ベネズエラへの空襲時、米国はサイバー能力行使により停電を誘発？トランプ氏が仄めかす

2025年12月〜2026年1月：サイバーセキュリティに関する年末年始の話題

ベネズエラへの空襲時、米国はサイバー能力行使により停電を誘発？トランプ氏が仄めかす

Security Affairs – January 04, 2026

米国がベネズエラへの大規模な空襲を仕掛け、マドゥロ大統領とその妻を拘束・連行した頃、首都カラカスの一部地域では停電が発生し、これと関連してインターネット接続が途絶えていたことが確認された。トランプ米大統領は、この停電が米国のサイバー能力またはその他の技術的な能力によって引き起こされたものであることを示唆しているという。

米国は1月3日、国連安全保障理事会の手続きを経ず、また国内での議会の承認も得ることなくこの軍事行動を実施。マドゥロ大統領と妻を拘束し、米国内で刑事訴追するためとしてニューヨークへ移送した。

独立系のインターネットモニタリング団体であるNetBlocksは、米国の軍事行動が行われている最中に発生した停電と関連して、カラカスの一部でインターネット障害が発生していたことを確認。MastodonとXでメトリクスを共有した。

POLITICOの報道によれば、トランプ米大統領は、空襲中に停電を引き起こすため米国が「サイバー攻撃能力またはその他の技術的な能力を使用した」ことを仄めかしたという。同紙の記事には、トランプ氏が3日の記者会見で「（軍事行動時のカラカスは）暗かった、カラカスの街灯は大部分が我々の持つある種の専門技術によって消されていた、暗闇だった」などと述べた旨が記されている。

もし事実であれば、米国が他国に対するサイバー能力の行使を公然と認めたレアなケースになるとPOLITICOは指摘。同紙は加えて、通常こうした作戦は極秘扱いとされていること、米国が世界的に見てサイバー空間作戦において最も先進的な国家の1つとみなされていることにも言及している。

ShinyHuntersがResecurityの侵害を主張も、「攻撃者がアクセスしたのはハニーポット」と同社

HackRead – January 3, 2026

サイバーセキュリティ企業のResecurityは、サイバー犯罪グループShinyHuntersが同社の侵害に成功したと主張したことを受け、攻撃者がアクセスしたのはハニーポットであり、本物のシステムや顧客情報は何の影響も受けていないと伝えた。

ShinyHuntersは1月3日、TelegramチャンネルでResecurityの内部システムへの「フルアクセス」を獲得したとアナウンス。従業員データや内部チャットのログ、脅威インテリジェンスファイル、クライアントデータなどを入手したと主張した。

しかしResecurityによれば、攻撃者がアクセスしたのは、脅威アクターらを騙して不正な活動を記録するために作成されたシミュレーション環境。このハニーポットに含まれていたデータは偽の従業員アカウントやフェイクのアプリなどであり、インフラは実際の業務や顧客とは無関係の孤立したものであると述べた。同社はその証拠として、攻撃者の動きを記録したログなどをHackRead紙に提供している。

同社によれば、実際のクライアントデータやパスワード、OSへの影響は一切ない上、ハニーポットは本番環境から隔離されており、インシデントによる業務への支障や資産の侵害も発生していないとのこと。

GlassWormマルウェアの第4波が襲来、macOSを標的に

BleepingComputer – January 1, 2026

自己拡散するワームマルウェアキャンペーン「GlassWorm」の第4波を、Koi Securityの研究者らが発見。この新たなサプライチェーン攻撃は、Windowsに特化していたそれまでのキャンペーンとは異なり、macOSシステムのみを標的にしているという。

GlassWormマルウェアは2025年10月に初めてVSCode/OpenVSXマーケットプレイスで発見されたマルウェア。インストールされるとGitHubやnpm、OpenVSXアカウントの認証情報の窃取を試みるほか、さまざまな拡張機能から暗号資産ウォレットデータを盗み出そうとする。加えて、Shai Huludのような自己拡散性能も備える。最初にその存在が知られるようになってから防御が強化されたものの、11月にはOpenVSC上で、また12月初頭にはVSCode上でGlassWormの復活が観測されていた。

その後、12月29日にKoi Securityが第4波となるGlassWormキャンペーンについて公表。同社の記事によれば、最初の2波で使われた人間の目には見えないUnicode文字や、第3波で見受けられたコンパイルされたRustバイナリはもう使われなくなっており、新たに AES-256-CBCで暗号化されたペイロードが使用されるようになっているという。このペイロードは、OpenVSXの以下の拡張機能内のコンパイルされたJavaScriptに埋め込まれているとされる。

• studio-velte-distributor.pro-svelte-extension
• cudra-production.vsce-prettier-pro
• Puccin-development.full-access-catppuccin-pro-extension

SolanaブロックチェーンをベースにしたC2メカニズムが採用されている点は前回までのキャンペーンと同様で、これまでとのインフラの重複も確認されている。一方で第4波ではPowerShellの代わりにAppleScriptが使われるようになった点や、永続化のためにLaunchAgentsが使用されるようになった点、新たにキーチェーンのパスワードの窃取を試みるようになった点、Ledger LiveやTrezor Suiteといったハードウェア暗号資産ウォレットアプリをトロイの木馬版に置き換える性能を備えるようになった点などの変更も見られた。

上記の拡張機能をインストールしてしまった開発者には、即座にこれを削除すること、GitHubアカウントのパスワードをリセットすること、NPMトークンを無効化すること、システムに感染の兆候がないか確認すること、また再インストールを行うことが推奨されている。

パキスタン関連のスパイグループがインドの政府や大学を標的に

The Record – January 3rd, 2026

パキスタン関連のハッカーグループAPT36（Transparent Tribe）が、インドの政府機関・学術機関・戦略機関を標的とした新たなサイバースパイキャンペーンを仕掛けていたとCyfirmaが報告。

Transparent Tribeは遅くとも2013年から活動している息の長い脅威アクターで、インドおよびアフガニスタンの政府・軍事組織や、およそ30か国の諸機関を狙ったサイバースパイキャンペーンとの関連が指摘されている。

Cyfirmaによれば、同アクターの最新のキャンペーンはスピアフィッシングメールから始まる。このメールには、悪意あるファイルを含むZIPファイルが添付されており、これを開くと、それぞれ「ReadOnly」「WriteOnly」と名付けられた2つのマルウェアコンポーネントが配布される仕組みになっているという。

これらのマルウェアは被害者システムに密かに潜り込むと、インストールされているアンチウイルスソフトの種類に応じて挙動を調整。リモートで感染したマシンをコントロールし、データを抽出できるほか、スクリーンショットの窃取やクリップボードアクティビティのモニタリング、リモートデスクトップアクセスの有効化など、永続的な偵察行為を可能にする性能を備えている。

クリップボードのモニタリング機能は暗号資産の窃取にも使用可能ではあるものの、このキャンペーンの目的は金銭獲得や活動の妨害といった短期的なものではなく長期的な偵察であるとCyfirmaは指摘。加えて、今回のキャンペーンが国家に結びつくようなインテリジェンス収集の優先事項に沿うものであると述べた。

Transparent Tribeはこれまで、その他のライバルスパイグループほど技術的な高度さを有していないと考えられていたが、Cyfirmaは最新のキャンペーンで同グループの技術的能力の向上が見られたと伝えている。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

OSINT関連レポート

地政学レポート

インテリジェンス要件定義に関するガイドブック

ディープ＆ダークウェブレポート