コンテンツにスキップするには Enter キーを押してください

⚡ 週間まとめ: iPhoneスパイウェア、Microsoft 0-Day、TokenBreakハック、AIデータ漏洩など

投稿日 2025年6月16日

Image

最大のセキュリティ問題のいくつかは静かに始まります。警告もなく、アラートもありません。ただ普通に見える小さな行動が、実はそうではないのです。攻撃者は今や隠れる方法を知っており、周囲に溶け込むことで何かが間違っていることを見分けるのが難しくなっています。

今週の話題は、攻撃されたことだけでなく、それがどれほど簡単に起こったかについてもです。明らかな兆候だけを探していると、目の前の何を見逃しているのでしょうか?

見過ごされがちな戦術やミスを見てみましょう。

⚡ 今週の脅威#

メッセージアプリのAppleゼロクリック脆弱性がParagonスパイウェアを配信するために悪用される — Appleは、メッセージアプリのセキュリティ欠陥が野外で積極的に悪用され、洗練されたサイバー攻撃で市民社会のメンバーを標的にしていることを明らかにしました。この脆弱性(CVE-2025-43200)は、iOS 18.3.1、iPadOS 18.3.1、iPadOS 17.7.5、macOS Sequoia 15.3.1、macOS Sonoma 14.7.4、macOS Ventura 13.7.4、watchOS 11.3.1、visionOS 2.3.1の一部として2月に修正されました。Citizen Labは、この欠陥がイタリアのジャーナリストCiro Pellegrinoと名前の明かされていない著名なヨーロッパのジャーナリストを標的にしてParagonのGraphite傭兵スパイウェアに感染させるために武器化された法医学的証拠を発見したと述べています。

