⚡ 週間まとめ — SharePoint侵害、スパイウェア、IoTハイジャック、北朝鮮詐欺、暗号資産流出など

一部のリスクは境界を突破するのではなく、署名済みソフトウェア、きれいな履歴書、または公認ベンダーを通じて、あからさまに現れずにやってきます。

今週、最も明確な脅威は最も騒がしいものではなく、最も正当そうに見えるものでした。アイデンティティ、信頼、ツールがすべて相互に関連する環境では、最も強力な攻撃経路は「正規のもの」に見えるものです。セキュリティチームは、侵入からシステムを守るだけでなく、「信頼」そのものが武器に変えられることからも防御するという課題に直面しています。

⚡ 今週の脅威#

Microsoft SharePoint攻撃、中国に起因 — オンプレミスのMicrosoft SharePointサーバーの脆弱性を狙った攻撃の余波は、ゼロデイ脆弱性の発見から1週間が経過した今も拡大しており、世界中で400以上の組織が侵害されています。これらの攻撃は、Linen Typhoon（別名APT27）、Violet Typhoon（別名APT31）、および中国拠点と疑われるStorm-2603という脅威アクターに帰属されており、Warlockランサムウェアの展開に利用されています。攻撃はCVE-2025-49706（なりすましの脆弱性）とCVE-2025-49704（リモートコード実行のバグ）を利用し、これらはToolShellと総称されています。Bloombergは、MicrosoftがMicrosoft Active Protections Program（MAPP）からの情報漏洩がゼロデイ悪用につながった可能性を調査していると報じました。中国はこの攻撃への関与を否定しています。

🔔 主なニュース#

米財務省、北朝鮮IT労働者詐欺で企業を制裁 — 米財務省外国資産管理局（OFAC）は、北朝鮮のフロント企業と関連する3人を、平壌のために不正収益を生み出すリモートIT労働者詐欺に関与したとして制裁しました。関連して、アリゾナ州のラップトップファーマー、クリスティーナ・マリー・チャップマンは、同スキームを支援したとして8年半の禁錮刑を受けました。これらのスキームでは、北朝鮮のIT労働者が精巧に作られたポートフォリオやAI強化写真、ディープフェイク、盗用された身分を使って米国企業の採用審査を通過し、就職します。雇用後、仲介者の助けを借りて会社支給のラップトップや機器を受け取り、リモートで接続して、あたかも現地にいるかのように装います。これらの活動は、核開発資金の獲得と企業ネットワークへの侵入によるマルウェア設置・情報窃取・恐喝の両方を目的としています。「DPRKのサイバー作戦は、暗号資産窃盗、諜報活動、核野望を利益・忠誠・生存を原動力とする自給自足型システムに融合させ、従来の国家戦略を覆しています」とDTEXアドバイザリーボードのスー・ゴードン氏は述べています。「家族経営のマフィア組織と認識することで、サイバー犯罪と国家活動の境界が曖昧になります。このレポートは、彼らの内情と心理を明らかにし、既に我々の労働力にどれほど深く入り込んでいるかを示しています。」
Soco404とKoske、クラウド環境の設定ミスを狙いマイナーを展開 — 2つの異なるマルウェアキャンペーンが、クラウド環境の脆弱性や設定ミスを狙い、暗号資産マイナーを配布しています。Soco404はLinuxとWindows両方を標的とし、プラットフォーム特有のマルウェアを展開しますが、KoskeはLinuxに特化した脅威です。Koskeには、大規模言語モデル（LLM）を用いて開発された形跡があり、構造化されたコメントや防御的スクリプト、パンダ関連の合成画像がマイナーペイロードのホスティングに使われています。
XSSフォーラム閉鎖、管理者容疑者逮捕 — サイバー犯罪経済に対する大きな勝利として、悪名高いフォーラムXSSが閉鎖され、管理者容疑者が逮捕されました。ただし、同様のフォーラムの閉鎖は短命に終わることが多く、脅威アクターは新たなプラットフォームやTelegramチャンネルなどに移動する傾向があります。また、LeakZoneという「漏洩・クラッキングフォーラム」では、ログインユーザーのIPアドレスがウェブ上に漏洩していたことが判明しました。
Coyoteトロイの木馬、Windows UI Automationを悪用 — Windowsのバンキングトロイの木馬「Coyote」は、Windowsのアクセシビリティフレームワーク「UI Automation（UIA）」を悪用して機密情報を収集する初の既知マルウェアとなりました。Coyoteはブラジルのユーザーを標的とし、キーログ、スクリーンショット取得、金融機関のログインページ上へのオーバーレイ表示などの機能を持ちます。Akamaiの分析によると、マルウェアはGetForegroundWindow() APIを呼び出し、アクティブウィンドウのタイトルを抽出して、ターゲット銀行や暗号資産取引所のアドレスリストと照合します。「一致しない場合、CoyoteはUIAを使ってウィンドウ内のUI子要素を解析し、ブラウザタブやアドレスバーを特定しようとします」とAkamaiは述べています。
Cisco、ISEを狙う実際の攻撃を確認 — Ciscoは、Identity Services Engine（ISE）およびISE Passive Identity Connector（ISE-PIC）のセキュリティ脆弱性が実際に悪用されていると警告しました。CVE-2025-20281、CVE-2025-20337、CVE-2025-20282は、攻撃者がroot権限で任意のコードを実行したり、任意のファイルをアップロード・実行できる脆弱性です。どの脆弱性が現実の攻撃で使われたか、攻撃者の身元や活動規模は公表されていません。

