-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
Win-DDoS:公開ドメインコントローラをDDoSボットに変える新たな攻撃手法
Help Net Security – August 11, 2025
世界各地の公開のドメインコントローラ(DC)を悪用してDDoS攻撃実行のためのボットネットを作り出す攻撃手法「Win-DDoS」を、SafeBreachの研究者が考案。調査過程で発見されたWindowsにおけるゼロクリックのDoSの脆弱性4件の情報とともに、8月10日公開のブログ記事に詳細をまとめた。
Win-DDoSは、コード実行や認証情報の悪用などを行うことなくDCをDDoS用ボットにする手法。SafeBreachの研究者らは、2024年12月の月例パッチで修正されたDoSの脆弱性CVE-2024-49113(通称:LDAP Nightmare)の悪用手法を探った過去の調査が後押しとなり、同様の脆弱性数件の発見に至ったという。
- CVE-2025-26673(CVSS 7.5):Windows LDAP(Lightweight Directory Access Protocol)におけるDoSの脆弱性。2025年5月に修正済み。
- CVE-2025-32724(CVSS 7.5):Windows LSASS(Local Security Authority Subsystem Service)におけるDoSの脆弱性。2025年6月に修正済み。
- CVE-2025-49716(CVSS 7.5):Windows NetlogonにおけるDoSの脆弱性。2025年7月に修正済み。
- CVE-2025-49722(CVSS 7.5):Windows Print SpoolerにおけるDoSの脆弱性。2025年7月に修正済み。
CVE-2025-26673、CVE-2025-32724、CVE-2025-49716の3件は認証されていない攻撃者によりリモートでトリガーされる恐れがあり、CVE-2025-49722の悪用にも限定的な権限(ユーザーとしての認証が必要だが、どのユーザーアカウントでも可)しか必要ないとされる。
これらを悪用するWin-DDoSの攻撃は、大まかに以下のような流れで行われるという。
- 特別に細工されたRPCコールをインターネットからアクセス可能な世界各地のDCに送り、これらのDCをCLDAPクライアントにする
- これらのDCから攻撃者のCLDAPサーバーへCLDAPリクエストを送信。これに対して攻撃者のサーバーは、UDPからTCPへの切り替えを行うため、参照応答を返して当該DCが攻撃者のLDAPサーバーを参照するようにする
- DCから攻撃者のLDAPサーバーへ、TCPでLDAPクエリを送信
- 攻撃者のLDAPサーバーは、多数のLDAP参照URLを記載したリストを含むLDAP参照応答を返す。これらのURLは、いずれも単一のIPアドレス上の単一のポートを指し示している
- 各DCがLDAPクエリを当該ポートへ送る
- このポート上のWebサーバーは、これらが予期せぬLDAPパケット(有効なHTTPパケットではない)であることから、TCP接続を終了させる
- TCP接続が切断されると、DCは前述のリスト上の次の参照URLに移るが、これも同一のポートを指し示すものであるため、同じ動きが繰り返される
- 上記は、リスト上のURLがすべて試行されるまで繰り返される
上記4件の脆弱性に対するパッチは過去にリリース済み。現在までにこれらの脆弱性の詳細とエクスプロイトモジュールが一般に公開されていることから、まだパッチを適用していない組織には早急な対応が求められる。また、SafeBreachの研究者らは、組織のあらゆるサーバーおよびエンドポイントがDDoS攻撃の標的となり得るとした上で、この種の攻撃に対する適切な緩和策を整備することを推奨した。
【無料配布中!】地政学情勢×サイバー動向の解説レポート
レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』
以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。
目次
- 序論
- ハクティビズム
- ハクティビズムの変遷
- 戦争におけるハクティビズム
- 「選挙イヤー」におけるハクティビズム
- 絡み合う動機
- 国家の支援を受けたハッカー集団
- 偽情報
- 国家間対立
- 偽情報とロシア・ウクライナ戦争
- 偽情報とイスラエル・ハマス戦争
- 偽情報と選挙が世界にあふれた2024年
- 国家型APTの活動
- 中国
- ロシア
- 北朝鮮
- イラン
- マルチチャネルインテリジェンスの運用化における課題と関連リスク
とは?.jpg)
