セキュリティ研究者のThomas Roth氏は、iPhoneの充電とデータ転送を管理する「ACE3」コントローラーチップが不正に書き換えられるおそれがあると指摘しています。もし悪意ある人物に物理的に端末を奪われ、このチップを再プログラムされてしまうと、セキュリティを迂回して個人情報へアクセスされる可能性があるとのことです。

ESET detailed a flaw that could allow a bypass of the Secure Boot in UEFI systems

この脆弱性により、攻撃者はシステム起動時に信頼できないコードを実行し、次のようなUEFIブートキットを展開できるようになります。
「この脆弱性は、標準の安全な UEFI 関数 LoadImage と StartImage を使用する代わりに、カスタム PE ローダーを使用することで発生します。その結果、アプリケーションは、UEFI セキュア ブートの状態に関係なく、システムの起動時に、特別に細工された cloak.dat ファイルから、署名されていないものも含め、あらゆる UEFI バイナリを読み込むことができます。」

【政府機関・公的機関】

警察庁とNISC、サイバー攻撃グループ「MirrorFace」（Earth Kasha）の手口を詳細に解説し注意喚起 - INTERNET Watch

中国の脅威グループが日本にサイバー攻撃、警察庁が注意喚起 | TECH+（テックプラス）

警察庁と内閣サイバーセキュリティセンター（NISC）は、「MirrorFace」（ミラーフェイス）または「Earth Kasha」（アース カシャ）と呼ばれるサイバー攻撃グループによるサイバー攻撃キャンペーンについて、手口を詳細に紹介しつつ注意喚起を行った。
メールを受信する個人に関しては、普段から交流のある相手からのメールであっても、送信元メールアドレスを確認するとともに、やり取りに少しでも違和感があったら警戒し、本人に確認すること。普段はファイルをそのまま添付する人が圧縮している、リンクからダウンロードさせようとしている、といったケースが考えられる。
Microsoft Office文書ファイルを開いたときに、マクロを有効化する「コンテンツの有効化」ボタンが表示されてクリックを促されても、を安易にクリックしないこと。
組織のシステム管理者向けには、広範囲かつ長期間にわたるログの集中保存と管理、VPNなどのネットワーク機器に関するログの監視やログ設定の管理およびアカウントの管理、不審な活動の監視、脆弱性に関する情報収集、などが挙げられている。そのほか、Windows PCの設定や業務に必要のない機能（Windows Sandboxなど）の停止、ウイルス対策ソフトの検知状況の監視・確認も挙げられている。

あなたではなく組織の財産を狙うLinkedIn経由のコンタクトにご用心 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

LinkedInを悪用した攻撃は、主に攻撃グループLazarusが使用するもので、JPCERT/CCでは2019年ごろから国内の組織に対するLinkedInを悪用した攻撃を継続的に確認しています。過去のインシデント事例の教訓として、業務で使用するホスト上でLinkedInを使用する行為は非常に危険であり、特別な理由がない限り、避けるべき行為であると考えます。このような被害を低減するために、業務端末でのSNSの使用を制限（SNSアプリのインストールやアクセスコントロール等）するなどの対策もご検討ください。
LinkedIn経由でコンタクトしてくる攻撃者は以下のような特徴があります。知らない人物からのコンタクトがあった際、このような特徴が複数当てはまるような場合は、注意が必要です。
・コミュニケーションツールをLinkedInから変更するように要求してくる
・ファイルをダウンロード・実行させようとする
・送信してきた（ダウンロードさせた）ファイルの実行の有無や環境を執拗に確認してくる
・標的型攻撃メールの場合は日本語の文章であることが多いのに対し、LinkedIn経由の攻撃では攻撃者は英語を使用することが多い（一部日本語の事例も確認）
・リクルーターを装い高額な報酬を提示してくる

CISA Launches Playbook to Boost AI Cybersecurity Collaboration - Infosecurity Magazine