ハッカーは新たに発見されたソフトウェアの脆弱性に素早く飛びつきます。アップデートの見落としや隠れたバグでも、未修正のCVEひとつで深刻な被害につながることがあります。今週の注目の高リスク脆弱性を以下にまとめました。リストを確認し、迅速にパッチを適用して一歩先を行きましょう。

今週のリストには — CVE-2025-54068（Laravel Livewire Framework）、CVE-2025-34300（Lighthouse Studio）、CVE-2025-6704, CVE-2025-7624（Sophos Firewall）、CVE-2025-40599（SonicWall SMA 100シリーズ）、CVE-2025-49656、CVE-2025-50151（Apache Jena）、CVE-2025-22230, CVE-2025-22247（Broadcom VMware Tools）、CVE-2025-7783（form-data）、CVE-2025-34140, CVE-2025-34141, CVE-2025-34142, CVE-2025-34143（Hexagon ETQ Reliance）、CVE-2025-8069（AWS Client VPN for Windows）、CVE-2025-7723, CVE-2025-7724（TP-Link VIGI NVR）、CVE-2025-7742（LG Innotek LNV5110R）、CVE-2025-24000（Post SMTP）、CVE-2025-52449, CVE-2025-52452, CVE-2025-52453, CVE-2025-52454, CVE-2025-52455（Salesforce Tableau Server）、CVE-2025-6241（SysTrack）が含まれています。

