デイリーサイバーアラート

Silobreaker-CyberAlert

サプライチェーン

スパイウェア

WIRED誌の購読者に関する230万件分のレコードをリークしたとハッカーが主張

佐々山 Tacos

2026.01.05

2025年12月：サイバーセキュリティに関する年末の話題

WIRED誌の購読者に関する230万件分のレコードをリークしたとハッカーが主張

BleepingComputer – December 28, 2025

「Lovely」と名乗るハッカーが12月20日、雑誌「WIRED」のサブスクリプション登録者に関する盗難データベースとされるものをハッキングフォーラム上にリーク。このデータベースには合計2,366,576件のレコードが含まれるとされ、それぞれに登録者IDとメールアドレスが含まれるほか、中には氏名、電話番号、住所、性別、誕生日といった情報が含まれるものもあるとされる。これらのデータへのアクセス権は、ハッキングフォーラムのクレジットシステムでおよそ2.30ドル相当を支払うと提供されるという。データの一部は専門家により実際のWIRED登録者のものであることが確認されている。

Lovelyは、WIREDの発行元であるマスメディア企業Condé Nast（コンデナスト・パブリケーションズ）が「脆弱性の報告を無視した」と非難しており、同社が発行するThe New Yorker、Vogue、Vanity Fairといったその他の雑誌に関する最大4,000万件分のレコードを今後追加でリーク予定だと警告している。ただ、同ハッカーの主張内容の真偽は不明。

リークされたデータベースはその後Have I Been Pwnedに追加されており、ユーザーが自身のメールアドレスの漏洩有無を確認できるようになっているとのこと。

欧州宇宙機関（ESA）がデータ侵害認める、ハッカーがデータを売りに出したのち

SecurityWeek – December 31, 2025

欧州宇宙機関（ESA）は12月30日、同機関のシステムの一部が侵害されていたことを認めた。これまでの調査により、ESAのコーポレートネットワーク外に設置されたサーバーが侵害されたことが判明しているという。

ESAの声明は、「888」と名乗るハッカーがハッキングフォーラム「BreachForums」において同機関をハッキングしたと主張した後に出されたもの。888はESAのシステムから盗んだとされるデータ200GB分を売りに出しているほか、ソースコードやAPI／アクセストークン、構成設定ファイル、機密文書を入手したと主張しているという。

ESAはフォレンジック調査と侵害されたデバイスの保護に取り組んでいるところだが、現時点までの分析結果を踏まえて「影響を受けた外部サーバーはごく少数に留まる可能性がある」と報告。これらのサーバーは、科学コミュニティ内における「機密指定ではない合同エンジニアリング活動」を支援するものであると述べている。

KMSAutoベースのマルウェアめぐりリトアニア人の容疑者を逮捕、280万件のシステムが感染

Security Affairs – December 30, 2025

KMSAutoベースのクリッパーマルウェアを拡散し、およそ280万件のWindowsおよびOfficeシステムをこれに感染させた容疑でリトアニア国籍の男（29）が逮捕されたとの報道。

韓国警察によれば、この容疑者は2020年4月から2023年1月にかけて、Windowsのライセンス認証のための不正ツール「KMSAuto」に見せかけたマルウェアを配布していたとされる。このマルウェアは感染したユーザーのクリップボードに暗号資産ウォレットのアドレスがないかを探索し、見つかった場合にこれを攻撃者のウォレットへ置き換えることで暗号資産を不正に窃取するもの。

容疑者によりトロイの木馬化されたKMSAutoは韓国を含む世界各国で約280万回ダウンロードされ、3,100件の暗号資産ウォレットアドレスが侵害されたこと、またこれにより17億ウォン相当の資産が盗まれたことが調査により示されたという。

MongoDBの脆弱性「MongoBleed」、攻撃で悪用される：CVE-2025-14847

SecurityWeek – December 29, 2025

12月に修正されたMongoDBの脆弱性CVE-2025-14847が、PoCコードや技術的詳細がリリースされた直後から悪用され始めたとWizが報告。

「MongoBleed」とも呼ばれるCVE-2025-14847は、レングスパラメーターの不整合による不適切な処理（CWE-130）に起因する脆弱性。MongoDBサーバーからセッショントークンやパスワード、APIキー、またその他の機微なデータを抜き取るために悪用可能であるとされる。2025年12月19日にパッチがリリースされ、24日にはOx Securityが技術的な分析を公開。その2日後には、Elastic SecurityのJoe Desimone氏がPoCエクスプロイトをリリースしていた。

Wizは12月28日公開のブログ記事において、PoCエクスプロイトのリリース後間も無くMongoBleedの悪用が始まった旨を伝えるとともに、クラウド環境のおよそ42%に脆弱なMongoDBインスタンスが少なくとも1つは存在すると警告。また、脆弱性が認証を経る前に、ユーザーの操作を必要とすることなく悪用可能である点が、インターネットに露出したMongoDBサーバーのリスクを特段高めていると述べた。

CVE-2025-14847は12月29日に米CISAのKEVカタログ（悪用が確認済みの脆弱性カタログ）に追加されており、米連邦政府機関には2026年1月19日までの対応が命じられている。

米財務省、スパイウェアPredatorと開発元Intellexaに関連する3個人への制裁を解除

The Hacker News – Dec 31, 2025

米財務省外国資産管理局（OFAC）は12月30日、商用スパイウェア「Predator」の開発元であるIntellexa Consortiumと関連する以下の個人を金融制裁対象者のリストから除外。