JCDC AI サイバーセキュリティ コラボレーション プレイブックは、 AI 開発者、プロバイダー、採用者に対して、CISA およびその Joint Cyber​​ Defense Collaborative (JCDC) パートナーとサイバーセキュリティ情報を自発的に共有するための詳細なガイダンスである。
AI システムに関連するサイバーセキュリティ インシデントや脆弱性の自主的な共有を奨励するとともに、情報交換の保護とメカニズムを明確に定義することが含まれます。
https://www.cisa.gov/sites/default/files/2025-01/JCDC%20AI%20Playbook.pdf

【調査結果・ベンダーレポート】

Akamai、2025年のセキュリティとクラウドにおけるトレンドを予測 - INTERNET Watch

組織は、AIシステムを脆弱性から保護すること、巧妙化するAI主導の攻撃から防御すること、の2つのキー領域に注力することが求められる。
大規模言語モデル（LLM）のセキュリティの脆弱性について、問題となる頻度と深刻度はともに上昇すると予想。組織はLLMの有望性と潜在的なセキュリティの落とし穴を比較検討する必要がある。

ASCII.jp：2024年も猛威を振るったランサムウェア、求められる「リスクの可視化」と「セキュリティ前提の契約」 (1/2)

2024年に国内企業が公表したランサムウェア被害の数は、12月15日時点で84件に上り（トレンドマイクロ調べ）、過去最大を更新した。
その背景として、「攻撃者のレジリエンスも高まっており、ランサムウェアグループもリブランドを繰り返している。LockBitは名称を変えていないが、目先を変えて攻撃を継続するグループが多い」。
脆弱性パッチ適用までに要する時間（MTTP）のグローバル比較調査において、日本は対象地域の中で最も対応が遅く「36.4日」と、全体平均（29.3日）の約1.2倍かかっていた。一番早い欧州地域と比べると、10日もの差が生まれている。
現在、端末上でログイン中の認証情報を詐取するツールや手法が登場しており、特権アカウントで日々リモートメンテナンスを実施していたことから、認証情報を奪取された事例もある。
トレンドマイクロの調査では、2023年からデータサプライチェーン被害を受けた「委託先」数は大きく変動はないが、委託先の被害から影響を受けた「委託元」の数は、2023年の103社から、2024年（12月15日時点）は218社まで増加。それに伴って、流出したデータ数も急増している。データ管理には、「同じデータは同じ管理の下に置かれるべき（Same Data, Same Management）」という原則もあることから、「委託元と同じ管理体制が構築できないのであれば、データを委託すべきではない」。

＜Kaspersky Security Bulletin(その3)：ダークウェブ市場の振り返りと2025年の予測＞

ダークウェブ市場における暗号資産ドレイナーへの注目が大幅に高まっていることを確認しました。ドレイナーとは、約3年前に登場したマルウェアの一種であり、標的をだまして不正な取引を承認させ、ウォレットから資産を素早く盗み取るというものです。主な手口として、偽のエアドロップ（暗号資産やNFTの無料配布キャンペーン）、フィッシングサイト、悪意のあるブラウザー拡張機能、虚偽広告、悪意のあるスマートコントラクト、偽のNFTマーケットプレイスなどがあります。
2024年はTelegram上でサイバー犯罪活動が急増しましたが、影のコミュニティ活動の場は再びダークウェブフォーラムに戻ると思われます。

Google Cloud、2025年のサイバーセキュリティ予測を発表 AIがサイバー攻撃にもたらす影響とは？：「オペレーショナルレジリエンス」が取締役会や規制当局の最優先事項に - ＠IT

サイバー諜報活動やサイバー犯罪では、個人情報の盗用、詐欺、本人確認（KYC）セキュリティ要件を回避する手口としてディープフェイクが使われる。
2025年の地政学的な対立は、サイバー脅威活動の活発化させ、サイバーセキュリティ環境をより複雑なものにする。「Big 4」（中国、イラン、北朝鮮、ロシア）は、サイバースパイ活動、妨害工作、影響力行使を通じて地政学的な目標を追求し続ける。
CISOやセキュリティ組織がサイバー攻撃や侵害の責任を負わされたり、サイバーセキュリティを巡る失敗を個人の責任として非難されたりする文化は否定されていくようになる。サイバーセキュリティ事件は犯罪行為として認識され、特に医療やその他の重要産業では、国家安全保障に対する攻撃として位置付けられるようになるだろう。