📰 サイバー世界の動向#

Google、影響工作に関与するYouTubeチャンネルを数千件削除 — Googleは2025年第2四半期に、中国、ロシアなど国家関連のプロパガンダキャンペーンに関与するYouTubeチャンネルやアカウントを約11,000件削除しました。ロシア関連では2,000件以上、中国関連では7,700件以上のチャンネルが削除されました。
監視企業がSS7保護を回避 — 匿名の監視企業が、SS7プロトコルの保護を回避し、通信会社からユーザーの位置情報を取得する新たな攻撃手法を使用していることが判明しました。この手法はTCAP操作に依存し、保護システムやファイアウォールで解析されないようにコマンドがエンコードされています。「この攻撃手法の世界的な成功率は不明ですが、ベンダーやソフトウェア固有の問題であり、一般的なプロトコルの脆弱性ではありません」とEneaの研究者は述べています。
Telegramを狙うフィッシングサイトが急増 — 2025年第2四半期、Telegramユーザーを狙うフィッシングサイトの数が12,500件に増加したとの報告があります。詐欺師はTelegramやFragmentのログインページを模したフィッシングページを作成し、被害者の認証情報やワンタイムコードを盗みます。また、偽のデジタルギフトの購入を持ちかけ、無価値な偽トークンを送る手口も確認されています。Palo Alto Networks Unit 42は、Telegramを装ったフィッシングキャンペーンで54,446のドメインを特定したと報告しています。
元NCA職員、5年半の実刑判決 — 英国国家犯罪対策庁（NCA）の元職員が、Silk Road摘発で押収されたビットコインを盗んだ罪で5年半の実刑判決を受けました。ポール・チャウルズ（42）は、ビットコインの移動や暗号通貨取引所の検索履歴が残るiPhoneが証拠となり、犯行が発覚しました。「NCA内でチャウルズは有能で技術に精通した人物と見なされていましたが、自身の利益のために地位を悪用しました」と検察官は述べています。
英国、ロシアGRUの3部隊を制裁 — 英国は、ロシア軍参謀本部情報総局（GRU）の3部隊と18人の情報将校を「長年にわたる悪意あるサイバー活動」により制裁しました。制裁対象にはAPT28、Cadet Blizzard、Sandwormに関連する部隊や、西アフリカで情報工作を行う「African Initiative」も含まれます。
英国、公共機関のランサムウェア支払い禁止を検討 — 英国政府は、公共部門や重要インフラ組織によるランサムウェア支払いを禁止し、被害時の報告義務を課す新法案を提案しました。「NHSや地方自治体、学校などが犯罪者への身代金支払いを禁止されます」と政府は述べています。法の対象外の企業も支払い意図を政府に通知する必要があり、広く悪用される脆弱性のパッチ未適用で侵害された場合、1日10万ポンドまたは売上高の10%の罰金が科される可能性があります。
Lummaは消滅したと思った？まだ健在！ — Lumma Stealerの運用は、今年初めのインフラ摘発後も復活し、より巧妙な手法でマルウェアを配布しています。「摘発から数週間でインフラが再稼働しました」とTrend Microは述べています。CloudflareからロシアのSelectelへの移行など、摘発対策も進めています。Lumma Stealerは多様な配布手法を持ち、ソーシャルメディアやGitHub、偽サイトなどを利用します。ESETも復活を確認し、「摘発後も毎週多数の新ドメイン登録が続いている」と述べています。