🔔 トップニュース#

  • Microsoft、標的型攻撃で悪用されたWebDAV 0-Dayを修正 — Microsoftは、Web Distributed Authoring and Versioning(WebDAV)のゼロデイバグに対処しました。このバグは、Horus Agentを配信するための高度に標的化された攻撃の一環として、Stealth Falcon(別名FruityArmor)として知られる脅威アクターによって悪用されました。Horus Agentは、以前Stealth Falconによって2022年から2023年にかけて使用されたオープンソースの.NETエージェントであるApolloのカスタマイズされたインプラントの進化形と考えられています。「新しいHorus Agentはゼロから書かれたように見えます」とCheck Pointは述べています。「カスタムコマンドの追加に加えて、脅威アクターはエージェントとそのローダーの分析防止保護と対抗防御策に特に重点を置いています。これは、彼らが被害者や使用されているセキュリティソリューションについて深い知識を持っていることを示唆しています。」
  • TokenBreak攻撃が単一の文字変更でAIモデレーションを回避 — サイバーセキュリティ研究者は、TokenBreakと呼ばれる攻撃手法を公開しました。これは、大規模言語モデル(LLM)の安全性とコンテンツモデレーションのガードレールを単一の文字変更で回避するために使用できるものです。「TokenBreak攻撃は、テキスト分類モデルのトークン化戦略を標的にして偽陰性を誘発し、実装された保護モデルが防ぐことを意図していた攻撃に対してエンドターゲットを脆弱にします」とHiddenLayerは述べています。
  • Google、アカウントにリンクされた電話番号を漏洩する欠陥に対処 — Googleは、レガシーのユーザー名回復フォームを利用し、ユーザーのフルネームを漏洩する意図しないオラクルとして機能するLooker Studioと組み合わせて、アカウントの回復用電話番号をブルートフォースする可能性があるセキュリティ欠陥を修正しました。Googleはその後、ユーザー名回復フォームを廃止しました。
  • Rare WerewolfとDarkGaboonが既製のツールを活用してロシアを標的に — Rare WerewolfとDarkGaboonとして追跡されている2つの脅威アクターが、正当なツール、生活のための土地(LotL)戦術、および市販のマルウェアを使用してロシアのエンティティを標的にしていることが観察されました。敵対者はこのような戦術を採用することが知られていますが、特注のマルウェアを完全に避けることは、検出トリガーやエンドポイント検出システムを回避するためのアプローチの効果を示しています。これらの技術は管理者によっても一般的に使用されるため、防御者にとって悪意のある活動と良性の活動を区別することが大幅に困難になります。
  • ゼロクリックAIの脆弱性がユーザーの操作なしにデータを流出させる — Microsoft 365で最初に知られたゼロクリック人工知能の脆弱性が、ユーザーの操作なしに機密内部データを流出させる可能性がありました。この欠陥はEchoLeakと名付けられ、LLMスコープ違反と説明されています。これは、大規模言語モデル(LLM)が意図されたコンテキストを超えて情報を漏洩するように操作されるシナリオを指します。この場合、攻撃者は、Microsoftのクロスプロンプトインジェクション攻撃(XPIA)防御をすり抜ける特定のマークダウン構文を含む悪意のあるメールを作成し、AIアシスタントが悪意のあるペイロードを処理し、Microsoftの信頼されたドメイン(SharePointやTeamsを含む)を使用してデータを流出させることができました。これらのドメインは、Copilotのコンテンツセキュリティポリシーの下で許可リストに登録されており、外部リンクや画像を埋め込むために使用される可能性があります。Copilotによってレンダリングされると、攻撃者が制御するサーバーに盗まれたデータをリダイレクトするためのアウトバウンドリクエストを自動的に発行します。この攻撃の最も重要な側面は、すべてが舞台裏で行われ、ユーザーがメールメッセージを開いたりリンクをクリックしたりする必要がないことです。必要なのは、被害者がMicrosoft 365 Copilotにビジネス関連の質問をすることで、攻撃チェーン全体が自動的にトリガーされることだけです。Microsoftは、CVE-2025-32711として問題を追跡しており、それを解決し、脆弱性が野外で悪用された証拠は見つからなかったと強調しました。
  • VexTrioがマルウェアや詐欺を広めるための大規模なアフィリエイトプログラムを運営 — VexTrio Viperトラフィック配信サービス(TDS)の背後にいる脅威アクターは、WordPressサイトをハイジャックして被害者をマルウェアや詐欺ネットワークに誘導する広範なキャンペーンに関連しています。この悪意のある操作は、妥協したインフラストラクチャを収益化するように設計されており、正当なウェブサイトを大規模な犯罪広告エコシステムの無意識の参加者に変えます。VexTrioの活動の規模は、スイス・チェコのアドテック企業であるLos Pollosが不正なTDSスキームの一部であることをQuriumが明らかにした2024年11月に明らかになりました。Infobloxの新しい分析によると、Los PollosはVexTrioによって制御されている多くの企業の1つであり、Taco LocoやAdtraficoを含み、それぞれ商業アフィリエイトネットワーク内の異なる機能を監督しています。これらの企業は、JavaScriptインジェクトでウェブサイトを妥協させる出版アフィリエイトを募集し、詐欺、マルウェア、その他の詐欺形態の背後にいる広告アフィリエイトを担当しており、VexTrioをUberのような犯罪モデルの仲介者に変え、企業にかなりの利益をもたらしています。さらに、Los Pollosが2024年11月にプッシュ収益化サービスの終了を発表した際、多くのこれらのマルウェア操作が同時にHelp TDSおよびDisposable TDSと呼ばれるTDSに移行し、同時期までVexTrioとの「独占的な関係」を享受していました。

‎️‍🔥 トレンドのCVE#

攻撃者はソフトウェアの脆弱性が大好きです。それはあなたのシステムへの簡単な入口です。毎週新しい欠陥が出現し、パッチを適用するのを待ちすぎると、小さな見落としが大きな侵害に変わる可能性があります。以下は、今週の重要な脆弱性です。確認して、ソフトウェアを迅速に更新し、攻撃者を締め出しましょう。

