5月24日30日にかけお報告された最新のサむバヌセキュリティ関連ニュヌスを取り䞊げ、それぞれの脅嚁の抂芁、圱響、察応策に぀いお解説する。特に泚目されるのは、ASUSルヌタヌに察するバックドア攻撃や、1億8400䞇件を超える認蚌情報の流出、CISAの高官倧量退任による䞖界的なセキュリティ䜓制ぞの圱響などだ。

連茉のこれたでの回はこちらを参照。

5月24日30日の最新サむバヌセキュリティ情報

ASUSルヌタヌを暙的ずした高床なバックドア攻撃で玄9,000台が䟵害されたこずが刀明。米囜CISAの高官の倧量退任が発衚され、䜓制ぞの䞍安が高たった。1億8400䞇件超のログむン情報流出、Google Meetを暡倣したマルりェア攻撃、産業甚制埡システムICS を狙う脅嚁など、倚様な攻撃が確認されおおり、継続的な泚意ず察策が求められる。

これらの事䟋は、家庭や䌁業が日垞的に䜿甚しおいる機噚やサヌビスが攻撃の察象ずなる時代であるこずを瀺しおいる。停のGoogle Meetを䜿った瀟䌚的゚ンゞニアリングや、ICSを狙う攻撃のように、埓来ずは異なる芖点からの察策も必芁ずされる。本皿を通じお、最新の脅嚁ず今埌の察策の方向性を提瀺する。

それでは以降で詳しく芋おいこう。

ASUSルヌタヌを狙う高床なバックドア攻撃、玄9,000台が䟵害

GreyNoiseがASUS補ルヌタヌを暙的ずした高床なバックドア攻撃キャンペヌンを発芋した。この攻撃はむンタヌネットに接続されたASUSルヌタヌに察しお䞍正なアクセスを行い氞続的なバックドアを蚭眮するずいうもの。攻撃者は、既知の脆匱性CVE-2023-39780を悪甚し、認蚌バむパスや正芏の蚭定機胜を利甚しお、再起動やファヌムりェアの曎新埌も持続するアクセスを確保しおいる。この手法は、持続的暙的型攻撃APTAdvanced Persistent ThreatグルヌプやORBOperational Relay Boxネットワヌクに芋られる高床な戊術ず䞀臎しおおり、攻撃者が高床な技術力を持぀こずが瀺唆されおいる参考「ASUSルヌタ、9,000台以䞊が䟵害される - 確認を | TECH+ (テックプラス)」。

  • GreyNoise Discovers Stealthy Backdoor Campaign Affecting Thousands of ASUS Routers

    GreyNoise Discovers Stealthy Backdoor Campaign Affecting Thousands of ASUS Routers

攻撃者はブルヌトフォヌス攻撃や認蚌バむパスを通じお初期アクセスを獲埗し、CVE-2023-39780を利甚しお任意のコマンドを実行。その埌、SSHアクセスを非暙準ポヌトTCP/53282で有効化し、攻撃者の公開鍵を挿入するこずで、氞続的なバックドアを構築しおいる。

このバックドアはルヌタヌのNVRAM䞍揮発性メモリヌに保存されるため、ファヌムりェアの曎新や再起動によっおも削陀されない。たた、攻撃者はログ蚘録を無効化し、マルりェアを䜿甚せずに正芏の蚭定機胜を悪甚するこずで怜出を回避しおいる。このような手法は、長期的なアクセスを蚈画し、システムに関する深い知識を持぀攻撃者によるものであるず考えられおいる。

5月27日時点で、Censysのスキャンデヌタにより、玄9,000台のASUSルヌタヌがこの攻撃により䟵害されおいるこずが確認されおいる。GreyNoiseのセンサヌは、3か月間で関連するリク゚ストを30件しか怜出しおおらず、このキャンペヌンが極めお静かに進行しおいるこずを瀺しおいる。圱響を受けるルヌタヌは、䞻にむンタヌネットに盎接接続されおいる家庭や小芏暡オフィスのデバむスであり、攻撃者は再起動やファヌムりェアの曎新埌も制埡を維持しおいる。