米政府、Interlockランサムウェアに警告 — 米政府は、2024年9月以降、北米と欧州の企業や重要インフラを標的とするInterlockランサムウェア攻撃について警告しました。攻撃は、正規サイトのドライブバイダウンロードやClickFix・FileFix型の誘導で初期アクセスを得ます。「攻撃者は様々な手法で探索・認証情報取得・横展開を行い、ネットワーク内の他システムに拡散します」と米政府は述べています。Cobalt StrikeやNodeSnake RAT、Lumma Stealer、Berserk Stealerなどもツールとして使われています。
Apple、イラン人にスパイウェア攻撃を通知 — Appleは、ここ数ヶ月で十数人以上のイラン人に対し、iPhoneが政府系スパイウェアの標的になったと通知しました。通知対象には長年の政治活動家や反体制派、技術者も含まれます。どのスパイウェア製作者が関与しているかは不明ですが、イラン国内外のイラン人双方を狙った初の高度な傭兵ツールの使用例です。
Linuxサーバー、SVF Botに標的に — 管理不十分なLinuxサーバーが、Pythonベースのマルウェア「SVF Bot」に感染し、DDoS攻撃用ボットネットに組み込まれるキャンペーンが確認されています。「SVF BotはDiscordサーバーに認証し、攻撃者のコマンドに従って動作します」とASECは述べています。
トルコ企業、Snake Keyloggerの標的に — トルコの防衛・航空宇宙分野を中心に、Snake Keyloggerを配布するフィッシングキャンペーンが展開されています。偽の契約書を装ったメールで被害者を騙し、実行後はPowerShellやタスクスケジューラを使って永続化し、認証情報やクッキー、金融情報を盗みます。
元技術者、企業秘密窃盗で有罪答弁 — サンタクララ郡の元技術者が、米政府向けの核ミサイル探知技術などの企業秘密を盗んだ罪で有罪答弁しました。彼は米中二重国籍で、就業3ヶ月間に3,600以上のファイルを個人ストレージに転送していました。判決は2025年9月29日予定、最長10年の懲役が科される可能性があります。
FBI、「The Com」に関する警告を発出 — FBIは、暴力サービス（VaaS）を提供するオンライン集団In Real Life (IRL) Comについて警告しています。射撃、誘拐、強盗、暴行などが価格表付きで提供され、SNSで実行者が募集されています。The Comは主に英語圏の未成年を含む数千人規模の集団で、LAPSUS$やScattered Spiderも含まれます。英国NCAも同様の警告を発しています。
西欧で大規模詐欺を行った組織犯罪グループ摘発 — ルーマニアと英国当局主導で、西欧で大規模詐欺を行っていた組織犯罪グループが摘発されました。「ギャングはATMから現金を引き出し、不動産や高級品に資金を洗浄していました」とEuropolは述べています。また、英国の学生Ollie Holmanが1,052のフィッシングキットを販売し、7年の実刑判決を受けました。
Endgame Gear、サプライチェーン攻撃を認める — ゲーミング周辺機器メーカーEndgame Gearは、公式ソフトウェア配布システムが侵害され、OP1w 4k v2製品ページ経由でXredマルウェアが約2週間配布されていたことを認めました。同社は「ファイルサーバーや顧客データは侵害されていない」としています。
2024年3月以降、暗号資産ユーザーを狙う新キャンペーン — WEEVILPROXYと名付けられた新たなマルウェアキャンペーンが、2024年3月以降、世界中の暗号資産ユーザーを標的にしています。Facebook広告でBinanceやBybitなど著名な暗号資産関連ソフトを装い、偽インストーラーを配布して情報窃取や資産流出を引き起こします。Google Display Network経由の広告も確認されており、特定の国を狙った地理的ターゲティングも行われています。