今週のリストには、次のものが含まれます — CVE-2025-43200 (Apple), CVE-2025-32711 (Microsoft 365 Copilot), CVE-2025-33053 (Microsoft Windows), CVE-2025-47110 (Adobe Commerce and Magento Open Source), CVE-2025-43697, CVE-2025-43698, CVE-2025-43699, CVE-2025-43700, CVE-2025-43701 (Salesforce), CVE-2025-24016 (Wazuh), CVE-2025-5484, CVE-2025-5485 (SinoTrack), CVE-2025-31022 (PayU CommercePro plugin), CVE-2025-3835 (ManageEngine Exchange Reporter Plus), CVE-2025-42989 (SAP NetWeaver), CVE-2025-5353, CVE-2025-22463, CVE-2025-22455 (Ivanti Workspace Control), CVE-2025-5958 (Google Chrome), CVE-2025-3052 (DT Research DTBios and BiosFlashShell), CVE-2025-2884 (TCG TPM2.0 reference implementation), CVE-2025-26521 (Apache CloudStack), CVE-2025-47950 (CoreDNS), CVE-2025-4230, CVE-2025-4232 (Palo Alto Networks PAN-OS), CVE-2025-4278, CVE-2025-2254, CVE-2025-5121, CVE-2025-0673 (GitLab), CVE-2025-47934 (OpenPGP.js), CVE-2025-49219, CVE-2025-49220 (Trend Micro Apex Central), CVE-2025-49212, CVE-2025-49213, CVE-2025-49216, CVE-2025-49217 (Trend Micro Endpoint Encryption PolicyServer), CVE-2025-4922 (HashiCorp Nomad), CVE-2025-36631, CVE-2025-36632, CVE-2025-36633 (Tenable Agent), CVE-2025-33108 (IBM Backup, Recovery, and Media Services), CVE-2025-6029 (KIA-branded Aftermarket Generic Smart Keyless Entry System), and a patch bypass for CVE-2024-41713 (Mitel MiCollab).