【コラム系】

「パスキー」とは何か？--パスワード不要でセキュリティにも優れた認証技術 - ZDNET Japan
パスキーは、2つの暗号鍵で構成される。オンラインサービスやアプリに登録される公開鍵と、スマートフォンやコンピューターなどのデバイスに保存される秘密鍵だ。実際に、パスキーを使用してログインするときは、顔や指紋、PINを使用する。ハッカーがウェブサイトの公開鍵を入手したとしても、あなたのデバイス上の秘密鍵にはアクセスできないため、あなたのアカウントに侵入することはできない。これがパスキーの優れた点だ。

【その他】

アリかナシか、ランサム攻撃の身代金支払いと交渉 有識者たちの見解は……：辻伸弘氏×北條孝佳弁護士 セキュリティロング対談【前編】（1/3 ページ） - ITmedia NEWS

身代金の支払いは要検討。株主からの訴訟、銀行との取引等々のリスクを踏まえて慎重に判断。結局身代金の支払いをしないなら、交渉はしない方が良い。チャットログが公開されるリスクもある。
→KDOKAWAの事案でもあったが、交渉をした場合にこちら側の状況を察知されたり、言ったことの揚げ足取りを取られたりする可能性もあるのかも。

「払う気がないなら交渉するな」ですね。払う気があるなら、盗んだデータが本物なのか確認する価値はある。そして金額の交渉ですね。
例えば、被害を受けて復旧を依頼する企業がサイバー保険に加入していて「身代金は補填しない」と約款に記載されているにもかかわらず、身代金を支払った金額も含めて「復旧費」として請求し、保険金が支払われてしまうと、被害を受けた企業と復旧事業者とが一緒に保険会社をだましている可能性があるという問題もあります。

4 Reasons Your SaaS Attack Surface Can No Longer be Ignored

2024 Verizon DBIRによると、インシデントで侵害された資産の種類のリストのトップは Web アプリケーション (別名 SaaS) であり、レポート内のインシデントの約 50% が Web アプリケーションに関連しています。また、Crowdstrike のレポートによると、今日の侵害の 80% は、クラウドおよび SaaS の認証情報を含む侵害された ID を使用しています。
生成AIもSaaSである。
SaaS アプリに保存されるデータは、GDPR や CCPA などのデータ プライバシー規制、ISO 27001 や NIST サイバー セキュリティ フレームワークなどのセキュリティ標準、HIPAA や PCI DSS などの業界固有のコンプライアンス要件の対象となる場合があります。
→SaaSの利用が増加する中、SaaSの認証情報の管理やSaaS内に保存するデータの管理は必須。

AGC が DMARC で reject に到達した朝 ～ セキュリティ対策を行うことが称賛される時代 ついに到来か | ScanNetSecurity

→記事としてはAGC社がDMARCのreject設定を行ったことに対して、会場から称賛の拍手があったことに対する記者の感想がつづられている。

→記事の中では、DMARCのreject設定は米国から見て遅れているものであり、手放しで称賛されるものではないし、そもそもセキュリティという業務の特性上、あまり褒められない類の業務であるのにもかかわらず、会場内で称賛の拍手があったことについて、「失神するほど記者が驚いた」とのこと。

→確かにtoAGCとしてDMARCという社内に多大なハレーションを起こしかねない取り組みをやり切られたのはすごい。そもそも、ToBの事業が中心であることあから、フィッシングメール等々等のリスクも低い中、自社のセキュリティレベルはどこにあるべきか、を設定してそこにこだわって対応されたのではないかと推察した。この取り組み側の意識の強さと、相対部門との「関係性を作りに行った」というしたたかさは、セキュリティ部門のソフトスキルとして必要だと感じた。

Cloudbase Blog 第6回 総務省「クラウドの設定ミス対策ガイドブック」を深掘り | ScanNetSecurity

本ガイドブックは、総務省が2022年10月に公開した「クラウドサービス利用・提供における適切な設定のためのガイドライン」をよりわかりやすく解説したものとなっております。
ガイドラインでは設定ミスの発生の原因として下記の 3 パターンを紹介しています。
1. デフォルト設定の危険性
　デフォルト設定のままクラウドサービスを利用し続けることで、機密情報が公開状態に置かれてしまう事例が多発しています。
2. 個人的な利用によるリスク
　従業員が業務効率化のために独自で導入したクラウドサービスが原因で、十分なセキュリティ対策が施されず、情報漏洩へと発展するケースも見られます。
3. 委託先による設定ミス
　業務委託先がクラウド環境を構築する際にストレージを「公開設定」のまま放置し、長期間にわたり機密情報が外部に晒され続けた事例も報告されています

