⚡ 週間まとめ: Chrome 0-Day、7.3 Tbps DDoS、MFAバイパストリック、バンキングトロイの木馬など

すべてのリスクが攻撃のように見えるわけではありません。いくつかの問題は、小さな不具合、奇妙なログ、または緊急ではないように見える静かな遅延として始まります—それが緊急になるまで。もしあなたの環境がすでにテストされているとしたら、それも予想していない方法で？

最も危険な動きのいくつかは、目に見える形で隠されています。私たちが見逃しているパターンは何か、古いプレイブックに合わないために無視しているシグナルは何かを問う価値があります。

今週のレポートは、これらの静かなシグナルを焦点に当てています—信頼されたツールを使用してMFAをバイパスした攻撃から、日常のインターフェースの背後に隠れたサプライチェーンの妥協まで。サイバーセキュリティの風景全体で際立ったものは次のとおりです：

⚡ 今週の脅威#

Cloudflareが7.3 Tbpsの大規模DDoS攻撃をブロック — Cloudflareは、記録された中で最大の分散型サービス拒否（DDoS）攻撃を自律的にブロックしたと述べました。この攻撃は、7.3テラビット毎秒（Tbps）のピークに達しました。攻撃は匿名のホスティングプロバイダーを標的にし、45秒で37.4テラバイトを配信しました。攻撃は、161か国にわたる5,433の自律システム（AS）を超える122,145以上のソースIPアドレスから発信されました。攻撃トラフィックの主な発信源には、ブラジル、ベトナム、台湾、中国、インドネシア、ウクライナ、エクアドル、タイ、アメリカ合衆国、サウジアラビアが含まれます。

🔔 トップニュース#

• TaxOffによって悪用されたGoogle Chromeの欠陥を修正 — TaxOffとして知られる脅威アクターは、CVE-2025-2783というGoogle Chromeのセキュリティ欠陥をゼロデイとして悪用し、2025年3月中旬にロシアの組織をバックドア「Trinper」で標的にしました。この攻撃は、2024年初頭から活動していると考えられるTeam46と呼ばれる別の脅威活動クラスターと重なっています。
• 北朝鮮が新しい偽Zoom詐欺にディープフェイクを使用 — 北朝鮮と関係のある脅威アクターは、暗号通貨財団の匿名の従業員を標的にし、ディープフェイクされた会社の幹部を含む偽のZoom通話でマルウェアをダウンロードさせようとしました。サイバーセキュリティ会社Huntressは、被害者のホストでコマンドを実行し、追加のペイロードをドロップし、キーストロークを記録し、暗号通貨関連のファイルを盗むことができる8つの異なる悪意のあるバイナリを発見しました。
• ロシアの脅威アクターがアプリパスワードを使用してMFAをバイパス — UNC6293として追跡されるロシアの脅威アクターは、アプリ固有のパスワードを利用して、標的の個人のGmailアカウントにアクセスし、米国国務省の職員を装った巧妙なソーシャルエンジニアリング攻撃を行いました。
• Godfatherトロイの木馬が感染したAndroidデバイスにサンドボックスを作成 — Godfatherバンキングトロイの木馬の新しいバージョンが、Androidデバイス上に隔離された仮想環境を作成し、正当なバンキングアプリからアカウントデータと取引を盗むことが発見されました。
• イスラエル-イラン紛争がサイバー戦争の急増を引き起こす — 6月13日に始まったイスラエルのイラン核および軍事目標への攻撃が、地域でのサイバー紛争を引き起こし、ハクティビストグループやイデオロギーに動機付けられたアクターが両国を標的にしました。

‎️‍🔥 トレンドのCVE#

攻撃者はソフトウェアの脆弱性を好みます—それはシステムへの簡単な入り口です。毎週新しい欠陥がもたらされ、パッチを待ちすぎると小さな見落としが大きな侵害に変わる可能性があります。以下は今週の重要な脆弱性です。確認し、ソフトウェアを迅速に更新し、攻撃者を締め出してください。

