masahito alphonse fujishima

【利用登録不要＆無料】これまでPDF版として公開してきた「ランサムウェアマップ」を、世界中のランサムウェア攻撃グループの関係性が動的に分析可能なWebアプリ「CIG Ransomware Information Portal」として本日新たに公開しました。 公開時点で400以上のランサムウェア攻撃グループの情報を収録しています。 従来のPDF版は国内外の多くの皆様からご好評いただいてきましたが、更新頻度が年に1〜2回程度となっており、急速に変化するランサムウェアの脅威動向に対して即時性に課題がありました。 一年以上の開発期間を経てWebアプリへと生まれ変わり、動的に更新可能となったことで、新たな攻撃グループが確認され次第、リアルタイムに情報を追加・更新していきます。 【主な特長】 ● インタラクティブな操作性：クリックや検索、自由な操作で攻撃グループの関係性や各種情報を直感的に把握可能 ● 様々な分析レイアウト：従来の時系列表示に加え、母集団でのグルーピングや、個別分析など、目的に応じた整理・分析が可能 ● リアルタイム更新：新たな攻撃グループの出現や既存グループの動向変化にあわせ随時反映予定 ● ランサムノートのデータベースを新搭載：各攻撃グループの概要文と身代金メモ（ランサムノート）のデータベースを作成・統合。任意のキーワードで横断検索が可能 Webアプリ化により、静的なPDF版では難しかった動的な操作が可能となり、注目するグループを自由に配置しながら関係性を探索したり、目的に応じてレイアウトを切り替えて分析するなど、より実践的な活用ができるようになりました。 また、新たに搭載した身代金メモ（ランサムノート）のデータベースにより、インシデント対応時に被害環境で発見された身代金メモの特徴から、ランサムウェア攻撃グループを迅速に絞り込むといった用途にもご活用いただけます。 ランサムウェア界隈では、法執行機関による取り締まり強化の一方で、RaaSの普及やビルダー・ソースコードの流出、リブランドやメンバーの移動により、攻撃グループ間の関係性や変遷は非常に複雑化してきています。 こうした状況を俯瞰し、全体像を見渡すことは脅威を把握するうえで重要な観点の一つとなります。 本ポータルが、そうしたランサムウェアに関わる様々な脅威情報の把握において、少しでも皆様の一助となれば幸いです。 ※なお、こうした無償での一般公開や運用の継続は皆様の応援によって支えられています。 ぜひリポストやご紹介などで広めていただけると大変励みになります。 ※本Webアプリは膨大な情報量を扱うため、パソコン（フルHD以上推奨）での閲覧を前提として設計しています。スマートフォンでの閲覧は推奨しておりません。 ▼ CIG Ransomware Information Portal https://t.co/y8QH6E6SVB

米国国立標準技術研究所は2026年3月、サイバーセキュリティと企業リスク、人材管理を統合する新指針SP1308を公開した。急速に進化する脅威に対応するため、組織の人材能力を動的に適応させる必要性に焦点を当てた内容である。 本指針は、技術部門と人事、経営層の分断を解消し、人的リソース不足やスキル欠如そのものを重大なセキュリティリスクと位置付ける点が特徴である。CSF 2.0、NICEフレームワーク、IR 8286を統合し、リスク評価と人材戦略を一体化する枠組みを提示した。導入は5段階で構成され、高価値資産の特定、リスク情報収集、現状と目標の可視化、ギャップ分析、戦略的対応の実行を循環的に行う。対策としては既存人材の育成、役割再設計、専門人材の採用、外部委託の活用が挙げられ、継続的な評価と調整を通じて企業全体のリスク低減を図るとしている。 https://t.co/CGxqG4TAOg

