ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。

---

• 事件、事故
  • Coincheck の Xアカウントで不正ログインがあり、フィッシング被害の拡大を防ぐために全サービスを一時停止
  • スペインとポルトガルで大規模な停電が発生
  • CIC でなりすましによる第三者への信用情報の開示が発生した可能性
  • 証券会社 10社がフィッシング詐欺等による証券口座への不正アクセス等による被害について一定の被害補償を行う方針
  • アイルランドの Data Protection Commission (DPC) が TikTok に対して GDPR 違反による €530M の制裁金
• 攻撃、脅威
  • Cloudflare が 2025年第 1 四半期の DDoS 攻撃レポートを公開
  • デジタルアーツが「2024年下半期フィッシングサイト ドメイン集計」を公開
  • トレンドマイクロが、攻撃者グループ Earth Kasha による攻撃キャンペーンについて報告
  • ESET が中国の攻撃者グループ TheWizards による攻撃活動について報告
  • Coveware が 2025年第 1 四半期のランサムウェアレポートを公開
• 脆弱性
  • CISA が Known Exploited Vulnerabilities (KEV) カタログに 3+1+2+2 個の脆弱性を追加
  • Google が 2024年に悪用が確認されたゼロデイ脆弱性に関するレポートを公開
  • SonicWall が SMA100 の既知の脆弱性の悪用を確認したとして注意喚起。その後 PoC も公開される
• その他
  • 総務省が情報流通プラットフォーム対処法第20条第1項に基づく大規模特定電気通信役務提供者を指定
  • 新規に作成される Microsoft account はデフォルトでパスワードレスに

事件、事故

Coincheck の Xアカウントで不正ログインがあり、フィッシング被害の拡大を防ぐために全サービスを一時停止

(4/28) 【全サービス再開のお知らせ】Coincheckにおける全てのサービスの一時停止について ｜コインチェック株式会社

本日お知らせ「【緊急】Coincheckにおける全てのサービスの一時停止について」にてお伝えしました通り、本日8:00頃より当社Xアカウント（@coincheckjp）が第三者に不正ログインをされておりましたが、2025年4月28日 14:00頃をもって不正ログインへの対処が完了いたしました。不正ログインにより投稿されていた不正な投稿の削除も合わせて完了しております。

確認の完了に伴い、17:30より順次サービスを再開しておりましたが、Coincheckにおける全てのサービスの再開が完了しましたので、お知らせいたします。

【お詫びと注意喚起：Xアカウント（coincheckjp）の不正ログインについて】
本日8:00頃より当社Xアカウント（coincheckjp）が第三者に不正ログインをされていることが判明いたしました。
現在行われている不審なツイートは当社が行っているものではございません。…

— Coincheck(コインチェック) Status (@CoincheckStatus) April 28, 2025

スペインとポルトガルで大規模な停電が発生

(4/28) スペイン・ポルトガル大規模停電、一部復旧 原因なお不明 | ロイター

(4/28) How the April 28, 2025, power outage in Portugal and Spain impacted Internet traffic and connectivity

(4/29) スペインとポルトガル大規模停電 復旧も鉄道遅延など影響続く | NHK | スペイン

(4/29) スペイン、大規模停電の原因はサイバー攻撃ではないと……では何が影響したのか - BBCニュース

(5/1) Lunes Sin Luz: Spain and Portugal’s Historic Outage | Kentik Blog

CIC でなりすましによる第三者への信用情報の開示が発生した可能性

(4/28) 第三者への信用情報の開示についてのお詫びとお知らせ｜お知らせ｜指定信用情報機関のCIC

(5/1) 第三者への信用情報の開示についてのお詫びとお知らせ（調査結果に関する続報）｜お知らせ｜指定信用情報機関のCIC

本事案公表日の4月28日時点で当社において継続実施中であったお客さまに成りすました第三者からの不正な申し込み及び当該第三者に対する情報開示に関する調査の結果、新たに14名のお客さまが該当する可能性があることを検知し、前回公表いたしました22名と合わせ、計36名のお客さまが本件の対象となることが判明いたしました。

