Infosec In Brief 今まさに話題のAIアシスタントOpenClawは、現時点ではまったく安全とは言えないが、セキュリティスキャンサービスVirusTotalと提携した。
この提携により、ClawHub内の「スキル」――OpenClawアシスタント向けのカスタムプラグイン――は、70以上のアンチウイルススキャナーおよびURL/ドメインのブロックリストサービスでスキャンされる。
「OpenClawのスキルは強力です。スマートホーム機器の制御から財務管理、ワークフローの自動化まで、AIエージェントにできることを拡張します。しかし、その力にはリスクが伴います」と、アシスタントの開発者はVirusTotalと協業する決定を説明した土曜日の投稿で書いた。
その投稿では、スキャンサービスと連携してもOpenClawが完全に安全になるわけではないと指摘している。
「はっきりさせておきます。これは万能薬ではありません」と開発者は書いた。「VirusTotalのスキャンではすべてを検知できません。自然言語でエージェントに悪意ある行為を指示するスキルは、ウイルスシグネチャを発動させないでしょう。巧妙に作られたプロンプトインジェクションのペイロードは、脅威データベースには載りません。」
上院議員、通信事業者がソルト・タイフーンへの十分な防御を構築していないことを懸念
米国の大手通信事業者を襲ったソルト・タイフーンのハッキングの余波は続いており、ある米上院議員は被害企業が正直に話しているとは確信していない。
上院商業・科学・運輸委員会の筆頭委員(少数党筆頭理事)であるマリア・キャントウェル上院議員(民主党・ワシントン州)は先週、共和党側のカウンターパートに書簡を送り、AT&TとVerizonのCEOが同委員会に出席し、2024年に米国史上最悪の通信ハックと呼ばれる事態の発覚を受けて実施されたセキュリティ評価を、なぜ引き続き開示しないのか説明するよう求めた。
報道によれば、ソルト・タイフーンに関与する中国系ハッカーは、3社の通信事業者のネットワークに広範なアクセスを得ており、さらに他社のネットワークも利用して、米政府機関の職員を含む顧客を監視していたという。侵入が公になった後、通信事業者はネットワーク境界を強化し、ソルト・タイフーンを排除したとされるが、キャントウェルはそれを疑っている。
「FBIや他の連邦機関は…ソルト・タイフーンのような高度持続的脅威(APT)アクターによるリスクを軽減する方法について、詳細なガイダンスを示しました」とキャントウェルはテッド・クルーズ上院議員(共和党・テキサス州)に書いた。「しかし、報道によれば、通信事業者はコストを理由に、これまでほとんど防護措置を講じていないとのことです。」
AT&TとVerizonは、攻撃後にMandiantが実施したセキュリティ評価の公開を拒んでいる。キャントウェルによれば、これらの文書には、通信事業者がネットワークを保護しソルト・タイフーンを排除するために取った手順が詳細に記されているという。両社は評価を実施したことを認めた後も報告書を公表しないだけでなく、キャントウェルがMandiantから写しを入手しようとする試みも妨げたと彼女は述べた。
「AT&TとVerizonはいずれも協力しないことを選択しており、これらのネットワークを利用する米国民が、容認できないリスクにさらされたままである程度について深刻な疑問が生じます」とキャントウェルは主張した。「米国民が通信の安全性について明確さと信頼を得られるよう、AT&TとVerizonのCEOから直接話を聞く必要があると私は考えます。」
新たに発見された中国系APTが新規脆弱性を標的に
Checkpointの研究者は、これまで未知だった中国のサイバー諜報グループを発見し、「活動的で能力がある」と評価している。
CheckpointはこのグループをAmaranth-Dragonと命名し、政府機関や法執行機関に関する情報収集を狙っていることを示唆する、狭く焦点を絞った攻撃で東南アジアの国々を標的にしているとみている。
このグループは、最近公表された脆弱性を素早く攻撃し、また最近の注目ニュースを引き合いに出したキャンペーンを展開して、被害者を危険なコンテンツとのやり取りに誘い込もうとする。
Checkpointは、2025年9月に最初に報告されたWinRARの圧縮に関する脆弱性の利用が特に迅速で、開示から数日以内にキャンペーンへ組み込んでいたと指摘した。
Checkpointは、Amaranth-DragonがAPT-41と関係している可能性が高いとみている。APT-41は、情報収集目的で外国を標的にすることで知られる中国の著名なサイバー諜報グループだ。
POSスキームでウクライナ人の犯罪者を逮捕
ウクライナ当局は先週、偽装事業、POS(販売時点情報管理)端末、架空の返金を絡めたかなり複雑な手口で、2023年から2024年にかけて銀行から1,300万フリヴニャ超(30万2,000ドル)を盗んだとして4人を逮捕した。
ウクライナのサイバーポリスによると、この手口は、表向きは正当な事業運営に使うとして銀行からPOS端末を取得する事業者を登録することから始まったという。端末は「事前に用意された施設」に設置され、そこは偽の事業拠点として機能した。そして一味は、自分たちが登録した事業者から、存在しない商品を購入したことにした。
その後、買ってもいない品目の返金を発生させる。ここで犯罪が成立する。
「自動取引処理の特性により、そのような返金は銀行機関の負担で補填され、加害者が不正に資金を得ることを可能にしました」とウクライナの法執行機関は説明した。「盗まれた金は暗号資産へ換えて合法化され、その後、暗号資産取引所でのP2P取引などを用いて現金に交換されました。」
一味のメンバーは、有罪となればそれぞれ懲役12年に直面する。
2週間で3件目のKEV、SmarterMailは名前ほど賢くない
Microsoft Exchangeの代替であるSmarterMailは、ここ数週間で複数の脆弱性を明らかにし、その名に恥じる状況になっている。
発端は1月26日で、SmarterToolsのSmarterMailソフトウェアに関する2件のCVE、CVE-2026-23760(CVSS 9.3)とCVE-2025-52691(CVSS 10.0)が、同日にCISAの既知の悪用済み脆弱性(KEV)カタログへ追加された。
前者の23760は、プラットフォームのパスワードリセットAPIにおける認証バイパスの脆弱性により、攻撃者がSmarterMailインスタンスの管理者権限を得られる。一方52691は、制限のないファイルアップロード問題を悪用することで、リモートコード実行の可能性を与える。
そして先週、CISAは3件目の問題(CVE-2026-24423、CVSS 9.3)をKEVカタログに追加した。この欠陥はSmarterMailのConnectToHub APIにおける認証問題で、影響を受けるサーバーを悪意あるHTTPサーバーへリダイレクトさせ、悪意あるコマンドを配信することで、攻撃者がコマンド実行を得られる可能性がある。
CISAは、この脆弱性がランサムウェアキャンペーンで利用されていることを把握しているため、セキュリティ更新を適用してほしい。
フランスで暗号資産絡みの誘拐
先週水曜日、フランスで女性とその母親が、暗号資産企業の幹部である女性のパートナーに身代金を要求する目的で犯罪者に誘拐された。
しかし犯人は何も得られなかった。助けを求める叫び声を聞いた男性が、誘拐された2人を解放したためだ。
フランス紙Le Dauphinéによると、同様の誘拐と暗号資産による身代金要求は最近これで3件目で、1月中旬には高齢の夫婦が誘拐され、先月末には高齢男性が誘拐された。他の事例では、被害者の子どもが暗号資産分野に関わっていた。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/08/infosec_news_in_brief/