📰 サイバー世界の周辺#

  • カザフスタンとシンガポール当局が犯罪ネットワークを解体 — カザフスタン当局は、政府データベースから抽出した市民の個人データを違法に販売するためにTelegramを使用していたネットワークを解体したと述べました。ビジネスオーナーや盗まれた情報を売買するために使用されたTelegramチャンネルの管理者とされる人物を含む140人以上の容疑者がこの計画に関連して逮捕されました。もし有罪となれば、容疑者は最大5年の懲役刑と罰金に直面する可能性があります。この発展は、シンガポール警察(SPF)が香港、マカオ、マレーシア、モルディブ、韓国、タイの当局と協力して、4月28日から5月28日までの間に1,800人の被疑者を逮捕したと発表したことと同時に起こりました。これらの被疑者は、さまざまなオンライン詐欺に関与していたとされています。この国境を越えた反詐欺イニシアチブは、Operation FRONTIER+と名付けられました。「被疑者は14歳から81歳までの年齢で、主に政府職員を装った詐欺、投資詐欺、賃貸詐欺、インターネット恋愛詐欺、友人を装った詐欺、仕事詐欺、eコマース詐欺に関与しているとされています。被害者は約S$289百万(約USD225百万)を失ったと報告されています」とSPFは述べました。「詐欺に関連していると疑われる32,600以上の銀行口座が参加した法執行機関によって検出され、凍結され、これらの銀行口座にはS$26.2百万(約USD20百万)が押収されました。」シンガポールの当局は、約$30百万を得た1,300件の詐欺に関与した106人を地元で逮捕したと述べました。
  • MicrosoftがOutlookで.library-msと.search-msファイルタイプをブロックへ — Microsoftは、来月からOutlook Webと新しいOutlook for Windowsでブロックされる添付ファイルのリストを拡張し、.library-msと.search-msファイルタイプを含めると発表しました。これらのファイルタイプは、悪意のある行為者によってフィッシングやマルウェア攻撃で繰り返し悪用されてきました。「新たにブロックされるファイルタイプはほとんど使用されないため、ほとんどの組織には影響しません。しかし、影響を受ける添付ファイルを送受信しているユーザーは、Outlook Webや新しいOutlook for Windowsでそれらを開いたりダウンロードしたりできなくなったと報告するでしょう」とMicrosoftは述べています。
  • MetaとYandexがトラッキングコードを使用してAndroidのネイティブアプリにユニークな識別子を漏洩させる — MetaとYandexは、Androidのlocalhostポートを悪用して、モバイルブラウザからFacebook、Instagram、Yandexサービスなどのネイティブアプリにトラッキングデータを密かに渡していました。この動作により、ブラウザのサンドボックス化とAndroidの許可システムを回避し、詳細なブラウジング履歴に永続的な識別子を付けることが可能になった可能性があります。このトラッキングは、ChromeやFirefoxなどの主要ブラウザのプライベートブラウジングモードでも機能しました。言い換えれば、この抜け穴により、アプリはAndroidデバイスユーザーが訪れるウェブサイトを検出し、トラッキングスクリプトを統合し、デバイスのループバックインターフェースを介してウェブクッキーデータを収集することができます。これは、AndroidオペレーティングシステムがINTERNET許可を持つインストール済みアプリがlocalhost(127.0.0.1)でリスニングソケットを開くことを許可し、同じデバイス上で実行されているブラウザもユーザーの同意やプラットフォームの仲介なしでこのインターフェースにアクセスできるという事実を利用しています。これにより、ウェブページに埋め込まれたJavaScriptがネイティブAndroidアプリと通信し、標準のWeb APIを介して識別子やブラウジング習慣を共有するシナリオが開かれます。Metaがこの技術を使用している証拠は2024年9月に初めて明らかになりましたが、Yandexは2017年2月にこの技術を採用したとされています。Meta Pixelは600万以上のウェブサイトに埋め込まれており、Yandex Metricaは300万近くのウェブサイトに存在します。「これらのネイティブAndroidアプリは、ユーザーのモバイルブラウザ上でロードされ、localhostソケットを通じて同じデバイス上で実行されているネイティブアプリと密かに接続するJavaScriptによって、Meta PixelやYandex Metricaスクリプトからブラウザのメタデータ、クッキー、コマンドを受け取ります」とIMDEA Networks、Radboud University、KU Leuvenの学者グループは述べています。「ネイティブアプリがプログラム的にAndroid Advertising ID(AAID)などのデバイス識別子にアクセスしたり、Metaアプリの場合のようにユーザーの身元を扱うため、この方法は実質的にこれらの組織がモバイルブラウジングセッションやウェブクッキーをユーザーの身元にリンクし、スクリプトを埋め込んだサイトを訪れるユーザーを匿名化解除することを可能にします。」2025年6月3日現在、Meta/Facebook Pixelスクリプトはlocalhostへのパケットやリクエストを送信しておらず、_fbpクッキーを送信するコードは削除されています。Yandexは、問題の機能が機密情報を収集せず、パーソナライズを改善するためだけに意図されていたと主張しましたが、プライバシーの懸念を理由にその使用を中止しました。GoogleとMozillaは、盗聴スキームを防ぐための対策リリースしました。
  • ディープフェイク検出を回避するためのリプレイ攻撃 — 新しい研究によると、リプレイ攻撃はディープフェイク検出を回避する効果的な方法であることが判明しました。「ディープフェイク音声をさまざまなスピーカーとマイクを通じて再生し再録音することで、偽造されたサンプルを検出モデルに本物のように見せかけます」と研究チームは述べています。この開発は、音声クローン技術がビッシング攻撃の主要な推進力となっているため、新たなサイバーリスクを予告しています。攻撃者は人工知能(AI)ツールを使用して、企業のシステムへの特権アクセスを得るために、幹部やIT担当者を模倣する合成音声を生成することができます。