証券会社 10社がフィッシング詐欺等による証券口座への不正アクセス等による被害について一定の被害補償を行う方針

(5/2) フィッシング詐欺等による証券口座への不正アクセス等による対応について | 日本証券業協会

　本協会としては、証券界としての信頼確保や証券市場の健全な発展のため、被害の防止に関する速やかな対応を行っているところであり、併せて顧客被害に関して大手証券やネット証券の10社と協議を実施いたしました。

　そして、今般のフィッシング詐欺等による証券口座への不正アクセス等により、第三者がお客様の資産を利用して、有価証券等の売買等を行ったことにより発生した被害について、各社の約款等の定めに関わらず、一定の被害補償を行う方針とすることを申し合わせました。

　なお、お客様が被った被害の補償については、被害状況を十分に精査し、そのお客様のIDやパスワード等の管理を含む態様やその状況等並びに証券会社における不正アクセス等を防止するための注意喚起等を含む対策等を勘案したうえで、個別の事情に応じて対応することになります。

アイルランドの Data Protection Commission (DPC) が TikTok に対して GDPR 違反による €530M の制裁金

(5/2) Irish Data Protection Commission fines TikTok €530 million and orders corrective measures following Inquiry into transfers of EEA User Data to China | 02/05/2025 | Data Protection Commission

攻撃、脅威

Cloudflare が 2025年第 1 四半期の DDoS 攻撃レポートを公開

(4/27) Targeted by 20.5 million DDoS attacks, up 358% year-over-year: Cloudflare’s 2025 Q1 DDoS Threat Report

デジタルアーツが「2024年下半期フィッシングサイト ドメイン集計」を公開

(4/28) 2024年下半期フィッシングサイト ドメイン集計 | Digital Arts Security Reports｜デジタルアーツ株式会社

• 1件のフィッシングサイトURLを複数のメールで使い回している事例を確認
• 2024年下半期のフィッシングサイトURL総数は上半期比で約3割減少
• 日本国内向けフィッシングメールで使われたURL数はほぼ横ばい
• TLD「cn」が増加し、少数の所有者が「cn」ドメイン全体の3割以上を占める大量のドメインを所有

トレンドマイクロが、攻撃者グループ Earth Kasha による攻撃キャンペーンについて報告

(4/30) Earth Kasha Updates TTPs in Latest Campaign Targeting Taiwan and Japan | Trend Micro (US)

• APT group Earth Kasha continues its activity with a new campaign in March 2025 that uses spear-phishing to deliver a new version of the ANEL backdoor, possibly for espionage based on the campaign’s victimology.
• In this campaign, the APT group believed to be a part of the larger APT10 group is targeting government agencies and public institutions in Taiwan and Japan. Potential impact could include information theft and sensitive data related to governance being compromised.
• The ANEL file from the 2025 campaign discussed in this blog implemented a new command to support an execution of BOF (Beacon Object File) in memory. This campaign also potentially leveraged SharpHide to launch the second stage backdoor NOOPDOOR.
• We provide recommendations for organizations to proactively secure their systems, including implementing a zero-trust approach to external and unrecognized One Drive links, and the continuous monitoring for any potential abuse of DNS over HTTPS.
• Trend Vision One™ detects and blocks the IOCs discussed in this blog. Trend Vision One customers can also access hunting queries, threat insights, and threat intelligence reports to gain rich context and the latest updates on Earth Kasha.

ESET が中国の攻撃者グループ TheWizards による攻撃活動について報告

(4/30) TheWizards APT group uses SLAAC spoofing to perform adversary-in-the-middle attacks

In this blogpost, ESET researchers provide an analysis of Spellbinder, a lateral movement tool for performing adversary-in-the-middle attacks, used by the China-aligned threat actor that we have named TheWizards. Spellbinder enables adversary-in-the-middle (AitM) attacks, through IPv6 stateless address autoconfiguration (SLAAC) spoofing, to move laterally in the compromised network, intercepting packets and redirecting the traffic of legitimate Chinese software so that it downloads malicious updates from a server controlled by the attackers.

Coveware が 2025年第 1 四半期のランサムウェアレポートを公開

(5/1) The organizational structure of ransomware groups is evolving rapidly.

脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 3+1+2+2 個の脆弱性を追加

(4/28) CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA

• CVE-2025-1976 Broadcom Brocade Fabric OS Code Injection Vulnerability
• CVE-2025-42599 Qualitia Active! Mail Stack-Based Buffer Overflow Vulnerability
• CVE-2025-3928 Commvault Web Server Unspecified Vulnerability

(4/29) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

• CVE-2025-31324 SAP NetWeaver Unrestricted File Upload Vulnerability

(5/1) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA

• CVE-2024-38475 Apache HTTP Server Improper Escaping of Output Vulnerability
• CVE-2023-44221 SonicWall SMA100 Appliances OS Command Injection Vulnerability

(5/2) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA

• CVE-2025-34028 Commvault Command Center Path Traversal Vulnerability
• CVE-2024-58136 Yiiframework Yii Improper Protection of Alternate Path Vulnerability

Google が 2024年に悪用が確認されたゼロデイ脆弱性に関するレポートを公開

(4/29) Hello 0-Days, My Old Friend: A 2024 Zero-Day Exploitation Analysis | Google Cloud Blog

Google Threat Intelligence Group (GTIG) tracked 75 zero-day vulnerabilities exploited in the wild in 2024, a decrease from the number we identified in 2023 (98 vulnerabilities), but still an increase from 2022 (63 vulnerabilities). We divided the reviewed vulnerabilities into two main categories: end-user platforms and products (e.g., mobile devices, operating systems, and browsers) and enterprise-focused technologies, such as security software and appliances.

SonicWall が SMA100 の既知の脆弱性の悪用を確認したとして注意喚起。その後 PoC も公開される

(4/29) SonicWall SMA100 SSL-VPN Affected By Multiple Vulnerabilities | Security Advisory

(4/29) SonicWall SSL-VPN SMA100 Version 10.x Is Affected By Multiple Vulnerabilities | Security Advisory

(4/30) SonicWall warns of more VPN flaws exploited in attacks

(5/2) SonicBoom, From Stolen Tokens to Remote Shells - SonicWall SMA (CVE-2023-44221, CVE-2024-38475)

Another day, another bug of mine got listed in CISA's KEV. Why does everyone love my bugs (sigh...)? BTW, great article by @SinSinology again! https://t.co/ADjtzUG4N6

— Orange Tsai 🍊 (@orange_8361) May 3, 2025

その他

総務省が情報流通プラットフォーム対処法第20条第1項に基づく大規模特定電気通信役務提供者を指定

(4/30) 総務省｜報道資料｜情報流通プラットフォーム対処法第20条第1項に基づく大規模特定電気通信役務提供者の指定

新規に作成される Microsoft account はデフォルトでパスワードレスに

(5/1) Pushing passkeys forward: Microsoft’s latest updates for simpler, safer sign-ins | Microsoft Security Blog

1. New sign-in user experience (UX): Earlier this year, we launched a new visual style that simplifies the sign-in and sign-up experience. The new design is modernized and streamlined and prioritizes passwordless methods for sign-in and sign-up.

2. New accounts are passwordless by default: As part of this simplified UX, we’re changing the default behavior for new accounts. Brand new Microsoft accounts will now be “passwordless by default.” New users will have several passwordless options for signing into their account and they’ll never need to enroll a password. Existing users can visit their account settings to delete their password.

3. Passwordless-preferred sign-in: We’re also making it simpler to sign in with safer options. Instead of showing you all the possible ways for you to sign in, we automatically detect the best available method on your account and set that as the default. For example, if you have a password and “one time code” set up on your account, we’ll prompt you to sign in with your one time code instead of your password. After you’re signed in, you’ll be prompted to enroll a passkey. Then the next time you sign in, you’ll be prompted to sign in with your passkey. This simplified experience gets you signed in faster and in our experiments has reduced password use by over 20%. As more people enroll passkeys, the number of password authentications will continue to decline until we can eventually remove password support altogether.

It’s #WorldPasswordDay! 🔐 Strengthen your digital defenses by using long, random, and unique passwords for each account. Rely on a trusted password manager to keep them secure and #EnableMFA whenever possible. Protect your online presence and stay safe! #Cybersecurity pic.twitter.com/g16wVOLqqo

— CISA Cyber (@CISACyber) May 2, 2025