Merom Harpaz：Intellexa S.Aのマネージャーとされる人物で、2024年9月にPredatorの開発・運用・配布をめぐり制裁対象に。
Andrea Nicola Constantino Hermes Gambazzi：Thalestris LimitedおよびIntellexa Limitedのオーナーとされる人物で、2024年9月にPredatorの開発・運用・配布をめぐり制裁対象に。なおThalestrisはIntellexa S.Aの親会社であり、Predatorの販売権を保有し、Intellexa Consortium内の他の事業体を代理して取引を処理していたとされる。
Sara Aleksandra Fayssal Hamou：Intellexa Consortiumの主要な支援者の1人とされ、2024年3月にPredatorの開発・運用・配布をめぐり制裁対象に。

制裁が発動された当時、米当局は商用スパイウェアの拡散が米国とその国民に増大するセキュリティリスクをもたらすと指摘していた。今回上記3名に対する制裁が解除された理由は明かされていない。

デイリーサイバーアラート

Silobreaker-CyberAlert

スパイウェア

プライバシー

スパイウェアメーカーIntellexa、政府のスパイ対象に直接アクセスできていた：研究者が指摘

佐々山 Tacos

2025.12.05

Silobreaker-CyberAlert

スパイウェア

プライバシー

中国のAPTグループMustang Panda、カーネルモードのルートキットを使用

SecurityWeek – December 30, 2025

カーネルモードのルートキットを使用してバックドア「ToneShell」の最新サンプルが配布される事例を、カスペルスキーが観測。このローダーである悪性ドライバーファイルは、アジアに位置するコンピューターシステム上で2025年半ばに発見されたという。

ToneShellは中国のAPTスパイグループMustang Panda（別称：HoneyMyte、Basin、Bronze President、Earth Preta、Red Delta）のツールとして知られており、東南アジア・東アジアの政府組織を狙ったサイバースパイキャンペーンで頻繁に使用されている。

カスペルスキーが発見した悪性ドライバーファイルはGuangzhou Kingteller Technology Co., Ltd.のデジタル証明書で署名されており、ユーザーモードのシェルコードを2つ含んでいる。これらは別々のスレッドとして実行され、ドライバーのモジュールとバックドアのインジェクト先となるユーザーモードのプロセスを保護するよう設計されているという。

カスペルスキーは同ドライバーが2つのユーザーモードのペイロードを配布するのを確認している。最初のペイロードはsvchostプロセスを生成し、遅延を引き起こすシェルコードをそこに注入。一方、2つ目のペイロードは最終段階のコンポーネントであるToneShellバックドアで、生成されたsvchostプロセスに注入される。

ToneShellがカーネルモードのローダーにより配布されるのを観測したのは今回が初めてだとカスペルスキーは報告。この配布方法により、ユーザーモードのモニタリングからバックドアが保護され、セキュリティツールから自身のアクティビティを隠すドライバーの性能が活かされていると指摘した。

Shai-Huludの新たな改変版がnpmレジストリで見つかる、攻撃者がペイロードをテストか

The Hacker news – Dec 31, 2025

自己拡散するワームマルウェアShai Huludの新たな亜種とみられるものがnpmレジストリ上で見つかったと、Aikidoのサイバーセキュリティ研究者が報告。この亜種は、2025年11月に観測されたShai Hulud第2弾に軽微な改変を加えたものだという。

新種のShai Huludが埋め込まれたnpmパッケージは「@vietmoney/react-big-calendar」で、2021年3月に「hoquocdat」というユーザーによりアップロードされたもの。その後2025年12月28日に初めてアップデートが行われ、バージョン0.26.2へと更新された。

同パッケージは最初の公開時から698回ダウンロードされているものの、最新版のダウンロード回数は197回。Aikidoによれば、同パッケージがリリースされて以降、大規模な拡散や感染は発見されていないという。このため同社は、「攻撃者がペイロードをテストしている」可能性があると指摘。また、模倣者の仕業である可能性は極めて低く、Shai Huludのオリジナルのソースコードにアクセスできる者が関与しているとの見方を示した。

Shai-Huludを用いたサプライチェーン攻撃は2025年9月に初めて明るみになり、その後11月に「第2波」の発生が報告されていた。

Shai-Huludのサプライチェーン攻撃、Trust Walletから850万ドル強奪される事態招く

SecurityWeek – December 31, 2025

暗号資産ウォレットTrust Wallet（トラストウォレット）から850万ドル相当が盗み出された事件の根本原因は、自己拡散ワームマルウェアShai-Huludのバージョン2.0にあることが明らかになった。

Trust Walletは12月25日、同社ウォレットのChrome向け拡張機能のバージョン2.68を使用している顧客が、攻撃者の標的になったとアナウンス。ハッカーがこの前日の24日に悪意あるバージョンの拡張機能をリリースしたことにより、12月24日から26日の間にこの悪性バージョンを使って自らのアカウントにログインしたすべてのユーザーが影響を受けることになったという。

これらのユーザーのウォレットのアドレス計2,520件が侵害され、およそ850万ドル相当の資産が攻撃者により盗み出された。Trust Walletとは紐づいていない複数のウォレットアドレスも、資産窃取の被害に遭ったと報告されている。

Trust Walletの発表によれば、この強奪事件の根本原因となったのはShai-Huludのサプライチェーン攻撃。Trust Walletの開発者のGitHubシークレットが同サプライチェーン侵害により漏洩し、攻撃者がソースコードおよびChrome WebストアのAPIキーを入手したことに端を発するという。攻撃者はTrust WalletのChrome拡張機能の悪意あるバージョンを用意し、入手した漏洩APIキーを使ってこれを公開したとされる。

今回のインシデントを受け、すべてのTrust Walletユーザーには、Chrome拡張機能をできる限り早くバージョン2.69にアップデートすることが推奨されている。