ポッドキャスト収録用のメモですよ。
podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。
- 事件、事故
- 攻撃、脅威
- Recorded Future が "2025 Identity Threat Landscape Report" を公開
- Trend Micro が Warlock ランサムウェアの攻撃活動について報告
- Palo Alto Networks がイランの攻撃者グループ Boggy Serpens (Muddy Water) の攻撃活動について報告
- NICT が Xiongmai DVR の既知の脆弱性を悪用する攻撃活動について報告
- NTTセキュリティが北朝鮮の攻撃者グループ WaterPlum が使用するマルウェア StoatWaffle について報告
- ReliaQuest が LeakNet ランサムウェアの攻撃活動について報告
- Google が 2025年に観測されたランサムウェアの攻撃活動について報告
- Flare と IBM X-Force が共同で、北朝鮮 IT 労働者の活動実態について報告
- Lookout、Google、iVerify が iPhone を狙う新たな攻撃ツール DarkSword について報告
- Rapid7 が "2026 Global Threat Landscape Report" を公開
- Amazon が Interlock ランサムウェアの攻撃活動について報告
- CISA が米医療機器大手 Stryker への攻撃に対応し、エンドポイント管理の強化について注意喚起
- 脆弱性
- その他
事件、事故
EU がサイバー攻撃に関与した中国とイランの企業 3社と個人 2名に対して制裁
The Council adopted today restrictive measures against three entities and two individuals responsible for cyber-attacks carried out against EU member states and EU partners.
(3/17) Europe sanctions Chinese and Iranian firms for cyberattacks
米国、カナダ、ドイツの法執行機関により、IoT ボットネット Aisuru、Kimwolf、JackSkid、Mossad の C2 インフラを摘発
The U.S. Justice Department participated in a court-authorized law enforcement operation today to disrupt Command and Control (C2) infrastructure used by the Aisuru, KimWolf, JackSkid and Mossad Internet of Things (IoT) botnets.
(3/19) Feds Disrupt IoT Botnets Behind Huge DDoS Attacks – Krebs on Security
米司法省が Handala などイランの攻撃者グループの 4つのドメインを差し押さえ
The Justice Department announced the seizure of four domains as part of an ongoing effort to disrupt hacking and transnational repression schemes conducted by the Islamic Republic of Iran’s Ministry of Intelligence and Security (MOIS). The affidavit supporting the seizure warrant can be found here. The seized domains – Justicehomeland[.]org, Handala-Hack[.]to, Karmabelow80[.]org, and Handala-Redwanted[.]to – were used by the MOIS in furtherance of attempted psychological operations targeting adversaries of the regime by claiming credit for hacking activity, posting sensitive data stolen during such hacks, and calling for the killing of journalists, regime dissidents, and Israeli persons. For example, the MOIS used the Handala-hack[.]to domain to claim credit for a March 2026 destructive malware attack against a U.S.-based multinational medical technologies firm.
攻撃、脅威
Recorded Future が "2025 Identity Threat Landscape Report" を公開
(3/16) 2025 Identity Threat Landscape Report: Inside the Infostealer Economy: Credential Threats in 2025
Trend Micro が Warlock ランサムウェアの攻撃活動について報告
(3/16) Web Shells, Tunnels, and Ransomware: Dissecting a Warlock Attack | Trend Micro (US)
Palo Alto Networks がイランの攻撃者グループ Boggy Serpens (Muddy Water) の攻撃活動について報告
(3/16) Boggy Serpens Threat Assessment
NICT が Xiongmai DVR の既知の脆弱性を悪用する攻撃活動について報告
(3/17) Xiongmai DVR の既知の脆弱性を悪用したレジデンシャルプロキシ化事例の観測 -
- 既知の脆弱性(CVE-2024-3765)を悪用した攻撃が継続している Xiongmai DVR において、新たに Proxyware への感染事例を観測した。
- 当該事例では、従来の DDoS ボット化とは異なり、レジデンシャルプロキシ用途の Proxyware「PacketSDK」がインストールされ、実行されていた。
- また、Google による大規模レジデンシャルプロキシネットワークのテイクダウン後も、関連インフラの稼働が継続していることを確認した。
NTTセキュリティが北朝鮮の攻撃者グループ WaterPlum が使用するマルウェア StoatWaffle について報告
(3/17) WaterPlumが使用するマルウェアStoatWaffleについて | セキュリティナレッジ | NTTセキュリティ・ジャパン株式会社
WaterPlumは北朝鮮に関連する攻撃グループであるとされており、特にContagious Interviewという攻撃キャンペーンを行っています。WaterPlumは複数のクラスタ(チーム)に分類することができますが、その中でもチーム8(Moralis系、Modilus系とも呼ばれている)による活動が観測されています。
チーム8については、これまでContagious Interviewキャンペーンにおいて、主にOtterCookieを使用した攻撃を行ってきました。しかし、2025年12月頃から、新たなマルウェアを使用し始めています。私たちはこのマルウェアをStoatWaffleと呼んでいます。
本稿ではWaterPlumのチーム8の最新の攻撃フローと、新たに使用され始めたStoatWaffleの解析結果を紹介します。
ReliaQuest が LeakNet ランサムウェアの攻撃活動について報告
(3/17) Casting a Wider Net: ClickFix, Deno, and LeakNet’s Scaling Threat
Google が 2025年に観測されたランサムウェアの攻撃活動について報告
(3/17) Ransomware Tactics, Techniques, and Procedures in a Shifting Threat Landscape | Google Cloud Blog
Flare と IBM X-Force が共同で、北朝鮮 IT 労働者の活動実態について報告
Lookout、Google、iVerify が iPhone を狙う新たな攻撃ツール DarkSword について報告
(3/18) Attackers Wielding DarkSword Threaten iOS Users | Threat Intel
(3/18) Inside DarkSword: A New iOS Exploit Kit Delivered Via Compromised Legitimate Websites
(3/19) Update iOS to protect your iPhone from web attacks - Apple Support
Rapid7 が "2026 Global Threat Landscape Report" を公開
(3/18) The Attack Cycle is Accelerating: Announcing the Rapid7 2026 Global Threat Landscape Report
Amazon が Interlock ランサムウェアの攻撃活動について報告
Amazon threat intelligence has identified an active Interlock ransomware campaign exploiting CVE-2026-20131, a critical vulnerability in Cisco Secure Firewall Management Center (FMC) Software that could allow an unauthenticated, remote attacker to execute arbitrary Java code as root on an affected device, which was disclosed by Cisco on March 4, 2026.