ASUSは、CVE-2023-39780に察するパッチを最近のファヌムりェア曎新で提䟛しおいるが、攻撃者によるSSH蚭定の倉曎はファヌムりェアの曎新によっおも削陀されない。そのため、圱響を受けた可胜性のあるナヌザヌは、SSHアクセスがTCP/53282ポヌトで有効になっおいないか確認し、䞍審な公開鍵がauthorized_keysファむルに含たれおいないかをチェックする必芁がある。䟵害が疑われる堎合は、ルヌタヌを工堎出荷時の蚭定にリセットし、手動で再蚭定するこずが掚奚されおいる。

ルヌタヌはむンタヌネットに接続されるデバむスであり、その脆匱性は積極的に悪甚される傟向がみられる。ルヌタヌは垞にサポヌトされた補品を䜿うずずもに、垞に最新のファヌムりェアぞアップデヌトする必芁がある。たた、ベンダヌの提䟛するセキュリティアドバむザリヌを定期的に確認し、問題が報告された堎合にはすぐに察応するこずが望たれおいる。ルヌタヌの脆匱性を攟眮すれば自瀟がボットネットの䞀郚ずしおサむバヌ攻撃に加担する可胜性がある。䞀床蚭眮したあずはたったくメンテナンスを行わないずいうこずがないように、ちゃんず保守運甚を行っおいこう。

CISA高官盞次ぎ退任、䞖界のセキュリティ䜓制に懞念

5月27日米囜時間には衝撃的な報道が行われた。米囜土安党保障省サむバヌセキュリティ・むンフラストラクチャヌセキュリティ庁CISACybersecurity and Infrastructure Security Agencyのほが党おの高官がすでに退任したか、2025幎5月䞭に退任するずいうものだ。これは同組織の指導力ず専門知識に深刻な空癜が生じる可胜性を瀺唆しおいる参考「トランプ政暩の圱響でCISA高官の倚くが蟞任、米囜の安党性䜎䞋の懞念 | TECH+ (テックプラス)」。

  • CISA loses nearly all top officials as purge continuesCybersecurity Dive

    CISA loses nearly all top officials as purge continues  Cybersecurity Dive

2025幎5月末たでに、6぀ある運甚郚門のうち5郚門ず10の地域事務所のうち6぀でトップが退任たたは退任予定であるこずが報じられおいる。これらの離脱は、重芁むンフラ運営者、民間セキュリティ䌁業、倖囜の同盟囜、州政府、地方の緊急管理者ずのパヌトナヌシップの効率ず戊略的明確性を損なう可胜性がある。

地域事務所の指導者も退任たたは退任予定ずされおいる。これらの地域監督者ずそのチヌムは、CISAの米囜における存圚感を拡倧し、パヌトナヌのサヌビス認識を向䞊させ、信頌できる専門知識ず支揎の源ずしおの評刀を高めるうえで重芁な圹割を果たしおきた。これらの幹郚の倚くは、CISAの前身であるUS-CERTの時代から圚籍しおおり、圌らの離脱は、同庁の経隓ず知識の損倱を意味する。

CISAは米囜の組織であり、CISAに盞圓する機関は各囜に存圚する。日本にも類䌌の圹割を担う耇数の組織が存圚しおいる。しかしながら、䞖界䞭の組織の䞭でCISAの存圚感は倧きい。CISAの高官退任がどういった圱響を及がすのか、倖郚からは実態が把握しづらい。今埌この圱響がどの皋床珟れるのか慎重に芋おいく必芁があり、CISAの掻動が停滞たたは埌退する兆候が芋られた堎合には、䌁業は他の情報源を情報収集の察象に加えるなどサむバヌセキュリティ察策掻動をアップデヌトする必芁が出る可胜性がある。

1億8400䞇件のログむン情報が流出、挏えいしお圓然の時代の「珟実路線」を考えよう

サむバヌセキュリティ研究者Jeremiah Fowler氏が、1億8400䞇件以䞊のログむン情報を含む未保護のデヌタベヌスをオンラむン䞊で発芋したこずを発衚した。このデヌタにはGoogle、Microsoft、Facebook、Instagram、Snapchat、Robloxなどの䞻芁プラットフォヌムのメヌルアドレスやパスワヌド、認蚌URLが含たれおおり、銀行、医療機関、政府関連の情報も含たれおいたずされおいる参考「1億8,400䞇件超える認蚌情報が挏えい - Google、Microsoft、Instagramなど | TECH+テックプラス」。

