セキュリティニュースまとめる君

Leak confirms Google Gemini 3 Pro and Nano Banana 2 could launch soon
other
2025-11-07 13:06:11

Hidden Logic Bombs in Malware-Laced NuGet Packages Set to Detonate Years After Installation
incident
2025-11-07 11:55:00

事件発生日	2023年と2024年
被害者名	不明
被害サマリ	9つの悪質なNuGetパッケージが特定され、2027年8月と2028年11月に特定のトリガー日に悪意のあるコードを実行する能力があった。これにより、データベース操作が妨害され、産業制御システムが破壊された。
被害額	不明（予想）

攻撃者名	中国人の脅威アクターか可能性
攻撃手法サマリ	指定したトリガー日に悪意のあるコードを実行するロジックボムをNuGetパッケージに埋め込むことで、攻撃を実行。
マルウェア	9つの悪質なNuGetパッケージ（MyDbRepository、MCDbRepository、Sharp7Extend、SqlDbRepository、SqlRepository、SqlUnicornCoreTest、SqlUnicornCore、SqlUnicorn.Core、SqlLiteRepository）
脆弱性	C#拡張メソッドを悪用した攻撃

Enterprise Credentials at Risk – Same Old, Same Old?
vulnerability
2025-11-07 10:30:00

CVE	なし
影響を受ける製品	企業のクレデンシャル
脆弱性サマリ	企業のユーザーのクレデンシャルが危険にさらされている
重大度	高
RCE	不明
攻撃観測	不明
PoC公開	不明

Google Launches New Maps Feature to Help Businesses Report Review-Based Extortion Attempts
other
2025-11-07 09:15:00

GoogleがGoogleマップに掲載されている企業が不正な悪評を投稿し、そのコメントを取り除くために身代金を要求する脅迫行為を報告するための専用フォームを導入することを発表。
この取り組みは、オンラインユーザーが意図的に負のユーザーレビューを投稿し、製品やサービス、企業を傷つけようとする「レビューボム」と呼ばれる一般的な手法に対抗するために設計されている。
Googleは他の種類のスキームについてもユーザーに警告し、オンライン求人詐欺、AI製品なりすまし詐欺、悪意のあるVPNアプリや拡張機能、詐欺回復詐欺、季節的な祝日の詐欺を挙げている。
これらのスキームに対抗するため、ユーザーは予期せぬ配信テキストやメールに注意し、資金回収が可能だと主張する人々に注意し、信頼できるソースと正規の開発者からのみアプリをダウンロードし、機密情報を入力する際に警戒するようアドバイスされている。
この発展は、Metaが広告詐欺と違法製品から年間数十億ドルを得ているというロイターの報告と同時に起こった。

Vibe-Coded Malicious VS Code Extension Found with Built-In Ransomware Capabilities
incident
2025-11-07 06:48:00

事件発生日	2025年11月5日
被害者名	VS Codeユーザー（不特定）
被害サマリ	人工知能を利用したランサムウェア機能を持つVS Code拡張機能が公開され、GitHubをC2サーバーとして利用。ZIPアーカイブを作成し、ファイルを暗号化した後、リモートサーバーに送信する攻撃が行われた。
被害額	未公表（予想）

攻撃者名	不特定（開発者のGitHubアカウントは「aykhanmv」を名乗り、アゼルバイジャンのバクー市に関連付けられている）
攻撃手法サマリ	人工知能を利用したランサムウェア機能を持つVS Code拡張機能を公開し、GitHubをC2サーバーとして利用したサプライチェーン攻撃
マルウェア	不特定（susvsex拡張機能）
脆弱性	不特定

U.S. Congressional Budget Office hit by suspected foreign cyberattack
incident
2025-11-07 00:22:30

事件発生日	2025年11月6日
被害者名	米国議会予算局(Congressional Budget Office, CBO)
被害サマリ	外国のハッカーによる侵入により機密データが漏洩の可能性
被害額	不明

AI-Slop ransomware test sneaks on to VS Code marketplace
incident
2025-11-06 21:52:47

事件発生日	2025年11月6日
被害者名	University of Pennsylvania
被害サマリ	University of Pennsylvaniaでデータがサイバー攻撃で盗まれた。その中には機密情報も含まれる可能性がある。
被害額	不明（予想）

攻撃者名	不明（可能性: アゼルバイジャンを拠点とする個人またはグループ）
攻撃手法サマリ	インテリジェントなマルウェアを活用したランサムウェア拡張機能
マルウェア	_susvsex_
脆弱性	不明

How a ransomware gang encrypted Nevada government's systems
incident
2025-11-06 19:02:16

事件発生日	2025年8月
被害者名	ネバダ州政府
被害サマリ	約60の州政府機関に影響を及ぼし、ウェブサイトや電話システム、オンラインプラットフォームなどの重要サービスに混乱をもたらしました。ランサムウェアによりバーチャルマシンをホストするすべてのサーバーに攻撃が行われ、90%の影響を受けたデータの回復が28日後に成功。
被害額	被害額不明（予想）

攻撃者名	攻撃者不明（ランサムウェアグループ）
攻撃手法サマリ	従業員が悪質な広告をクリックし、システム管理ツールの偽装バージョンをダウンロードしたことによる攻撃。
マルウェア	不特定（複数の攻撃時に使用された可能性あり）
脆弱性	不明

Trojanized ESET Installers Drop Kalambur Backdoor in Phishing Attacks on Ukraine
vulnerability
2025-11-06 15:31:00

CVE	なし
影響を受ける製品	ESET AV Remover
脆弱性サマリ	ウクライナを標的としたフィッシング攻撃で、ESETのインストーラーにマルウェアが含まれていた
重大度	不明
RCE	無
攻撃観測	有
PoC公開	無

Continuous Purple Teaming: Turning Red-Blue Rivalry into Real Defense
other
2025-11-06 15:02:12

Purple teamingは、レッドチームとブルーチームを競わせるのではなく、協力させるコラボレーションによって、テストを共有プロセスに変え、検証を計測可能な証拠にする。
Purple teamingは、「レッドチーミングより友好的なものではない」。これは基本的に効果的なワークフローであり、攻撃を連続的に防御改善に変えていく。
攻撃と防御が連続的に行われることで、Redチームが攻撃を模倣し、どこで防御が屈するかを明らかにし、Blueチームがどのコントロールが機能し、どれが黙っているか、なぜそうなっているかを追跡する。
BAS（Breach and Attack Simulation）は実際の敵対者を連続的にシミュレートし、防止、検出、対応の効果を即座にスコアリングする。
優先順位付けを行い、既存のコントロールがすでに緩和済みの脆弱性を削除し、未知の脆弱性を評価し、最も重要なギャップに集中する。