(3/18 更新) Cisco Secure Firewall Management Center Software Remote Code Execution Vulnerability
In March 2026, the Cisco Product Security Incident Response Team (PSIRT) became aware of attempted exploitation of this vulnerability. Cisco continues to strongly recommend that customers upgrade to a fixed software release to remediate this vulnerability.
CISA が米医療機器大手 Stryker への攻撃に対応し、エンドポイント管理の強化について注意喚起
(3/18) CISA Urges Endpoint Management System Hardening After Cyberattack Against US Organization | CISA
CISA is aware of malicious cyber activity targeting endpoint management systems of U.S. organizations based on the March 11, 2026 cyberattack against U.S.-based medical technology firm Stryker Corporation, which affected their Microsoft environment.1 To defend against similar malicious cyber activity, CISA urges organizations to harden endpoint management system configurations using the recommendations and resources provided in this alert. CISA is conducting enhanced coordination with federal partners, including the Federal Bureau of Investigation (FBI), to identify additional threats and determine mitigation actions.
(3/14) Best practices for securing Microsoft Intune | Microsoft Community Hub
脆弱性
CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+1+1+1+5 個の脆弱性を追加
(3/16) CISA Adds One Known Exploited Vulnerability to Catalog | CISA
- CVE-2025-47813 Wing FTP Server Information Disclosure Vulnerability
(3/18) CISA Adds One Known Exploited Vulnerability to Catalog | CISA
- CVE-2025-66376 Synacor Zimbra Collaboration Suite (ZCS) Cross-Site Scripting Vulnerability
(3/18) CISA Adds One Known Exploited Vulnerability to Catalog | CISA
- CVE-2026-20963 Microsoft SharePoint Deserialization of Untrusted Data Vulnerability
(3/19) CISA Adds One Known Exploited Vulnerability to Catalog | CISA
- CVE-2026-20131 Cisco Secure Firewall Management Center (FMC) Software and Cisco Security Cloud Control (SCC) Firewall Management Deserialization of Untrusted Data Vulnerability
(3/20) CISA Adds Five Known Exploited Vulnerabilities to Catalog | CISA
- CVE-2025-31277 Apple Multiple Products Buffer Overflow Vulnerability
- CVE-2025-32432 Craft CMS Code Injection Vulnerability
- CVE-2025-43510 Apple Multiple Products Improper Locking Vulnerability
- CVE-2025-43520 Apple Multiple Products Classic Buffer Overflow Vulnerability
- CVE-2025-54068 Laravel Livewire Code Injection Vulnerability
We added Microsoft SharePoint CVE-2026-20963 (post-auth deserialization RCE) to our scanning & daily feeds. 1109 IPs found running vulnerable instances worldwide (close to 1900 FQDNs) on 2026-03-19, with 510 IPs in the US.
— The Shadowserver Foundation (@Shadowserver) March 20, 2026
Dashboard World Map: https://t.co/rBXTduVQii pic.twitter.com/WlYmfaxBSi
その他
Instagram がエンドツーエンドの暗号化メッセージのサポートを 5月8日に終了
(3/16) What is end-to-end encryption on Instagram | Instagram Help Center
「重要電子計算機に対する不正な行為による被害の防止に関する法律の施行期日を定める政令」及び「重要電子計算機に対する不正な行為による被害の防止に関する法律施行令」が閣議決定 (10月1日施行)
(3/17) 令和8年3月17日(火)定例閣議案件 | 首相官邸
(3/17) サイバー安全保障 - 内閣府
(3/17) サイバー無害化、10月開始 政府、能動防御導入へ決定 「通信の秘密」制約懸念 - 産経ニュース
NICT が 2025年第 4 四半期の NICTER観測統計を公開
(3/18) NICTER観測統計 - 2025年10月~12月 -