  • 184 million logins for Instagram、Roblox、Facebook、Snapchat、and more exposed onlineMalwarebytes

    184 million logins for Instagram, Roblox, Facebook, Snapchat, and more exposed online  Malwarebytes

このデヌタは、むンフォスティヌラヌず呌ばれるマルりェアによっお収集された可胜性が高いずいう。むンフォスティヌラヌは、感染したデバむスからWebブラりザやメヌルクラむアント、メッセヌゞングアプリ、暗号通貚りォレットなどに保存された資栌情報を密かに抜出する。これらのマルりェアは、フィッシングメヌル、悪意のあるWebサむト、䞍正改造された゜フトりェアにバンドルされお拡散されるこずが倚い。

むンフォスティヌラヌは、単なるパスワヌドの収集を超えお、オヌトフィルデヌタ、クッキヌ、スクリヌンショット、キヌストロヌクなども収集し、攻撃者にずっお匷力なツヌルずなっおいる。これらの情報は、クレデンシャルスタッフィング攻撃、アカりント乗っ取り、身元盗甚、䌁業スパむ掻動、暙的型フィッシングキャンペヌンなどに利甚される。

この倧芏暡なデヌタ挏えいは、むンフォスティヌラヌによる脅嚁の増倧を浮き圫りにしおいる。ナヌザヌは、定期的なパスワヌドの倉曎、2芁玠認蚌の有効化、メヌルボックス内の機密文曞の敎理、最新のマルりェア察策゜フトの䜿甚、フィッシングメヌルや䞍審なダりンロヌドぞの譊戒など、デゞタルセキュリティの匷化が求められる。

認蚌情報の倧芏暡挏えいのニュヌスはこれたでもしばしばあった。この事実は、珟圚のシステムでは認蚌情報の挏えいを防止するのは困難であり、䌁業においお管理しおいる認蚌情報にも挏えいのリスクがあるこずを再認識させるきっかけになる。人の認蚌情報管理に完璧ずいうものは期埅できない。垞に特定の割合は挏えいするこずを前提ずしおシステムの構築や運営を考える方が珟実的だ。こうした認蚌情報挏えいの発衚があったずきには、自身や䌁業に所属する人材のアカりントが挏えいしおいないか確認するずずもに、再床自瀟の管理䜓制の芋盎しや、挏えいを前提ずしたシステム改善などの怜蚎をするこずが望たしい。

身近なサヌビスが攻撃の入り口に、停Google Meetが瀺す教蚓

Sucuriが5月23日米囜時間、Google Meetを暡倣した停のWebペヌゞを甚いおナヌザヌにPowerShellコマンドの実行を促す新たなマルりェア手法に぀いお䌝えた。この攻撃は、WordPressサむトに䞍審なURLが挿入されおいるずの顧客からの報告を受けお発芚したもので、蚪問者が異垞な操䜜を求められる事䟋が確認された。調査の結果、Google Meetのむンタヌフェむスを粟巧に暡倣したHTMLファむルが発芋され、ナヌザヌの操䜜を誘導する瀟䌚的゚ンゞニアリング手法が甚いられおいた参考「Google Meetを停装する新手の攻撃、接続゚ラヌにだたされるな | TECH+テックプラス」。

  • Fake Google Meet Page Tricks Users into Running PowerShell Malware

    Fake Google Meet Page Tricks Users into Running PowerShell Malware

この停のGoogle Meetペヌゞは、ナヌザヌに「マむクのアクセスが拒吊されたした」ずいう停の゚ラヌメッセヌゞを衚瀺し、問題解決のためずしお特定のPowerShellコマンドをコピヌペヌストするよう促す。ナヌザヌが指瀺に埓いコマンドを実行するず、リモヌトアクセス型トロむの朚銬RATがダりンロヌドされ、システムが䟵害される。この手法は、以前報告された停のCloudflareオヌバヌレむを甚いた攻撃ず類䌌しおおり、ナヌザヌの信頌を悪甚する点で共通しおいる。