  • Linuxマルウェアファミリーが定期的にコード更新を受ける NoodleRATWinntiSSHdInjectorPygmy GoatAcidRainなどの既知のLinuxマルウェアの新しい分析によると、「これらは過去1年間に少なくとも2回の重要なコード更新を受けており、脅威アクターが積極的に更新しサポートしていることを意味します」とPalo Alto Networksのユニット42は述べています。「さらに、各マルウェア株は、過去1年間に少なくとも20のユニークなサンプルの目撃を占めています。これは、脅威アクターが積極的にそれらを使用していることを意味します。」これらの活動は、これらのマルウェアファミリーがクラウド環境を対象とした将来の攻撃で使用される可能性が非常に高いことを示しています。
  • Microsoft Defenderの欠陥が公開される — サイバーセキュリティ研究者は、隣接するネットワーク上で不正な攻撃者が不適切な認証バグを利用してスプーフィングを行うことを可能にするMicrosoft Defender for Identityの今修正されたセキュリティ欠陥を詳細に説明しました。この脆弱性は、CVE-2025-26685(CVSSスコア:6.5)として追跡され、2025年5月にMicrosoftによって修正されました。この欠陥を発見し報告したNetSPIは、この問題が「横移動パス(LMP)機能を悪用し、特定の条件下でローカルネットワーク上の認証されていない攻撃者が関連するディレクトリサービスアカウント(DSA)のNet-NTLMハッシュを強制的に取得し、キャプチャすることを可能にしました」と述べています。Net-NTLMハッシュがキャプチャされると、Hashcatなどのツールを使用してオフラインでパスワードをクラッキングするか、他の脆弱性と組み合わせてDSAアカウントへの特権を昇格させ、Active Directory環境に足場を得ることができます。
  • Apple、Passwordsアプリを新機能で更新 — Appleは、iOS 26およびmacOS 26 Tahoeで、保存されたログインの完全なバージョン履歴を表示し、特定のパスワードが保存または変更されたタイムスタンプを含む新機能をPasswordsアプリでプレビューしました。もう1つの便利な追加機能は、iOS、iPadOS、macOS、およびvisionOS 26全体で参加している資格情報マネージャーアプリ間でパスキーをインポートおよびエクスポートする機能です。「このユーザーが開始するプロセスは、Face IDなどのローカル認証によって保護されており、資格情報の漏洩のリスクを軽減します」とAppleは述べています。「転送は、FIDO Allianceによって開発された標準化されたデータスキーマを使用して行われ、アプリ間の互換性を確保します。」同様の機能は、Google Password Manager向けにすでに開発中です。昨年10月、FIDO Allianceは、相互運用性を促進するために、Credential Exchange Protocol(CXP)およびCredential Exchange Format(CXF)を発表しました。
  • CyberEYE RATが暴露される — サイバーセキュリティ研究者は、監視とデータ窃盗の機能を提供するモジュラー型の.NETベースのトロイの木馬であるCyberEYE RAT(別名TelegramRAT)の内部動作を明らかにしました。そのさまざまなモジュールは、ブラウザ履歴とパスワード、Wi-Fiパスワード、ゲームプロファイル、設定された拡張子に一致するファイル、FileZilla FPT資格情報、およびTelegramやDiscordなどのアプリケーションからのセッションデータを収集します。「Command and Control(C2)にTelegramを使用することで、攻撃者が独自のインフラストラクチャを維持する必要がなくなり、より回避しやすくアクセスしやすくなります」とCYFIRMAは述べています。「マルウェアは、資格情報の注入、メタデータの変更、キーロガー、ファイルグラバー、クリップボードハイジャッカー、持続性メカニズムなどの機能をバンドルすることによってペイロードをカスタマイズできるビルダーGUIを通じて展開されます。」このマルウェアはまた、クリッパーとして暗号通貨の取引をリダイレクトし、PowerShellとレジストリ操作を通じてWindows Defenderを無効にすることで防御回避技術を採用しています。
  • WhatsAppが英国とのAppleの暗号化闘争に参加 — Metaが所有するWhatsAppは、英国の内務省が調査権限法の下で世界中の暗号化されたiCloudデータへのバックドアアクセスを要求していることに対するAppleの法的闘争を支持すると述べました。この動きは、同社がBBCに「他の国々が暗号化を破るための同様の要求を出すことを「勇気づける」ことで「危険な前例」を設定する可能性がある」と述べたことを意味します。政府の通知に応じて、Appleは英国ユーザーのデバイスからAdvanced Data Protection(ADP)機能を削除し、内務省によって発行された秘密の技術能力通知(TCN)を覆すために調査権限審判所に法的措置を起こしました。2025年4月、審判所は、法的争いの詳細を秘密にしておくことはできないと判断しました。TCNの存在は、1月にワシントンポストによって初めて報告されました。米国、英国、および欧州連合(E.U.)の政府は、エンドツーエンドの暗号化に対抗することを求めており、それが犯罪者、テロリスト、性犯罪者が違法活動を隠すことを可能にしていると主張しています。Europolは、先週発表された2025年のインターネット組織犯罪脅威評価(IOCTA)で、「暗号化はユーザーのプライバシーを保護しますが、エンドツーエンド暗号化(E2EE)アプリの犯罪的な悪用が調査をますます妨げています。サイバー犯罪者は匿名性の背後に隠れ、盗まれたデータの販売を調整し、調査官にはほとんど見えません。」と述べました。
