TeamsフィッシングでA0Backdoor展開、Signalハイジャックキャンペーン、Salesforce Auraが攻撃下
1. Microsoft TeamsフィッシングがA0Backdoorマルウェアを展開
🚨 重大 — 金融・医療セクターを標的とする活発なキャンペーン
脅威アクターがMicrosoft Teamsのメッセージを利用して金融・医療セクターの従業員を標的にしている。Teamsでコンタクトを取った後、攻撃者は被害者を説得してWindows正規のリモートサポートツールであるQuick Assistによるリモートアクセスを許可させる。接続後、これまで文書化されていなかったバックドアA0Backdoorを展開する。
この攻撃チェーンはソーシャルエンジニアリングの巧妙さが特徴的だ。攻撃者はITサポート担当者になりすまし、セキュリティ上の問題があると偽って緊急性を演出する。A0Backdoorは持続的アクセス、認証情報の窃取、ラテラルムーブメント機能を提供する。
対応措置:グループポリシーでQuick Assistの使用を制限する。不審なTeamsサポート要求について従業員教育を実施する。異常なリモートアクセスツールのアクティビティを監視する。
2. Google:クラウド攻撃が認証情報から脆弱性の悪用へシフト
Googleの最新脅威インテリジェンスレポートは、クラウド攻撃戦術の重大な変化を明らかにした。ハッカーは初期クラウドアクセスにおいて、弱い認証情報や盗まれた認証情報に頼るのではなく、サードパーティソフトウェアの新たに公開された脆弱性をますます悪用している。
最も懸念される発見は、脆弱性の公開から積極的な悪用までの時間が数週間からわずか数日に短縮されたことであり、時には数時間の場合もある。これはセキュリティチームに即座のパッチ適用を求める大きなプレッシャーとなっている。
| 指標 | 以前 | 現在 |
|---|---|---|
| 悪用までの平均時間 | 2〜4週間 | 1〜3日 |
| 主要な初期アクセスベクター | 窃取された認証情報 | 脆弱性の悪用 |
| サードパーティソフトウェアの関与 | 中程度 | 主要ターゲット |
3. ロシアGRUハッカーがSignal・WhatsAppアカウントをハイジャック
🚨 国家支援型 — オランダ政府の警告
オランダ政府は、GRU(ロシア軍事情報機関)に関連する進行中のロシア国家支援型フィッシングキャンペーンについて正式な警告を発した。このキャンペーンは政府高官、軍人、ジャーナリストを標的とし、彼らのSignalおよびWhatsAppアカウントのハイジャックを試みている。
攻撃者は巧妙なソーシャルエンジニアリングを使用して標的を騙し、メッセージングアカウントを攻撃者が管理するデバイスにリンクさせる。アカウントが侵害されると、攻撃者は暗号化された会話、連絡先、共有メディアへの完全なアクセスを得る。
対応措置:SignalおよびWhatsAppの設定でリンクされたデバイスを確認する。Signalで登録ロックを有効にする。重要な人員にこの特定の脅威についてブリーフィングを行う。
4. エリクソン米国子会社のデータ侵害
エリクソンの米国子会社がサードパーティサービスプロバイダーの侵害に起因するデータ侵害を公表した。従業員および顧客のデータが窃取され、個人を特定できる情報が含まれていた。
この事件はサプライチェーン攻撃の持続的リスクを浮き彫りにしている。自組織のセキュリティがいかに堅牢であっても、ベンダーやサービスプロバイダーが弱点になり得る。
5. ShinyHuntersがSalesforce Auraの脆弱性を悪用
⚠️ 積極的悪用中 — Salesforce Experience Cloud
悪名高いShinyHunters恐喝グループがSalesforce Experience Cloud(Auraフレームワーク)の新たなバグを積極的に悪用し、設定ミスのあるインスタンスからデータを窃取している。公開されたSalesforce Experience Cloudサイトを持つ組織は直接的なリスクにさらされている。
ShinyHuntersは大規模なデータ侵害の実績があり、通常は窃取したデータの漏洩を脅して被害者を恐喝する。Salesforce Auraの脆弱性は、インスタンスの設定が不適切な場合に機密レコードへの不正アクセスを可能にする。
対応措置:Salesforce Experience Cloudの設定を直ちに監査する。ゲストユーザーの権限を確認する。予期しないデータアクセスパターンがないか確認する。
6. 悪意あるnpmパッケージがOpenClawを偽装
