-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
8月23〜25日:サイバーセキュリティ関連ニュース
ゼロクリックRCEに繋がり得るiOSの脆弱性、詳細や検出ツールを研究者が公開:CVE-2025-43300
8月20日に緊急修正されたApple製品のゼロデイ脆弱性CVE-2025-43300の詳細を、セキュリティ研究者のMatt Suiche氏が共有。この脆弱性用の検知ツール「ELEGANT BOUNCER」も開発し、GitHub上に公開している。
CVE-2025-43300はDNG(Adobeの画像ファイル形式)ファイルの処理を担うコンポーネント「RawCamera.bundle」における、ロスレス圧縮されたJPEGの解凍コードの実装に見つかった境界外書き込みの脆弱性。iOSやiPad OS、macOSが影響を受ける。Appleのアドバイザリには、この脆弱性が特定の個人を狙った極めて高度な攻撃で悪用された可能性がある旨が記されている。
Suiche氏、および同脆弱性の技術的詳細を最初に文書化したb1n4r1b01氏によると、これはゼロクリックのRCEを可能にする脆弱性で、悪意ある画像ファイルを1つ使えばターゲットユーザーに何の操作もさせずとも密かにデバイスを侵害することができるものだという。
Suiche氏は、同脆弱性の恐ろしさはその単純さにあると指摘。2つの連携するコンポーネント間の基本的な仮定の不一致を悪用するものであるとした上で、悪用に至るステップを大まかに3つに分けて説明している。
- ①設定:あるDNGファイルは、SamplesPerPixel = 2、つまり1ピクセル当たりのサンプル数が2となっている。(DNGファイルでは「SubIFD」内の「SamplesPerPixel」タグによって色のコンポーネントが定義される)
- ②ねじれ:同じDNSファイル内の実際のJPEGロスレスデータは、SOF3マーカーに1つのコンポーネントしか含んでいない。
- ③エクスプロイト:このミスマッチにより、解凍ルーチンは割り当てられたバッファの境界を超えて書き込みを行う。なお、iMessageやその他のメッセージングプラットフォームで受信されたDNSファイルは、iOSによりユーザーへ許可を求めることなく自動で処理される場合があることから、ゼロクリックでの悪用が叶う恐れがある。
Suiche氏は、b1n4r1b01氏の共有した脆弱性のゼロクリックPoCや分析に基づいてRustベースの検出ツール「ELEGANT BOUNCER」を開発。この脆弱性がゼロクリックの攻撃チェーンに繋がること、攻撃ベクターが広範であることなどから注視が必要であるとした上で、対策としてAppleがリリースしている修正版にアップデートすること、自身のアプリケーション内でDNGファイルを処理する前にファイル検証を行うようにすること、ELEGANT BOUNCERを使うこと、信頼されていないソースに関しては可能な限り自動画像レビューを無効化することを推奨している。
新たなAndroidマルウェア、ロシア諜報機関製アンチウイルスを装う
BleepingComputer – August 24, 2025
ロシア連邦保安庁(FSB)製のアンチウイルスツールを装った新たなAndoroidマルウェアが、ロシアの企業幹部を狙った攻撃で使用されているという。ロシアのモバイルセキュリティ企業Dr.Webが報告した。
問題のマルウェアは、「Android.Backdoor.916.origin」として追跡されるAndoroidデバイス向けのスパイウェア。会話の傍受、デバイスのカメラを通じたストリーム配信、キーロガーによるユーザーが入力した内容のロギング、メッセンジャーアプリでやり取りされたデータの抜き取りなど、さまざまな性能を備える。既知のマルウェアファミリーとの繋がりは見つかっていないという。
Dr. Webは、FSBが作成したツールのように見せかけた「SECURITY_FSB」および「ФСБ」と、ロシア中央銀行が作成したように見せかけた「GuardCB」という偽のアンチウイルスソフトウェアを観測している。これらの偽アンチウイルスツールはターゲットデバイスにインストールされると、地理的位置情報の利用やSMS・メディアファイル・カメラ・音声記録・アクセシビリティサービスへのアクセス、バックグラウンドで常に動作する権限など、ハイリスクな権限をいくつか要求。次に、複数のサービスを起動してこれらを通じてC2へ接続し、SMSや位置情報などの抽出・マイクやカメラの起動・テキスト入力のキャプチャ・シェルコマンドの実行などを指示するコマンドをC2から受け取るという。なお、これらの偽ツールはセキュリティ関連の機能を欠いているものの、不審に思ったユーザーにデバイスから削除されるのを防ぐため、本物のセキュリティツールを真似た動きを示す。
マルウェアの配布ルアーや感染手法、インターフェースの言語がロシア語のみであるという事実から、Dr. Webはこれらの偽ツールがロシアの企業を狙った標的型攻撃であると考えている。なお、2025年1月に初めて発見されて以来、いくつか後継バージョンが観測されていることから、同マルウェアの開発は継続して行われているものとみられるとのこと。
【無料配布中!】インテリジェンス要件定義ガイド
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
とは?.jpg)