  • DanaBot C2サーバーがDanaBleedに苦しむ — 先月、協調的な法執行機関の作戦が、感染したマシンを遠隔操作し、データを盗み、ランサムウェアなどの追加のペイロードを配信することを可能にするDelphiマルウェアであるDanaBotを倒しました。Zscaler ThreatLabzによれば、2022年6月にそのC2サーバーに導入されたバグが、感染した被害者への応答で「そのプロセスメモリのスニペットを漏洩させる」原因となり、マルウェアに対する可視性を向上させました。漏洩した情報には、脅威アクターのユーザー名、脅威アクターのIPアドレス、バックエンドC2サーバーのIPアドレスとドメイン、感染と流出の統計、マルウェアのバージョン更新、プライベート暗号鍵、被害者のIPアドレス、被害者の資格情報、および他の流出した被害者データが含まれていました。2022年6月の更新では、コマンドデータと応答を交換するための新しいC2プロトコルが導入されました。「メモリリークにより、C2サーバーの応答ごとに最大1,792バイトが漏洩する可能性がありました」とZscalerは述べています。「漏洩したデータの内容は任意であり、特定の時点でC2サーバープロセスで実行されているコードと操作されているデータに依存していました。」
  • OpenAI SoraとDeepSeekのルアーがマルウェアに誘導 — DeepSeekを装った偽のサイト(”deepseek-platform[.]com”)が、BrowserVenomと呼ばれるマルウェアのインストーラーを配布しています。これは、ChromiumおよびGeckoベースのブラウジングインスタンスを再構成し、脅威アクターによって制御されるプロキシを通じてトラフィックを強制的に通過させるWindowsインプラントです。「これにより、彼らは被害者のブラウジング活動を監視し、トラフィックを復号化しながら機密データを嗅ぎ取ることができます」とKasperskyは述べています。フィッシングサイトは、ユーザーが「deepseek r1」を検索するとGoogle Adsを通じて検索結果で宣伝されます。インストーラーは、外部サーバーからマルウェアを取得するPowerShellコマンドを実行するように設計されています。攻撃は、ボットを排除するためにCAPTCHAチャレンジを使用することが特徴です。これまでに、BrowserVenomはブラジル、キューバ、メキシコ、インド、ネパール、南アフリカ、エジプトで「複数の」コンピューターに感染しています。この開示は、OpenAI Soraの偽のインストーラーが、GitHubにホストされているSoraAI.lnkと呼ばれるWindows情報スティーラーを配布していることが発見されたことに続いています。マルウェアをホストしているGitHubアカウントは、もはやアクセスできません。
  • Cyber Partisansがベラルーシとロシアを標的に — ベラルーシのハクティビストグループであるCyber Partisansが、TelegramをC2およびデータ流出に使用するVasilekと呼ばれるバックドアを使用して、ロシアとベラルーシの産業企業および政府機関を標的にしていることが観察されました。フィッシング攻撃は、DNSCat2と呼ばれる別のバックドアの展開が特徴で、攻撃者が感染したシステムをリモートで管理し、Pryanikと呼ばれるワイパーを使用します。「最初に注目を集めるのは、ワイパーが論理爆弾として機能することです:その機能は特定の日付と時間にアクティブ化されます」とKasperskyは述べています。攻撃の一環として使用される他のツールには、ネットワークトラフィックのプロキシとトンネリングのためのGost、Windowsイベントログからのイベントを削除するためのEvlxが含まれます。Recorded Future Newsへの声明で、集団は、攻撃が同社の製品に依存しており、侵入を防げなかったため、Kasperskyがその作戦に注目した可能性があると述べました。「このような攻撃は、Kasperskyの技術が時代遅れであるように見せかけるため、彼らがこれらの出版物で自己弁護したり、私たちに対抗しようとしているのかもしれません」とグループは述べています。
  • 2人のViLEメンバーが刑務所に収監される — 米国司法省(DoJ)は、ViLEハッキンググループのメンバーであるSagar Steven Singh(21歳)とNicholas Ceraolo(27歳)の判決を発表しました。彼らは、罪を認めた後、コンピュータ侵入共謀と加重身元盗用の罪でそれぞれ27ヶ月と25ヶ月の懲役刑を言い渡されました。「SinghとCeraoloは、米国連邦法執行機関が州および地方の法執行機関と情報を共有するために維持している非公開のパスワード保護されたウェブポータル(「ポータル」)にアクセスするために、法執行官の盗まれたパスワードを不正に使用しました」とDoJは述べています。「被告は、ポータルへのアクセスを利用して被害者を恐喝しました。」判決は、5人の男性が国際的なデジタル資産投資詐欺の陰謀(別名ロマンスベイティング)からの被害者から36.9百万ドル以上を洗浄することに関与したとして有罪を認めたことと同時に行われました。被告には、カリフォルニア州アルハンブラのJoseph Wong(33歳)、中国のYicheng Zhang(39歳)、ロサンゼルスのJose Somarriba(55歳)、カリフォルニア州ラプエンテのShengsheng He(39歳)、中国とトルコのJingliang Su(44歳)が含まれます。彼らは、「米国の被害者がデジタル資産に投資していると信じて、共謀者が管理する口座に資金を送金し、被害者の資金を米国のシェル会社、国際銀行口座、およびデジタル資産ウォレットを通じて洗浄した国際犯罪ネットワークの一部である」とされています。これまでに、8人がこの犯罪計画に参加したことを認めており、中国国籍のDaren LiとYicheng Zhangを数えています。
  • Kimsukyが韓国のFacebook、メール、Telegramユーザーを標的に — 北朝鮮に関連する脅威アクターであるKimsukyは、Triple Comboというコードネームのキャンペーンの一環として、2025年3月から4月にかけて南の対応国のFacebook、メール、Telegramユーザーを標的にしました。「脅威アクターは、「Transitional Justice Mission」というアカウント名を使用して、北朝鮮関連の活動に関与する複数の個人に友達リクエストやダイレクトメッセージを送信しました」とGeniansは述べています。「攻撃者はまた、彼らの作戦のために別のFacebookアカウントを乗っ取りました。」その後、攻撃者はFacebook Messengerの会話を通じて取得したメールアドレスを使用して、ターゲットにメールで接近しようとしました。あるいは、Kimsukyのアクターは、被害者の電話番号を利用してTelegramを介して再度連絡を試みました。使用されるチャネルに関係なく、これらの信頼構築の試みは、AppleSeedと呼ばれる既知のマルウェアを配信するための多段階感染シーケンスを引き起こしました。

