ハッキング被害のKlueを別グループが脅迫、元々の実行犯は盗んだデータを削除へ

nosa

2026.06.26

ハッキング被害のKlueを別グループが脅迫、元々の実行犯は盗んだデータを削除へ

TechCrunch – June 25, 2026

カナダの市場調査会社Klueは24日、約2週間前に発生したデータ侵害の実行犯とされるハッカーグループと連絡を取り合っていることを明らかにした。同社が顧客向けに発表した非公開情報によると、脅威アクターIcarusとされる攻撃者は盗んだデータを削除する意向を示しているそうだ。

Klueは12日にIcarusの侵入を許し、不特定多数の顧客データが大量に盗まれたことを22日に発表していた。Icarusは当初、このデータを公開するとKlueを脅していたものの、今ではこれを削除する方向に動いている模様。実際にその兆候も確認されているといい、TechCrunchが25日朝に確認したところ、IcarusのWebサイトはダウンしており、Klueから非公開で伝えられた情報とも一致するという。

しかし、このインシデントはここ数日でより複雑化しており、Klueによると、Icarusが別のハッカーグループの存在を明らかにし、こちらのグループがKlueの顧客を直接脅迫しようとしていることも判明した。名称不明のこのハッカーグループは、被害を受けたとされる企業のリストを自らのリークサイトに掲載。Klueの顧客データはIcarusから直接盗んだと主張しているようだ。

このハッカーグループの話によると、「英国またはその近隣諸国に住むIcarusの10代のオペレーター」がミスを犯したため、Klueから盗んだデータを保管していたサーバーにアクセスできたとのこと。被害を受けたKlueの顧客は195社に上ると主張している。

25日にKlueがリリースした顧客向けの最新情報には、Icarusが保有しているのはデータのすべてではなく、一部顧客のデータサンプルに過ぎない上、この新たなハッカーグループに身代金を支払わないよう、Klueの顧客に周知することをIcarus側が求めているという。

デイリーサイバーアラート

Silobreaker-CyberAlert

サードパーティ

サプライチェーン

サードパーティアプリ連携を悪用したSalesforceデータの窃取キャンペーンがまたも発生

佐々山 Tacos

2026.06.22

Silobreaker-CyberAlert

サードパーティ

サプライチェーン

macOS向けの新種マルウェア、偽のエラーを埋め込みAI分析ツールの撹乱図る

BleepingComputer – June 25, 2026

macOS向けの新種マルウェア「Gaslight」について、SentinelOneが詳述している。

Gaslightは北朝鮮系脅威アクターの関与が疑われるマルウェアで、実行ファイル内にプロンプトインジェクション文字列や偽のデバッグデータを隠蔽し、AI支援型分析ツールに分析エラーやその他の問題が発生していると誤認させること（いわゆる「ガスライティング」）を意図している。これによってツールが分析を中断したり、出力を切り捨てたり、あるいは分析プロセスが妨害されたりする可能性があるようだ。

マルウェア自体はRustで記述されたバイナリであり、同様のマルウェアによく見られるバックドア機能や情報窃取機能を備えている模様。大きな特徴としては、38種類の偽「システム」メッセージを含む3.5KBのペイロードがバイナリに直接埋め込まれている点を挙げている。

これらの偽メッセージは開発者ログやクラッシュレポート、デバッグ出力、プログラムアラートなどを装っており、Markdown形式やテンプレート風のプレースホルダーを使用することで正規の分析データのように見せかけているそう。具体的には捏造されたメモリダンプ、トークン有効期限切れの警告、Redis接続失敗、ビルドパイプラインのエラー、SQLインジェクションの警告など、マルウェアの実際の動作とは無関係なメッセージを指す。

このマルウェアファミリーを『macOS.Gaslight』と命名したSentinelOneによると、こうした文字列はプロンプトインジェクションの一種であり、LLM（大規模言語モデル）を活用した分析パイプラインに対し、自身のセッションの正当性を疑わせたり、サンプルの分析継続を拒否させたりするように仕向けることを意図したものだという。なお、この手法でAI支援型の分析プラットフォームを回避できることが実証されたわけではないそうだ。