今週のリストには— CVE-2025-34509, CVE-2025-34510, CVE-2025-34511 (Sitecore XP), CVE-2025-6018, CVE-2025-6019, CVE-2025-6020 (Linux), CVE-2025-23121 (Veeam Backup & Replication), CVE-2025-3600 (Progress Telerik UI for AJAX), CVE-2025-3464 (ASUS Armoury Crate), CVE-2025-5309 (BeyondTrust Remote Support and Privileged Remote Access), CVE-2025-5349, CVE-2025-5777 (Citrix ADC and Gateway), CVE-2025-5071 (AI Engine plugin), CVE-2025-4322 (Motors theme), CVE-2025-1087 (Insomnia API Client), CVE-2025-20260 (ClamAV), CVE-2025-32896 (Apache SeaTunnel), CVE-2025-50054 (OpenVPN), および CVE-2025-1907 (Instantel Micromate) が含まれます。

📰 サイバー世界の周りで#

• Prometeiボットネットの再興 2025年3月 — Prometeiとして知られるボットネットが2025年3月に新たな攻撃で観察され、新機能も取り入れられています。「最新のPrometeiバージョンには、さまざまな悪意のある活動を可能にするバックドアが備わっています。脅威アクターは、コマンドアンドコントロール（C2）インフラストラクチャのためにドメイン生成アルゴリズム（DGA）を使用し、ステルスと回避のための自己更新機能を統合しています」とPalo Alto Networks Unit 42は述べています。
• BitoProハックがLazarusグループに関連付けられる — 台湾の暗号通貨取引所BitoProは、北朝鮮のハッキンググループLazarusが2025年5月9日に暗号通貨1100万ドルを盗んだサイバー攻撃の背後にいると主張しました。「攻撃手法は、国際的な主要事件で観察されたパターンに類似しており、これらの攻撃は北朝鮮のハッキング組織『Lazarusグループ』に帰属されています」と会社は述べています。
• Microsoftがレガシードライバーをクリーンアップする計画 — Microsoftは、セキュリティと互換性のリスクを減らすために、Windows Updateで公開されているレガシードライバーを定期的にクリーンアップする「戦略的イニシアチブ」を開始すると述べました。
• Mocha ManakinがClickFixを使用してNode.jsバックドアを配信 — Mocha Manakinとして知られる未公開の脅威アクターが、新しい一連の攻撃に関連付けられています。これには、ClickFix（別名Paste and runまたはfakeCAPTCHA）を初期アクセス技術として利用し、NodeInitRATというカスタムNode.jsバックドアをドロップします。
• 中国がロシアを標的にして戦争の秘密を探る — 中国の国家支援ハッカーが、2022年のウクライナ侵攻以来、ロシアの企業や政府機関に繰り返し侵入し、軍事機密を探している可能性があります。
• CoinMarketCapウェブサイトが偽の「ウォレット確認」ポップアップでハッキングされる — 暗号通貨追跡の人気プラットフォームCoinMarketCap（CMC）は、ユーザーのデジタル資産を排水することを目的とした「ウォレット確認」を促す悪意のあるポップアップを提供するためにハッキングされたと発表しました。
