-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
Microsoft Azure Monitorのアラート機能、コールバックフィッシング攻撃で悪用される
BleepingComputer – March 21, 2026
マイクロソフトのモニタリングサービス「Azure Monitor」のアラート機能が、コールバックフィッシングメールの送付に悪用されているとの報道。マイクロソフトのセキュリティチームを騙るこのメールは、ターゲットユーザーのアカウントに不審な請求があったなどと伝えて電話での問い合わせを促す内容になっているという。
Azure MonitorはAzureリソース・アプリケーション・インフラからデータを収集・分析し、不具合や異常・請求に関する変更事項・パフォーマンス状況などを監視するクラウドベースのサービス。今回の攻撃者は、監視対象のアプリやインフラに異常が発生した場合にアラートを発行する機能を悪用してフィッシングメールを送信している。
フィッシングメールの内容は、ターゲットユーザーのアカウントで不審な請求やインボイスの操作などが行われた可能性について警告するもの。アカウント停止や追加料金の発生を回避するためにはすぐに確認が必要だと危機感を煽り、支払いに身に覚えがない場合は「マイクロソフトアカウントセキュリティサポート」まで電話で連絡するよう促す文面が続いている。
攻撃者はAzure Monitorで新規注文・支払いの実施・インボイスの作成など、些細な請求関連の動きで発行されるアラートを作成。Azure Monitorでアラートを作成する際には、作成者が自由にアラートメッセージを入力することが可能なため、攻撃者はここで前述のような電話での問い合わせを促すフィッシングメッセージを設定する。その後、攻撃者が所有するメーリングリストと思われるものを通じてターゲットユーザーへアラートメール(フィッシングメール)が送られる仕組み。 Redditでは、ここ1か月ほどで複数のユーザーがこのようなAzure Monitorアラートを受信した旨を投稿している。
これらのフィッシングメールは、正規のメールアドレス「azure-noreply@microsoft.com」を使ってAzure Monitorから直接送信されており、なりすまし用ドメインなどが使われているわけではない。このためメールセキュリティチェック(SPF、DKIM、DMARC)も問題なくクリアし、信頼できるメールのように見えるという。
このコールバックフィッシングキャンペーンについて報じたBleepingComputerは、メッセージに記載された電話番号に連絡していないため実際に問い合わせた後に攻撃者がどのようなアクションを取るのかは不明としつつも、「過去のコールバックフィッシングキャンペーンは、認証情報の窃取や支払いに関する詐欺、リモートアクセスソフトウェアのインストールに発展していた」として注意を促した。
電話での問い合わせを促したり、請求の問題について早急に解消するよう伝える内容のAzureやその他のマイクロソフト関連のアラートを受け取ったユーザーには、当該メッセージを不審なものとして扱うことが推奨される。
ボットネットAisuru、KimWolf、JackSkid、Mossadのドメインとインフラを米当局が差し押さえ
米国・ドイツ・カナダの法執行機関が協力し、4つの大規模ボットネットAisuru、KimWolf、JackSkid、Mossadの使用するインフラを差し押さえたという。
Aisuru、KimWolf、JackSkid、Mossadはいずれも、マルウェアに感染したIoTデバイスなどから構成される。全ボットネットを合わせると、感染していたデバイスの台数は300万台ほどあったとされる。
ボットネットの運用者はこれらのデバイスへのアクセス権を売りに出し、サイバー犯罪者らはDDoS攻撃を実施したり、自らの犯罪行為を隠蔽したりする目的でこのアクセス権を購入していたものとみられる。各ボットネットにより発せられたDDoS攻撃コマンドの数は、Aisuruが200,000件超、Kimwolfが25,000件超、JackSkidが90,000件超、Mossadが1,000件超だったと当局は伝えている。
今回の法執行作戦では、米国で登録された複数のインターネットドメイン、仮想サーバー、およびインフラが差し押さえられた。このテイクダウンに関連して逮捕者が出たかどうかは明かされていないものの、2026年2月には、サイバーセキュリティジャーナリストのBrian Krebs氏が、これらのボットネットの運営者のうち少なくとも1人はカナダ在住者であるとの調査結果を報告していた。
Langflowの重大なRCE脆弱性、公開から数時間で悪用が始まる:CVE-2026-33017
人気のAIエージェント開発ツール「Langflow」における重大な脆弱性CVE-2026-33017が、開示から20時間足らずで攻撃に悪用され始めたという。Sysdigが報告した。
Langflowは、AIエージェントやワークフローを作成・開発するためのオープンソースフレームワーク。GitHubのスター数は145,000件超で、フォークの数は8,000件を超える。
CVE-2026-33017は認証不要のリモートコード実行の脆弱性で、認証を必要としないパブリックフローの作成を可能にするPOSTエンドポイントに影響を与える。この問題により、オプションの「data」パラメータが提供された場合、当該エンドポイントはデータベースに保管されたフローデータではなく、攻撃者の提供するフローデータを使用してしまう恐れがある。このコードはサンドボックスなしで実行され、認証なしでのRCEに繋がるという。
Sysdigは、この脆弱性が一般開示されてから数時間後には、脅威アクターによる悪用が始まったと伝えている。同社は、最初の攻撃の時点では、GitHub上に公開PoCリポジトリは存在していなかったと報告。「攻撃者が追加のリサーチなしで有効なエクスプロイトを構築するのに十分な情報(脆弱なエンドポイントパスやフローノード定義を通じたコードインジェクションのメカニズム)」が脆弱性のアドバイザリ自体に含まれていたと指摘した。
Sysdigは脆弱性開示から48時間以内に6つのIPから悪用試行が行われるのを観測。悪用の目的は、接続されたデータベースにアクセスするための鍵や認証情報の窃取であるとされ、サプライチェーン攻撃の下準備を行っている可能性が指摘されている。
CVE-2026-33017は3月17日にリリースされたLangflowバージョン1.8.1で修正されている。利用者には、早急なアップデートが推奨される。
【Eブック無料配布中:Codebook 2025 ~サイバーセキュリティ分析レポート~】
Codebookの記事が、Eブックになりました。サイバーセキュリティの2025年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。
無料ダウンロードはこちらから:
その他の無料配布中レポート
地政学レポート
【最新版】インテリジェンス要件定義に関するガイドブック
-300x200.png)
OSINT関連レポート
ディープ&ダークウェブレポート