    • Image

🎥 サイバーセキュリティウェビナー#

  • AIエージェントがデータを漏洩している — すぐに修正する方法を学ぶAIツールはしばしばGoogle DriveやSharePointなどのプラットフォームに接続しますが、適切な設定がないと、機密データを誤って公開する可能性があります。このウェビナーでは、Sentraの専門家がこれらの漏洩がどのように発生し、どのようにしてそれを防ぐかを実際の例で示します。ビジネスでAIを使用している場合、何かが間違う前にそれを保護するための迅速で明確なガイドをお見逃しなく。
  • 彼らはあなたのブランドを偽装している—AIのなりすましが広がる前に止めるAI駆動の攻撃者がリアルタイムでブランド、幹部、従業員を模倣しています。このセッションに参加して、Doppelがどのようにしてメール、ソーシャルメディア、ディープフェイクを通じてなりすましを検出し、ブロックするかを見てみましょう。あなたの評判を守るための迅速で適応的な保護。
  • CRADLE これは、サイバー脅威インテリジェンス(CTI)アナリストのために構築されたオープンソースのウェブプラットフォームです。リアルタイムでのチームのコラボレーション、脅威アクターと指標の間の関係のマッピング、詳細なインテリジェンスレポートの生成を可能にすることで、脅威調査のワークフローを簡素化します。モジュラーアーキテクチャで設計されており、簡単に拡張でき、Dockerを使用してローカルで迅速にセットアップとテストを行うことができます。
  • Newtowner これは、異なるグローバルクラウドプロバイダーやCI/CD環境からのトラフィックをシミュレートすることで、ネットワーク信頼境界の弱点を特定するのに役立つセキュリティテストツールです。GitHub Actions、AWS、EC2などの複数のソースからのHTTP応答を比較することで、特定のデータセンターからの過剰に許可されたアクセスなどの誤設定を検出することができます。これは、内部サービス間の暗黙の信頼が深刻なセキュリティギャップにつながる可能性がある現代のクラウド設定で特に役立ちます。