• jQuery Migrateの改ざんバージョンを介した悪意のあるJavaScriptの提供 — 別のサプライチェーンの脅威として、サイバーセキュリティ研究者は、jQuery Migrateライブラリのバージョンが改ざんされ、被害者のブラウザに任意のJavaScriptをリモートで挿入および実行するために使用されたマルウェア感染チェーンを発見しました。
• Tesla Wall Connectorがダウングレード攻撃を実行するためにハッキングされる — 研究者は、Tesla Wall Connectorという電気自動車用の充電器を悪用して、デバイスに脆弱なファームウェアをインストールし、最終的にデバイス上で任意のコードを実行する攻撃手法を実証しました。
• ASRJamが自動電話詐欺をブロックするために考案される — ベン・グリオン大学とアムリタ・ヴィシュワ・ヴィディヤーピーサムの学者グループが、攻撃者の自動音声認識（ASR）システムを妨害するために被害者の音声に敵対的な摂動を注入する新しいフレームワークASRJamを開発しました。
• AnonSecKhが国境の衝突後にタイのエンティティを標的にする — カンボジアのハクティビストグループが、先月末の国境の衝突後にタイのエンティティに対するサイバー攻撃を強化しました。
• DoJがロマンス詐欺に関連する暗号通貨225百万ドルを押収 — 米国司法省（DoJ）は、ベトナムとフィリピンからの暗号通貨信頼詐欺（別名ロマンス詐欺）に関連する225百万ドル以上の暗号通貨を回収するための民事没収訴訟を起こしたと述べました。
• ナイジェリア国民がサイバー詐欺で米国の刑務所に送られる — ナイジェリアのラゴス出身の33歳、リドワン・アデレケ・アデポジュが、米国市民や企業を標的にしたさまざまなサイバー詐欺計画を実行したとして、連邦刑務所で3年半の刑を言い渡されました。
• 悪意のあるFirefoxブラウザーアドオンが発見される — サイバーセキュリティ研究者は、Mozilla Firefoxの公式拡張機能マーケットプレイスで、ユーザーを技術サポート詐欺ウェブサイトに誘導するポップアップを通じて、悪意のあるアドオンを発見しました。
• 北朝鮮のスマートフォンは5分ごとにスクリーンショットを撮る — 2024年末に北朝鮮から密輸されたスマートフォンは、5分ごとにスクリーンショットを撮り、フォルダに保存するようにプログラムされており、政権が市民を管理し、情報を検閲し、洗脳しようとする程度を示しています。
• 英国が2023年のデータ侵害で23andMeに罰金を科す — 英国のデータ保護監視機関である情報委員会事務局（ICO）は、2023年の侵害と英国ユーザーの個人情報を保護するための適切なセキュリティ対策を実施しなかったとして、23andMeに310万ドルの罰金を科すと述べました。
• 46K以上のGrafanaインスタンスがCVE-2025-4123に脆弱 — 46,000以上のインターネットに接続されたGrafanaインスタンスが、最近公開されたセキュリティ欠陥（CVE-2025-4123別名Grafana Ghost）に対して脆弱であることが判明しました。
• ViasatがSalt Typhoonによってハッキングされる — 米国の衛星通信会社Viasatは、中国に関連するSalt Typhoonハッカーによって標的にされたことを認めました。
• FreeTypeゼロデイがParagonスパイウェア攻撃で悪用される — FreeTypeのセキュリティ欠陥（CVE-2025-27363）が、WhatsAppを配信ベクトルとして利用したParagon Graphiteスパイウェア攻撃に関連してゼロデイとして悪用されました。
• VADERがデッドドロップを検出し中和する — 脅威アクターは、Dropbox、Google Drive、Pastebinなどの正当で信頼されたプラットフォームをデッドドロップリゾルバー（DDRs）として利用し、実際のコマンドアンドコントロール（C2）サーバーを指す情報をホストして、検出を回避し、企業ネットワーク内の通常の活動と混ざり合う可能性があります。