VMDetector Loader、Formbookマルウェアを配布 — VMDetector Loaderマルウェアの新バージョンが、無害に見えるJPG画像の「ピクセルデータ」に埋め込まれ、フィッシングメール経由で配布されていることが判明しました。画像はVisual Basic Scriptでarchive.orgから取得され、最終的にFormbook情報窃取マルウェアが展開されます。
Hikvision攻撃でmountバイナリが悪用される — CVE-2021-36260（Hikvisionカメラのコマンドインジェクション脆弱性）を悪用し、リモートNFS共有をマウントしてファイルを実行する攻撃が確認されています。「攻撃者はmountを使い、リモートNFS共有/srv/nfs/sharedをローカルディレクトリ./bとして利用可能にします」とVulnCheckは述べています。
Windowsドライバーの武器化とは？ — Security Joesは、カーネルモード攻撃や署名済みだが脆弱なドライバー（BYOVD手法）を悪用し、カーネル保護を回避する脅威について詳細な分析を発表しました。「ドライバーはカーネルモードで動作するため、システムリソースへの高い権限と無制限アクセスを持ちます」と述べています。
組織の攻撃対象領域が拡大 — ReliaQuestのレポートによると、2024年後半から2025年前半にかけて公開ポートが27%増加し、OTの公開も35%増加、PHPやWordPressなど公開資産の脆弱性も急増しています。「公開資産の脆弱性は1組織あたり3件から7件に倍増しました」と述べています。
イランのパサルガード銀行、6月の紛争中に標的に — イランのパサルガード銀行が、2025年6月のイラン・イスラエル戦争中にサイバー攻撃を受け、重要サービスの利用に影響が出ました。イスラエルのPredatory Sparrow作戦が、他のイラン銀行や暗号資産取引所Nobitexへの攻撃も主張しています。
CrowdStrike障害、米国750以上の病院に影響 — カリフォルニア大学サンディエゴ校の研究によると、2024年7月のCrowdStrikeの不具合アップデートで、米国の759病院がIT障害を経験しました。研究では1,098のネットワークサービスの障害が特定されました。
北朝鮮アクター、NVIDIA誘導を利用 — 北朝鮮のContagious Interview（DeceptiveDevelopment）キャンペーンの攻撃者が、NVIDIA関連のアップデートを装い、求職者に偽のVisual Basic Scriptを実行させ、PythonペイロードPylangGhostを展開し、認証情報窃取やMeshAgentによるリモートアクセスを可能にしています。
ACRStealer新バリアントが新たな攻撃で配布 — 脅威アクターが、検知回避や解析妨害機能を強化したACRStealer新バリアントを配布しています。「Heaven’s Gate技術で検知・解析を妨害します」とAhnLabは述べています。新バージョンはProofpointによるとAmatera Stealerとリブランドされ、月額199ドル～年額1,499ドルで販売されています。
Aeza Group、米制裁後にインフラを移行 — 米財務省がロシア拠点のバレットプルーフホスティングサービスAeza Groupに制裁を科した後、Silent Pushの分析によると、AezaのIPレンジがHypercore Ltd.運営の新ASに移行し、制裁回避を図っていると報告されています。
見積依頼詐欺が巧妙化 — サイバーセキュリティ研究者は、Net 15, 30, 45などの一般的なファイナンスオプションを利用し、高額な電子機器や商品を盗む見積依頼（RFQ）詐欺に注意を呼びかけています。「見積依頼キャンペーンでは、攻撃者が企業に製品やサービスの見積もりを依頼し、得た見積書を使って説得力のある誘導メールやマルウェア、BEC詐欺を仕掛けます」とProofpointは述べています。

偽ゲームで情報窃取マルウェアを配布 — 新たなマルウェアキャンペーンが、Baruda QuestやWarstorm Fire、Dire Talonなどのインディーゲームの偽インストーラーを、詐欺サイトやYouTube、Discordで宣伝し、Leet StealerやRMC Stealer（Leet Stealerの改変版）、Sniffer Stealerなどを感染させています。これらのマルウェアはFewer Stealerに起源があり、当初はブラジルを標的としていましたが、現在は世界的に拡大しています。
米FCC、中国製機器の海底ケーブル使用禁止を検討 — 米連邦通信委員会（FCC）は、外国勢力による脅威から海底通信インフラを守るため、中国製技術の米国海底ケーブル使用を禁止する新規則を発表する計画です。「近年、中国などの外国勢力による海底ケーブルインフラへの脅威が見られます」とFCC委員長は述べています。Recorded Futureも、海底ケーブルへの国家主導の悪意ある活動リスクが高まっていると指摘しています。
中国、バックドア機器とサプライチェーン脅威に警告 — 中国国家安全省（MSS）は、機器のバックドアやソフトウェアのサプライチェーン攻撃に関する警告を発表しました。同省は、こうした脅威が個人情報や企業秘密の窃取、国家安全保障にも影響するとし、「パッチ戦略の策定、OSの定期更新、ログの定期確認、異常トラフィックの監視」などの技術的対策を推奨しています。また、海外スパイ機関が海洋観測センサーにバックドアを仕込む可能性にも言及しています。

