-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
8月15〜18日:サイバーセキュリティ関連ニュース
FortiWebの認証バイパスを可能にするエクスプロイト、研究者がリリース予定:CVE-2025-52970
BleepingComputer – August 16, 2025
8月12日にパッチがリリースされたFortiWebの脆弱性CVE-2025-52970に関するPoCエクスプロイトの一部を、セキュリティ研究者Aviv Y氏がリリース。「FortMajeure」と名付けられたこのエクスプロイトは、リモートの攻撃者による認証バイパスを可能にするものだという。
CVE-2025-52970は、クッキーの構成要素の1つである「Era」パラメータが適切に検証されないことに起因する問題で、FortiWebのクッキー解析における境界外読み取りの脆弱性と説明されている。セッションクッキーはEraのほか、「Payload」および「AuthHash」の3つのパートから成り、クッキー解析時にはバックエンドで以下のようなステップが実行される:
- Eraの値に基づき、共有されているメモリアレイから秘密鍵を選択する
- 選択された秘密鍵を使って「Payload」を復号する
- 同じ秘密鍵と暗号文を使って「AuntHash」を検証する
しかし、Eraパラメータが適切に検証されない事実により、このパラメータに想定されていない値(2〜9)を設定することが可能となり、境界外読み取りアクセスが生じるという。2〜9のいずれかの値を設定することで、サーバーはセッションの暗号化にオールゼロの秘密鍵とHMAC署名を使うようになることから、認証クッキーを偽造しやすくなる。こうして脆弱性の悪用に成功した攻撃者は、認証を完全にバイパスすることができ、管理者を含むどのアクティブユーザーにでもなりすませるようになるとされる。
CVE-2025-52970の悪用を成功させるには、攻撃の間中、ターゲットとなるユーザーにアクティブなセッションを維持させねばならないほか、クッキー内の数値フィールドに対してブルートフォースを実行する必要がある。ブルートフォース要件が存在することによる「攻撃の複雑性の高さ」から、FortinetはCVSSスコアを「7.7」としているものの、このブルートフォースはシンプルかつすばやく実行できるものであるため、実際の深刻度はもう少し高くなる可能性もあるという。
Aviv Y氏はPoCエクスプロイトを部分的にしか公開していないものの、FortiWebの利用組織が修正を適用できるよう猶予期間を設けた後で、完全なエクスプロイトを共有するつもりだとしている。Fortinetの公式アドバイザリにはワークアラウンドや緩和策の記載がないため、安全なバージョンへのアップグレードが唯一の効果的なアクションとのこと。
40ドルで購入可能?FBIなど政府/法執行機関の正規メールアカウントがダークウェブ上で出回る
The Register – Thu 14 Aug 2025
ダークウェブ上では、FBIやその他の法執行機関、また政府機関などに関係するEメールアカウントへのアクセス情報が、安いものでは40ドルほどで売りに出されているという。Abnormal AI社が報告した。
これらはいずれもアクティブなアカウントで、休眠アカウントやなりすましアカウントではない。Abnormal AIの脅威インテリジェンス部門長であるPiotr Wojtyla氏によれば、「.govや.policeアカウントへのリアルタイムアクセス」であり、ダークウェブ上のトップセラーと直接接触して裏付けを取ってあるという。漏洩元の組織には、米国や英国、ブラジル、ドイツ、インドの機関が含まれるとされる。こうしたログイン情報が窃取された手段については、クレデンシャルスタッフィング、脆弱なパスワードや使いまわされたパスワードの悪用、インフォスティーラーなどが考えられる。
このようなアカウント情報がサイバー犯罪者の手に渡った場合、想定される悪用方法の1つは政府や警察が送り主であるかのような説得力のあるフィッシングメールを送ること。これにより、架空の罰金について通知して金銭を騙し取ることなどが考えられる。しかしそれだけではなく、公的な利用のみしか許されていない情報やシステムへアクセスする目的でも悪用され得るとAbnormal AIは指摘。例えば米国には、電気通信事業者に対し、法執行機関による通話傍受や通信データ提出の要請に従うことを義務付ける「CALEA」という盗聴法がある。.govや.policeのアカウントを使用すれば、この法律を悪用して偵察記録を入手しやすくなると思われる。
また米国には「緊急データ要求(EDR)」と呼ばれる、法執行機関が緊急時にサービスプロバイダーから情報を得ることを許可する法的メカニズムも存在。これは本来生命の危機にさらされている恐れのある人々の所在地を特定するための利用を意図したものだが、これについても.govや.policeのメールアカウントを入手した脅威アクターに悪用される恐れがあるという。実際に2024年11月、FBIは、サイバー犯罪者が侵害された政府系メールアカウントを使って虚偽のEDRを米国企業へ送り、企業から個人情報を騙し取ろうとしているとの警告を発している。
正規のアカウントから発信される以上、こうした悪意あるEメールは従来型のEメールセキュリティ対策をバイパスできる点が特に危惧される点だとAbnormal社は指摘。ルールやポリシーを使って攻撃を特定するこれまでのようなソリューションではなく、AIネイティブでAPIベースのEメールセキュリティプラットフォームの利用を検討するよう推奨した。
【無料配布中!】地政学情勢×サイバー動向の解説レポート
レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』
以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。
目次
- 序論
- ハクティビズム
- ハクティビズムの変遷
- 戦争におけるハクティビズム
- 「選挙イヤー」におけるハクティビズム
- 絡み合う動機
- 国家の支援を受けたハッカー集団
- 偽情報
- 国家間対立
- 偽情報とロシア・ウクライナ戦争
- 偽情報とイスラエル・ハマス戦争
- 偽情報と選挙が世界にあふれた2024年
- 国家型APTの活動
- 中国
- ロシア
- 北朝鮮
- イラン
- マルチチャネルインテリジェンスの運用化における課題と関連リスク
とは?.jpg)