@openclaw-ai/openclawaiという名前の悪意あるnpmパッケージが正規のインストーラーを装って発見された。このパッケージはリモートアクセストロイの木馬(RAT)を展開し、macOSシステムから以下を含む機密データを窃取する:
- システム認証情報とキーチェーンデータ
- ブラウザのCookieと保存されたパスワード
- 暗号通貨ウォレットファイル
- SSH鍵と設定
- iMessage履歴
このパッケージは検出前に178回ダウンロードされていた。これはパッケージマネージャーへの信頼を悪用した典型的なサプライチェーン攻撃である。
7. 北朝鮮のUNC4899が暗号通貨企業に侵入
Google Mandiantは暗号通貨企業への侵入を北朝鮮の脅威グループUNC4899(TraderTraitorとしても知られる)に帰属させた。攻撃者はトロイの木馬化されたAirDropファイルで標的を侵害し、その後リビングオフザクラウド技術を使用してクラウドインフラストラクチャへ展開した。正規のクラウドサービスを悪用して通常のアクティビティに紛れ込む手法だ。
これは北朝鮮のサイバー作戦の進化を示しており、クラウドネイティブ攻撃技術における洗練度の向上を実証している。
8. Chrome拡張機能が所有権移転後に悪意ある動作
2つのChrome拡張機能が新しい開発者への所有権移転後に悪意あるものに変化したことが判明した。新しい所有者がコードインジェクションとデータ窃取を可能にするアップデートをプッシュし、自動更新を有効にしていたユーザーが影響を受けた。
対応措置:組織全体でブラウザ拡張機能を監査する。拡張機能のホワイトリストを実装する。予期しない拡張機能のアップデートを監視する。
9. Cisco Catalyst SD-WAN CVE-2026-20127が広範な攻撃下
🚨 重大CVE — 活発な大規模悪用
Cisco Catalyst SD-WANの重大な脆弱性(CVE-2026-20127)が現在、多数のIPアドレスから広範な攻撃を受けている。影響を受けるCisco SD-WANインフラストラクチャを運用している組織は直ちにパッチを適用するか、緩和策を実施すべきである。
対応措置:Ciscoのセキュリティアドバイザリのパッチを直ちに適用する。パッチ適用が不可能な場合は推奨される回避策を実装し、侵害の兆候を監視する。
10. ClickFix攻撃がWindows Terminalで進化
ClickFixソーシャルエンジニアリング手法が進化した。攻撃者は現在、従来の「ファイル名を指定して実行」ダイアログではなく、Windows Terminalに悪意あるコマンドを貼り付けるよう被害者に指示する偽のCAPTCHAページを使用している。この回避技術は「ファイル名を指定して実行」ダイアログを監視する複数のセキュリティコントロールをバイパスする。
Windows Terminalへの移行は重要である。より強力な実行環境を提供し、レガシーのエンドポイント検知ツールでは監視されていない可能性がある。
11. その他のヘッドライン
| ニュース | 影響 |
|---|---|
| FBIが監視システム侵害を調査 | FBIが機密監視情報を含むシステム上の不審なサイバー活動を調査 |
| CISAがiOSの脆弱性をKEVに追加 | CorunaエクスプロイトキットがiOS 13〜17.2.1の23の脆弱性を標的に;国家レベル |
| 米国サイバー戦略アップデート | 敵対者への対抗、重要インフラ保護、AI/ポスト量子暗号を対象とする新戦略 |
KENSAIによる保護
✅ リアルタイムCVE監視 — CVE-2026-20127およびすべての重大な脆弱性を公開後数時間以内に追跡
✅ サプライチェーン分析 — 偽のOpenClaw npmインストーラーのような悪意あるパッケージを検出
✅ クラウド設定監査 — ShinyHuntersより先にSalesforceの設定ミスを特定
✅ 継続的攻撃対象領域管理 — すべてのベクターにわたるエクスポージャーを監視
推奨アクション
- 即座に:Cisco SD-WAN CVE-2026-20127にパッチを適用。グループポリシーでQuick Assistを制限。
- 本日中:Salesforce Experience Cloudの設定を監査。Signal/WhatsAppのリンクされたデバイスを確認。
- 今週中:組織全体のブラウザ拡張機能を監査。npm依存関係の悪意あるパッケージを確認。
- 継続的:継続的な脆弱性管理を実装。Teamsフィッシングとand ClickFix手法についてスタッフに教育。
安全を保ちましょう。警戒を怠らずに。
🗡️ KENSAIセキュリティチーム