近年のランサムウェア攻撃では、脆弱性を持つ正規のドライバーを悪用し、ドライバーが持つ高い権限で、暗号化前にEDRを無効化する種のツール「EDR killer」の利用がいまや一般的になっていますが、実際の侵害で使われた約90種類のEDR killerを分析し、脆弱なドライバーの悪用にとどまらず、ドライバーレスのツールや地下市場の商用キット、RaaSアフィリエイトごとの使い分けまで含む広いエコシステムになっていることを示す分析が公開されています。 脆弱なドライバーは共有部品のように当然どの攻撃ツール作者でも利用できるため、開発上の関連がないEDR killer間で同じドライバーが繰り返し使われている状況。 逆に同一ツールが別のドライバーに乗り換える事例もあり、ドライバーだけを手がかりにした攻撃グループの特定は誤った結論を導きやすいとの指摘。 EDR killerを選ぶのは、例外はあり得るものの、RaaS（Ransomware as a Service）のオペレーターではなくアフィリエイト側であり、アフィリエイトプールが大きいほどツールの多様性も増すという構図。 こうした分業の実態を踏まえないとアトリビューションを見誤るというのが焦点です。 【調査の要点】 ・ESETのテレメトリと実際のインシデント調査に基づく分析。約90のEDR killerを追跡しており、主な内訳として54がBYOVD（Bring Your Own Vulnerable Driver＝正規だが脆弱なドライバーを持ち込んで悪用する手法）ベース、15がアンチルートキット等の正規ツールの転用、7がスクリプトベース ・ダークネット上で商用EDR killerが複数流通している。DemoKillerはQilin、Akira等のアフィリエイトが利用。ABYSSWORKERルートキットとローダーを組み合わせたAbyssKillerはMedusa、DragonForce等で確認。CardSpaceKillerはVX Cryptというパッカーで保護されAkira、Medusa、Qilin、Crytox等の侵害で検出 ・ドライバーレスのEDR killerも台頭。EDRSilencerはEDRとバックエンド間の通信を遮断し、EDR-FreezeはEDRプロセスをハング状態に追い込む。カーネルに触れない手法であるぶん検出が難しく、数日のうちにランサムウェア攻撃への投入が確認されている ・Warlockが使用したEDR killerのコード内に、AI支援で作られた可能性を強く疑わせるコードが含まれていた。修正候補リストの自動出力や、特定のドライバーを狙わず複数のデバイス名を総当たりで試す実装が確認されている ・検出回避の高度化はランサムウェアの暗号化本体ではなくEDR killer側で目立つ。パッカー、コード仮想化、暗号化された埋め込みドライバー、パスワード保護といった手法が、特に商用EDR killerで広く見られる ドライバーのロードをブロックする防御は有効な一手ではあるものの、攻撃者が高権限を確保した後の最終段階でしか効かず、失敗すれば別のツールに切り替えられるだけとレポートは指摘しています。 業務ソフトが使う正規ドライバーまで止めると業務影響も出るため、ドライバーブロック一本足ではなく、EDR killerの実行前に侵入を検知・封じ込める多層的なアプローチが防御側には求められる内容です。 https://t.co/94e3zWjBqs