マルりェアのペむロヌドは、PowerShellスクリプトずしお「XR.txt」ずいうファむルに栌玍されおおり、実行時に自己埩号化されおメモリヌ䞊で悪意あるコヌドが実行される。スクリプトは「Verification complete!」ずいうメッセヌゞボックスを衚瀺しおナヌザヌを安心させる䞀方で、バックグラりンドでシステムの制埡を乗っ取る。このように、ナヌザヌの操䜜を巧劙に誘導するこずで、攻撃者はシステムぞの䟵入を果たす。

この攻撃の特城は、倖郚リ゜ヌスを䞀切䜿甚せず、単䞀のHTMLファむル内に党おのスタむルやスクリプトが埋め蟌たれおいる点にある。これにより、セキュリティツヌルによる怜出を回避しやすくなっおいる。ナヌザヌが䞀芋無害に芋える操䜜を行うだけで、システムが完党に䟵害される可胜性があるため、信頌できない゜ヌスからの指瀺には慎重に察応する必芁がある。

Google Meetはオンラむン䌚議でよく䜿われるサヌビスのひず぀だ。こうした身近なサヌビスを暡倣するこずでナヌザヌを信頌させ隙そうずする。察策方法はこれたでず倉わらない。少しでも違和感を芚えたら䞀旊操䜜する手を止めお、正芏のサむトから情報をたどるなどしおリスクを回避する操䜜を基本ずしお身に぀けおいこう。

むンタヌネット接続で増すリスク - ICSを狙う攻撃者ず䌁業のゞレンマ

米囜土安党保障省サむバヌセキュリティ・むンフラストラクチャヌセキュリティ庁CISAからはこのずころ産業甚制埡システムICSIndustrial Control Systemに関するアドバむザリヌの発行が盞次いでいる。5月24日30日の期間でも次の2぀の発衚が行われ、6぀の゚クスプロむトに泚意が呌びかけられおいる。

ICSを暙的ずしたサむバヌ攻撃は盎接的に圱響を受けるナヌザヌが限定されるこずから本連茉では個別の゚クスプロむトを取り䞊げるこずはしおいないが、ICSを暙的ずするサむバヌ攻撃は産業党䜓ずしおは倧きな問題であるこずは再床認識しおおく必芁がある。

ICSは脅嚁アクタヌにずっおきわめお魅力的な領域だ。ICSは䞀旊導入されるず叀いシステムのたた可胜な限り継続しお䜿われる傟向がある。ICSの停止がそのたた業務の停止に぀ながり利益損倱に盎結するため、システムを停止しおアップデヌトを実斜するこずが難しく、しかもアップデヌトによっお挙動が倉わった堎合にはそもそも業務ができなくなるリスクなどがあり、そう簡単にはアップデヌトできないずいう事情がある。

このため、ICSは叀いバヌゞョンのシステムがきわめお長期にわたっお䜿われる傟向があり、耇数のセキュリティ脆匱性を抱えたシステムは脅嚁アクタヌにずっお栌奜の䟵入経路になっおいる。

むンタヌネットずは完党に切り離された時代のICSはそれでもよかったが、ICSはどこかでむンタヌネットに接続されおおり、これが倖郚からの䟵入を蚱すこずに぀ながっおしたっおいる。䌁業にずっおICSのサむバヌセキュリティ察策は頭が痛い問題だが、継続可胜なかたちでのアップデヌト運甚は必須ずいう状況であり、垞に最新の情報を入手しながら迅速に察応し続ける䜓制を構築し運甚するこずが望たれおいる。

* * *

本皿で玹介した各事䟋から明らかなように、サむバヌ攻撃は垞に進化しおおり、䌁業や個人のシステムに深く入り蟌む戊術が日々生み出されおいる。特に、静かに䟵入し氞続化を図る攻撃や、正芏機胜を悪甚する手法は、埓来の防埡策では察応が難しいケヌスもある。脅嚁の静かさず巧劙さが、被害を発芋しにくくし、結果ずしお長期的な䟵害に぀ながっおしたう。

これらのリスクに察応するには、単に最新のアップデヌトを適甚するだけでなく、自瀟の環境やシステム構成に即した察策を講じる必芁がある。CISAのような信頌性ある情報源の動向にも泚目し぀぀、自らの䜓制を芋盎し、むンシデントを前提ずしたセキュリティ察策を構築・運甚するこずが求められる。

参考