SEOポイズニングでBadIISマルウェアを拡散、東アジアや東南アジアが標的に

nosa

2025.09.26

2025年9月24日：サイバーセキュリティ関連ニュース

SEOポイズニングでBadIISマルウェアを拡散、東アジアや東南アジアが標的に

The Hacker News – Sep 23, 2025

ある脅威アクターがマルウェア「BadIIS」を使い、ベトナムを中心に東アジアや東南アジアを標的としたSEO（検索エンジン最適化）ポイズニングキャンペーンを展開している。パロアルトネットワークスのインシデント対応チーム「Unit 42」が警告した。

Unit 42はこの活動を「Operation Rewrite」と名付け、識別子CL-UNK-1037で追跡している。攻撃者が使用しているインフラや手法は、セキュリティ企業ESETに「Group 9」と呼ばれている脅威アクターおよびDragonRankと共通点があるようだ。

研究者の報告によると、攻撃者は有害なインターネットインフォメーションサービス（IIS）ネイティブモジュールBadIISを使って検索結果を操作。ユーザーをギャンブルサイトやポルノサイトなど意図しないWebサイトへ誘導し、金銭を搾取しているという。

そのほかにもさまざまなツールキットが使われており、軽量なASP.NETページハンドラー、.NET IISモジュール、オールインワンのPHPスクリプトなど文書化されていない亜種が発見されている。Unit 42は言語的証拠やインフラ、アーキテクチャの類似性などを根拠に、この活動は中国語を話すグループによって行われている可能性が高いと報告した。

ウィークリーサイバーダイジェスト

Silobreaker-WeeklyCyberDigest

フィッシング

中国

中国語を話す脅威アクターがBadIISを使ってSEOを操作

nosa

2025.02.14

Silobreaker-WeeklyCyberDigest

フィッシング

中国

ヨーロッパ主要空港での混乱、ランサムウェア攻撃が原因と判明

BleepingComputer – September 22, 2025

先週末にヨーロッパ主要空港で発生した混乱は、米企業コリンズ・エアロスペースの搭乗手続きシステムを標的としたランサムウェア攻撃が原因だったようだ。

システム障害は英国のヒースロー空港、ベルギーのブリュッセル空港、独ベルリンのブランデンブルク空港など複数箇所で発生し、合わせて100便以上が遅延・欠航したほか、多くの乗客が手動での手続きを余儀なくされた。このインシデントはアイルランドのコーク空港とダブリン空港にも影響を与えたが、こちらは軽微な被害にとどまったとされている。

攻撃は19日夜に始まり、搭乗手続きカウンターや搭乗ゲートの割り当てを共有するMUSE（マルチユーザーシステム環境）システムがダウン。22日には英『ガーディアン紙』が欧州連合サイバーセキュリティ機関（ENISA）の声明を掲載し、ランサムウェア攻撃によって混乱が引き起こされたことを明らかにした。

コリンズ・エアロスペースは、影響を受けたシステムをできるだけ早く復旧させるために対応を進めているとのこと。英国国家サイバーセキュリティセンター（NCSC）も運輸省や法執行機関、同社および被害を受けた国内空港と協力し、このインシデントによる影響を完全に把握するための対応を進めているという。