【注意喚起】2FAしてても乗っ取られます タイムリーに自分も同じ手法で知り合いのアメリカ人が乗っ取られたTelegramアカウントから連絡が来ました。 自分の時はTeamsだったので、Zoomだけが危ないと盲目的になってる人はやられます。 過去にソーシャルエンジニアリングで、日本人が主な標的じゃないのは言語の壁だったけど、AIのお陰で狙いたい放題、経験もないので、めちゃやられそう。 —- この1か月で、ビットコイン仲間のうち10人以上がハッキングされました。全員が2FA（2段階認証）を有効にしていましたが、役に立ちませんでした。危うく私も同じ手口でやられかけたので共有します👇 どうやって騙してくるか 1️⃣ 連絡先にいる「知り合い」から、通話の日程調整の連絡が来ます。実はその時点で、相手のアカウントは既に乗っ取られています。あなたより先に詐欺に遭った友人（のアカウント）です。 2️⃣ まずカレンダー招待を送ってきます。次に、通話直前になってZoomリンクを送ってきます。パッと見は本物に見えます。プレビューも本物のZoomと同じに見えます。トリックは微妙で、「ホスト名」と「サブドメイン」が入れ替わっています。 これが私に送られてきた偽Zoomリンクです。本物のZoomリンクなら、ドット（.）の前後にある2つの単語の位置が逆になります。 👀 https:// zoom (DOT) webus05. us/j/47369507762?pwd=7kiAzRm6PNBvNFdBBEY04cr6LLzHPk.1 注意して見れば分かりますが、かなり見落としやすいです。特に、信頼している相手から来ると。 3️⃣ 偽のZoomアプリは見た目が完璧です。本物のZoom UIを完全にコピーしていて、怪しい点がありません。 4️⃣ しかも、すぐに「友人」がビデオに映ります。これはディープフェイクではありません。あなたの友人が、直前のセッションで詐欺に遭う直前（数秒前）に撮られた録画が流されています。だから違和感がなく、信じてしまいます。 どうやって支配権を取るか 5️⃣ 偽Zoomアプリが「音声が壊れている」と表示し、アップデートを求めてきます。 6️⃣ アップデートは「失敗した」と表示され、コマンドラインでのトラブルシューティング手順が出てきます。 ⚠️7️⃣ そのコマンドをターミナルに貼り付けた瞬間、終わりです。攻撃者にPCのリモートアクセス権を渡したのと同じです。 どうやって奪うか 8️⃣ リモートで入れられるマルウェアは単純で高速です。1〜2秒で終わります。 だいたい次の2つをやります： A) PC内のビットコインウォレットをスキャンして、アクセスを奪う。 ⚠️B) チャットアプリの「セッションクッキー」を盗む。これで後から2FAを突破されます。 5歳児にも分かる「セッションクッキー」説明（ELI5） 例えば、ノートPCでTelegramにログインするとき、最初にパスワードと2FAを一度入力します。するとTelegramは、毎回入力しなくて済むように「セッション用トークン」をPCに保存します。これは要するに「さっきパスワードと2FAを通した本人だよね？」という通行証です。攻撃者がこれを盗むと、その通行証をTelegramに提示できてしまい、Telegram側は「有効なセッションだ」と判断してログインを許します。 だから攻撃者は、あなたのパスワードも2FAコードもいりません。攻撃者が“あなた本人”になってしまうのです。 誰かにPCへアクセスされてしまったら、基本的に終わりです。そこから先は「被害をどこまで抑えるか」の局面になります。 私の鉄則 人生は短くて美しい。クライアントとの通話程度の用事で、コマンドラインのトラブルシューティングに手を出す価値はありません。 怠けよう。安全にいよう。

EUで新たな脆弱性データベースが公開され、米国主導のCVE制度への依存を減らす動きが本格化した。分散型の仕組みにより、識別子の迅速な公開が可能となり、欧州主導の対応力強化が期待されている。 新データベースhttps://t.co/lWYkPrkutWは、Global Cybersecurity Vulnerability Enumerationにより設立され、ルクセンブルクのComputer Incident Response Centre Luxembourgが運営を担う。GCVEは、米国のCVE Programに代わる分散型モデルを採用し、中央承認を待たずに脆弱性識別子を割り当て可能とする点が特徴だ。2025年に米CVEの資金停止騒動が起きたことを背景に、単一制度依存のリスクが議論されてきた。専門家は、EU内外のサイバー耐性を高める前向きな取り組みと評価する一方、既存CVEとの互換性維持が重要だと指摘している。 https://t.co/t8RWeHvCGK

🇯🇵Well done, Japan: a lesson in clear and proactive cyber communication As many of you have noticed, in recent months there has been a worrying increase in cyberattacks targeting Japanese companies, both from organized cybercriminal groups and independent hackers. However, this unfortunate trend has also shown how remarkably Japan is handling cybersecurity communication. Companies are demonstrating an excellent approach by informing the public quickly, clearly, and transparently about the incidents they face, often sharing technical details on how the attack occurred. This level of openness not only helps stakeholders stay informed but also contributes to raising cybersecurity awareness across the entire corporate ecosystem, encouraging other organizations to strengthen their defenses. One notable example is Mino Kogyo Co., Ltd., a manufacturing company that not only disclosed the incident but also provided a detailed timeline and clear explanation of how it unfolded. Even though no company can be completely immune to cyber threats, this kind of transparency and responsibility can significantly reduce the overall impact of an attack and help the entire community learn and improve. Well done, Japan. Hackmanac Team