-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
2025年11月7日〜10日:サイバーセキュリティ関連ニュース
ロシアによるウクライナへの破壊的サイバー攻撃、標的が穀物部門にも拡大
SecurityWeek – November 7, 2025
ロシアの国家支援型アクターはウクライナを狙ったサイバー攻撃を続けており、現在では穀物部門を含む複数産業に対してワイパーを展開するようになっているという。ESETが、2025年4月から9月に観測されたAPTの活動に関する最新のレポートの中で報告した。
ESETによれば、ロシアのAPTグループはウクライナ組織に加えて同国以外の国・地域の組織も攻撃しているが、こうした「ウクライナ以外」の標的であっても戦略的・作戦上のウクライナとの関連性が確認されているという。このことからは、ロシアの情報機関が進行中の紛争に注力と資源を集中させていることが伺える。
特にSandworm(別名Iridium、Seashell、Blizzard、TeleBots、Voodoo Bear)による破壊的な攻撃が際立っており、今年4月にはZerolotとStingワイパーを使用してウクライナ国内の大学を標的にした。その後、6月と9月には同国の政府機関・エネルギー部門・物流部門・穀物関連機関に対してワイパーマルウェアの亜種を複数展開している。穀物部門の組織が狙われることはあまり一般的でないものの、ウクライナの収入源の大部分は穀物部門であるため、経済弱体化を目論んでいる可能性が示唆されるとESETは報告している。
Sandworm以外にも、ESETのレポートではロシアに関連するAPTとして以下のグループが紹介されている。
- UAC-0099:Sandwormとの連携が確認されている。初期アクセスを担い、侵入後に標的をSandwormに受け渡す。
- Gamaredon:ウクライナを標的とする最も活発なAPTグループで、PteroPSDoorやPteroVDoorスティーラーの開発を行うとともに、新たなトンネリングやサーバーレスコンピューティングの技術を採用している。
- InedibleOchotense:今年5月にスピアフィッシングメールやSignalテキストメッセージを介して、ESETを装ってウクライナの複数組織を攻撃。
- RomCom:別名Storm-0978、Tropical Scorpius、UNC2596。WinRARのゼロデイ脆弱性を悪用し、欧州とカナダの防衛・金融・物流・製造業の組織に対してバックドアを展開。
macOSユーザー狙ったClickFix攻撃が進化
SecurityWeek – November 7, 2025
ClickFix攻撃の手法は進化を続けており、WindowsだけでなくmacOSのユーザーに対して使われることも増えているという。脅威検出・レスポンス企業Push Securityが、現時点で「最も高度なClickFix」と評する新たな手口について報告した。
ClickFixはターゲットユーザーを騙して悪意あるコマンドを実行させ、マルウェアを配布するソーシャルエンジニアリング戦術。Webページに表示されたエラーを「修正」するためのボタンやCAPTCHAの「認証」ボタンなどをユーザーがクリックすると悪性コマンドがユーザーのクリップボードにコピーされ、Webページの指示に従ったユーザーがこのコマンドをOSのダイアログにペーストすると、当該デバイス上でこのコマンドが実行されることになる。
ClickFix攻撃は主にWindowsユーザーを標的にすることが多いものの、ここ数か月でmacOSユーザーを狙った攻撃が大幅に進化しているものとみられるという。例えばクラウドストライクは最近、macOS向けスティーラーAMOSの亜種である「SHAMOS」マルウェアを展開するためにClickFixの手口が使われていたことを観測。この攻撃では、ユーザーに「command」キーとスペースキーを同時に押下させて「Spotlight検索」を開かせ、検索窓に「Terminal」と入力させた上で、コマンドをペースト・実行させるという、Windows向けのものよりも複雑で長い手順が採用されていた。
一方、Push Securityが報告した攻撃では、Cloudflareの認証ページに見せかけた精巧な作りのClickFixポップアップが使われ、クラウドストライクが観測したものよりも少ない手順で悪性コマンドを実行させられるようになっていたという。また、ユーザー自身に悪性コードをコピーさせる必要はなく、自動的にユーザーのクリップボードへコピーされる仕組みも備わっていたものとみられる。加えて、この攻撃で使われた偽認証ページには、「人間であることを証明するため」の一連の手順の実施方法を示したガイダンス動画が埋め込まれていた上、カウントダウンタイマーも設置され、ユーザーにプレッシャーを与えられるようになっていたとされる。
ClickFixはその性質上、OSやセキュリティベンダーの側で講じられるユーザー保護措置には限界がある。例えばマイクロソフトはClickFix対策としてDefender製品にClickFixページの検出機能を加えたものの、重要なのはユーザー教育と意識の向上である旨を強調した。
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
地政学レポート
インテリジェンス要件定義に関するガイドブック
ディープ&ダークウェブレポート
とは?.jpg)