免責事項: これらの新しくリリースされたツールは教育目的でのみ使用され、完全に監査されていません。自己責任で使用してください—コードを確認し、安全にテストし、適切な安全対策を適用してください。

🔒 今週のヒント#

4つの隠れた追跡方法(そしてそれに対抗する方法) ➝ ほとんどの人はクッキーや広告について知っていますが、企業は今やVPN、プライベートモード、強化されたブラウザを使用していても、あなたを追跡するための巧妙な技術的トリックを使用しています。注目を集めている方法の1つはlocalhostトラッキングです:FacebookやInstagramのようなアプリがあなたの電話の中でウェブサーバーを密かに実行します。隠されたコードを持つウェブサイトを訪れると、このサーバーにpingを送信してアプリがインストールされているかどうかを確認し、あなたの活動をアプリに漏洩させます。

もう1つのトリックはポートプロービングです。いくつかのウェブサイトは、特定のポート(3000や9222など)で開発者ツールやアプリが実行されているかどうかを確認するためにデバイスをスキャンします。これにより、使用しているソフトウェアや特定の企業のツールを実行しているかどうかが明らかになり、あなたの仕事、デバイス、活動についての手がかりが漏洩します。サイトはこの方法でブラウザ拡張機能を検出することもあります。

モバイルでは、いくつかのウェブサイトがTwitter、PayPal、または銀行アプリがインストールされているかどうかを確認するために、見えないディープリンクをトリガーします。アプリが開いたり応答したりすると、どのアプリを使用しているかがわかります。これはしばしばプロファイリングやターゲットフィッシングに使用されます。また、ブラウザキャッシュの悪用(ETagsやサービスワーカーなどを使用)により、プライベートタブを超えてブラウザをフィンガープリントし、クリーンだと思っていても識別可能に保ちます。

自分を守る方法:

  • あまり使用しないアプリをアンインストールし、特に大手プラットフォームのものを削除します。
  • Firefoxのようなブラウザを使用し、uBlock Originをインストールし、「LANへの外部侵入をブロック」を有効にします。
  • モバイルでは、BromiteやFirefox Focusのような強化されたブラウザを使用し、NetGuardのようなツールを使用してアプリのバックグラウンドデータをブロックします。
  • ブラウザのストレージを頻繁にクリアし、一時コンテナやインコグニートコンテナを使用してセッションを分離します。

これらはアルミホイルの帽子のアイデアではありません—今日の主要なテック企業やトラッカーが使用している現実の方法です。プライバシーを保つためには、広告ブロッカーを超えて、ウェブが舞台裏でどのように機能しているかを学ぶ必要があります。

結論#

見えないものは必ずしも見えないわけではありません—それは単に誤分類され、最小化され、または誤解されているだけです。人的エラーは常に技術的な失敗ではありません。時には、それは起こるべきではないことについて私たちが自分自身に語る物語です。

最近のアラートを確認してください。脅威プロファイルに「適していない」として無視されたものはどれですか?無視のコストは上昇しています—特に敵がそれを当てにしている場合は。

翻訳元: https://thehackernews.com/2025/06/weekly-recap-iphone-spyware-microsoft-0.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です