🎥 サイバーセキュリティウェビナー#

• 彼らはあなたのブランドを偽装している—AIによる偽装を広がる前に止める方法 — AI攻撃者はあなたの会社、あなたの幹部、さらにはあなたの従業員を装っています。偽のメールからディープフェイクまで、それは急速に進行しています。このウェビナーでは、Doppelが最も重要なプラットフォームでの偽装を検出し、阻止する方法を示します—顧客やパートナーが騙される前に。AIの脅威の時代においてあなたのブランドを守るために参加してください。
• AIエージェントがデータを漏洩している—それをすぐに修正する方法を学ぶ — ChatGPTやCopilotのようなAIツールは、Google DriveやSharePointにリンクされることがよくありますが、適切な設定がないとプライベートファイルを漏洩する可能性があります。このウェビナーでは、Sentraの専門家がデータ露出がどのように発生するかの実例を分解し、今すぐにできることを紹介します。あなたのチームがAIを使用している場合、何かが漏れ出る前に必見です。

• glpwnme — これは、広く使用されているIT資産管理プラットフォームであるGLPIの既知の脆弱性を見つけて悪用するためのシンプルで強力なツールです。セキュリティチームやペンテスターが、複数のGLPIバージョンにわたるRCE、プラグインの欠陥、デフォルトの資格情報などの問題を検出するのに役立ちます。レッドチーミング、バグバウンティ、または内部監査に最適で、glpwnmeは安全なクリーンアップとプラグインの列挙もサポートしており、迅速で集中したGLPIセキュリティチェックに最適です。
• Debloat — これは、サンドボックス回避のために100〜800MB追加されることが多い膨れ上がった実行ファイルからジャンクデータを削除するシンプルなツールです。GUIとCLIの両方をサポートし、一般的なパッキングトリックの自動検出を使用して数秒で膨れ上がったバイナリをクリーンアップします。AssemblyLineやMWDBのようなプラットフォームで使用されており、マルウェアアナリストやCERTチームがより深い分析の前に迅速で信頼性のあるクリーンアップを必要とする場合に最適です。

免責事項: これらの新しくリリースされたツールは教育目的でのみ使用され、完全に監査されていません。自己責任で使用してください—コードをレビューし、安全にテストし、適切な安全対策を適用してください。

🔒 今週のヒント#

SCCMは静かなドメイン乗っ取りツールになり得る—それを保護する方法 ➝ MicrosoftのSystem Center Configuration Manager（SCCM）は、組織全体のソフトウェアとデバイスを管理するための強力なツールです。しかし、それが多くのシステムに触れるため、慎重に設定されていないと大きなセキュリティリスクとなります。攻撃者は、1つのユーザーまたはマシンにアクセスするだけで、SCCMのクライアントプッシュ機能を使用して他のシステムでリモートでコードを実行できます。

多くのITチームは、SCCMのセットアップがしばしば共有ローカル管理者アカウントに依存し、自動クライアントインストールを許可し、古いセキュリティプロトコルをまだサポートしていることを見落としています。これらの一般的な誤りは、攻撃者がネットワークを見つからずに移動するのを容易にします。さらに悪いことに、ソフトウェアをプッシュし、資格情報を保存するために中心的な役割を果たすSCCMデータベースとSMSプロバイダーサーバーは、適切にロックダウンされていないことが多く、攻撃者に制御を取るための明確な道を残しています。

ネットワークを保護するために、まずNTLMフォールバックをオフにし、グループポリシーを通じてSMB署名をオンにします。次に、SCCMがクライアントをインストールするために使用するアカウントを確認し、必要のない場所で管理者権限を削除し、それらの資格情報を定期的にローテーションします。SCCMデータベースが専用のサービスアカウントを使用し、接続できる人を制限し、ClientPushInstallation.logのようなログを監視して不審な活動を検出することを確認してください。LAPSやgMSAのようなツールを使用してローカルパスワードを安全に管理し、SCCMサーバーをファイアウォールの背後にある独自のネットワークグループに配置します。

最後に、SCCM管理コンソールを実行する場所に注意してください。日常のラップトップや一般的な使用のマシンでの使用を避けてください。代わりに、管理作業専用の安全でロックダウンされたシステムを使用し、Credential Guardのような保護を追加するか、RunAs /netonlyコマンドを使用して管理者の資格情報を安全に保ちます。SCCMが適切に保護されている場合、攻撃者がネットワークを通じて広がるために使用する最も簡単な経路の1つをブロックします。しかし、それが開放されたままである場合、攻撃者にほとんどすべてに静かにアクセスすることを許すことになります。

結論#

最近、シグナルがより大きく感じられるなら、それはそうだからです。攻撃者は動きを洗練させており、再発明しているわけではありません—そして彼らは防御者が忙しすぎて気づかないことを当てにしています。彼らにその優位性を与えないでください。コントロールを鋭くし、可能な限り簡素化し、脅威よりも速く動き続けてください。

セキュリティは単なる個人の努力ではなく、共有の責任です。このまとめが再度確認する価値のある何かを見つけるのに役立った場合、ネットワーク内の誰かがそれを見る必要がある可能性があります。それをチーム、仲間、またはシステムを安全に保つ責任のある誰かと共有してください。1つの環境で見落とされた詳細は、別の環境でのリスクの青写真になる可能性があります。