Insurance company accused of using secret software to illegally collect and sell location data on millions of Americans | Malwarebytes

保険会社オールステートとその子会社アリティは、モバイルアプリに秘密裏に埋め込まれたソフトウェアを通じて、テキサス州民の携帯電話の位置と移動に関するデータを違法に収集、使用、販売していたという。」パクストン司法長官は、これらの企業は消費者に通知せず、同意も得ていなかったと述べ、これはテキサス州の新しいデータプライバシーおよびセキュリティ法に違反していると主張している。オールステートはその後、秘密裏に入手したデータを使って保険料の値上げを正当化したという。オールステートは、自社のビジネスのためにデータを使用しただけでなく、他の自動車保険会社を含む第三者にデータを販売したとして告発されている。

【インシデント関連】

Japan's largest mobile carrier says cyberattack disrupted some services | The Record from Recorded Future News

ポータルサイト「goo」や一部サービスにサイバー攻撃でシステム障害 NTTドコモ（テレビ朝日系（ANN）） - Yahoo!ニュース

NTTドコモ サービスの不具合 “おおむね解消” サイバー攻撃か | NHK | 通信

NTTDocomoの機器に対して、1/2にDDoS攻撃が発生。

午前5時27分ごろから、情報ポータルサイト「goo」およびドコモの一部のサービスで接続しにくい状況であった模様
その後、夕方の時点でほぼ解消した模様

みずほ銀行 ネットバンキングが一時つながりにくい状態に サイバー攻撃の可能性も | NHK | 金融

みずほ銀行のネットバンキングがDDoS攻撃で一時停止、年末の金融機関サイバー攻撃が続発 - イノベトピア

12/31にみずほ銀行のネットバンキングサイトへDDoS攻撃が発生し、サービスの利用に一部支障が出た。

日本航空で発生した大量データ送付起因のネットワーク障害についてまとめてみた - piyolog

2024年12月26日、日本航空は同社のネットワーク機器に対して大量のデータ送付を受けたことによるネットワーク障害が発生し、一部運航に影響が及んだことを明らかにしました。

【攻撃の傾向・手法】

Cross-Domain Attacks: A Growing Threat to Modern Security and How to Combat Them

今日の攻撃者はもはや「侵入」ではなく「ログイン」します。つまり、侵害された認証情報を利用してアクセスし、ターゲットにシームレスに溶け込みます。侵入すると、正当なツールとプロセスを悪用し、ドメイン間を移動して権限を昇格させるため、検出が困難になります。

→平時とは異なる、不審なログインや操作を検知し、調査・特定していくことが必要。

【脆弱性情報】

Bad Tenable plugin updates take down Nessus agents worldwide

差分プラグイン更新がトリガーされると、Tenable Nessus Agent 10.8.0 および 10.8.1 がオフラインになる可能性がある既知の問題があります。このような問題を防ぐため、Tenable はこれら 2 つのエージェント バージョンのプラグイン フィード更新を無効にしました。

影響を受ける場合は、Nessus エージェントをオンラインに戻すためにエージェント バージョン 10.8.2 にアップグレードするか、10.7.3 にダウングレードする必要がありますが、アップグレードまたはダウングレードにエージェント プロファイルが使用されている場合は、オフライン エージェントを回復するためにプラグインのリセットも必要です。

Trend Micro Apex One Vulnerabilities Let Escalate Privilege
トレンドマイクロは、Apex One および Apex One as a Service 製品に存在する、攻撃者が影響を受ける Windows システムで権限を昇格できる可能性がある、重大度の高い脆弱性 6 件に対処しました。この脆弱性により、ローカルの攻撃者が昇格した権限を取得し、侵害されたシステムで悪意のある操作を実行できる可能性があります