🎥 サイバーセキュリティウェビナー#

AIが信頼を壊す—手遅れになる前に守る方法 — 2025年のAI主導デジタル体験に対する顧客の反応を探ります。Auth0 CIAMトレンドレポートでは、アイデンティティ脅威の増加、新たな信頼の期待、ログイン障害の隠れたコストを明らかにします。AIが最大の資産にもリスクにもなりうる理由をこのウェビナーで学びましょう。
Python開発者必見：pip installがマルウェア爆弾に？ — 2025年、Pythonのサプライチェーンは攻撃の標的です。タイプミスや乗っ取りライブラリで、pip installひとつで本番環境にマルウェアが混入する恐れも。このセッションではSigstore、SLSA、堅牢なコンテナなどでビルドを守る方法を紹介します。

Vendetect – これは、リポジトリ間でコピーまたはベンダリングされたコードを検出するためのオープンソースツールです。現実のセキュリティやコンプライアンス要件に対応し、セマンティックフィンガープリントやバージョン管理分析を用いて、コードのコピー元やコミットまで特定できます。関数名変更やコメント削除、書式変更にも対応し、未追跡依存やライセンス違反、脆弱性の継承も追跡できます。
Telegram Channel Scraper – これは、公開Telegramチャンネルからの高度な監視・データ収集のためのPythonベースツールです。Telethonライブラリを用いてメッセージやメディアをスクレイピングし、最適化されたSQLiteデータベースに保存します。リアルタイム収集や並列メディアダウンロード、バッチエクスポートも可能で、調査やアーカイブ用途に有用です。

免責事項：これらの新ツールは教育目的のみで公開されており、完全な監査は行われていません。自己責任で使用し、コードを確認し、安全なテストと適切な保護策を講じてください。

🔒 今週のヒント#

ブラウザを盲信しないで — 多くの人はブラウザを単なるネット閲覧ツールと考えていますが、実はデバイスで最も露出した部分のひとつです。裏では、名前やメール、会社名、時には支払い情報まで静かに保存されています。これらのデータは暗号化されていないファイルにそのまま残り、たとえ一瞬でもローカルアクセスを得られれば簡単に抜き取られます。

例えばChromeやEdgeでは、個人の自動入力情報が「Web Data」というSQLiteデータベースファイルに保存され、誰でもアクセスできれば読めてしまいます。つまり、マシンが侵害されれば、簡単なスクリプトでも個人や業務のIDが静かに盗まれる可能性があります。レッドチームや攻撃者にとっては絶好の情報源です。

それだけではありません。ブラウザはセッションクッキーやローカルストレージ、サイトDBも保持し、ログアウト後も消去されないことが多いです。これにより、攻撃者はログインセッションを乗っ取ったり、Webアプリに保存された機密情報（社内ツール含む）を抜き取ることができます。悪意ある拡張機能や乗っ取られた拡張機能も、活動を監視したり信頼するページに悪質なコードを注入できます。

もうひとつの弱点が拡張機能です。正規に見えるアドオンでも広範な権限を持ち、入力内容の読み取りや閲覧履歴の追跡、スクリプト注入が可能です。信頼していた拡張機能がアップデートで乗っ取られると、静かに情報窃取ツールに変貌します。これは意外と頻繁に起こっています。

リスクを減らすには：

自動入力、クッキー、サイトデータを定期的に消去する
業務用端末では自動入力を無効化する
拡張機能を制限し、CRXcavatorやExtension Policeなどで監査する
DB Browser for SQLiteで保存ファイル（Web Data, Cookies）を確認する
BleachBitなどで痕跡を安全に消去する

ブラウザは実質的に軽量なアプリケーションプラットフォームです。保存データやアクセス権の監査を怠れば、特に共有端末やエンドポイントが露出した環境では大きな穴を開けることになります。

まとめ#

今週のシグナルは結論というより問題提起です：私たちは他に何を見誤っているのでしょうか？見慣れたデータも、別の視点で意味を持つかもしれません。敵が「症状」ではなく「システム」で考えるなら、防御側も進化が必要です。

時には、最善の対応はパッチではなく、視点の転換です。他人が見なくなった場所をもう一度見ることに価値があります。

翻訳元: https://thehackernews.com/2025/07/weekly-recap-sharepoint-breach-spyware.html