【政府機関・公的機関】

「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開：中国系ハッカー集団によるサイバー攻撃を受け - ＠IT

米国国土安全保障省サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は2024年12月18日（米国時間）、「Mobile Communications Best Practice Guidance」（モバイル通信のベストプラクティスガイダンス）を公開した。米国の商用通信インフラに対する中国政府系ハッカー集団のサイバースパイ活動が確認されたことを踏まえ作成されたものだ。

【調査結果・ベンダーレポート】

サイバーセキュリティ企業が予想する、2025年の脅威や業界トレンド - ZDNET Japan

AI（特に生成AI）の利用により、サイバー攻撃の巧妙化が進むという内容が多い。

その中で、SecurityScoreCardの予想は、事業会社に所属する者として興味深い。

→CISOへのプレッシャーがさらに増し、侵害発生時の責任を企業がCISO個人に押し付け、スケープゴートとして利用することが予測される。（中略）さらに深刻なのは、サイバー侵害への社会の目が厳しくなる一方、CISOが管理職や取締役会への直接的なアクセスを制限されていること。企業がCISOに十分な権限とリソースを与え、戦略的な役割を果たせる環境を整備しない限り、優れたセキュリティリーダーを確保することが困難になり、結果として重大なサイバー脅威に対してますます脆弱になる。

【コラム系】

S3のメタデータを用いた攻撃

次のPresigned URLの生成処理には問題があり、取得したPresigned URLにファイルを送信する際に任意のContent-Typeを指定することができます。これはAWS SDK for JavaScript v3の@aws-sdk/s3-request-presignerは、signableHeadersとして明示的に指定しない限り、x-amz-*以外のヘッダを署名に含めないという仕様によるものです。（中略）Content-Typeヘッダは署名されていないので、Burp SuiteのInterceptなどを用いて、Presigned URLを取得するときはimage/pngなどに書き換えてチェックを通過し、その後取得したPresigned URLへのPUTリクエストではtext/htmlに書き換えてやるだけで、HTMLファイルのアップロードに成功します。

→要は、任意の形式のファイルをアップできるということ。画像ファイルだと思って待ち構えていても、実際はリンクファイルやhtmlファイルのアップが可能。

他にもContent-typeの書き換えの観点で脆弱性が生まれやすいポイントが解説されている。

【その他】

エンタープライズIT「2025年の展望」を大予想、AIの勢いはどうなる？ 注目トレンドは…… (1/3)|EnterpriseZine（エンタープライズジン）

生成AIの次なるキーワードとして注目されるのが「AIエージェント」だろう。Salesforceなどが大々的に発表し、話題を呼んでいる。AIエージェントは、問い合わせに答えるだけでなく、課題に対し自律的に情報を収集し、解決策を見出し、アクションまで起こす。
→そのアクションの正しさは誰が保証するのか、どこまでのアクションを認めるのか、正しいアクションをしているかの監視（振り返り）を行う運用が必要となる点がポイントか。

Entra ID 初学者向けシリーズ第 1 弾 - 条件付きアクセス 入門 | Japan Azure Identity Support Blog

（メモ）条件付きアクセス制御は”ブラックリスト”のイメージ

条件付きアクセス ポリシーが適用されるのは、ユーザーが Entra ID にサインインした後、Entra ID がクラウド上のリソースに対して各種のトークンを発行する直前となります。
条件付きアクセスの流れ
ユーザーが特定のリソース (Web アプリや Web API) にアクセスを試みます。

1. 特定のリソース (Web アプリや Web API) が Entra ID で認証してくるようユーザーに要求し、ユーザーは Entra ID に誘導されます。
2. Entra ID によりサインインが求められます。
3. ユーザーが ID/PW などを入力しサインインが成功すると、アクセス要求が条件付きアクセス ポリシーによって評価されます。
   • ポリシーの適用条件に合致しなかった場合 → ポリシーは適用されずアクセスが許可されます 🙆‍♀️
   • ポリシーの適用条件に合致し、制御を満たした場合 → アクセスが許可されます 🙆‍♀️
   • ポリシーの適用条件に合致したが、制御を満たさない場合 → アクセスが拒否されます 🙅‍♀️