tadmaddad

F5 BIG-IP機器の侵害を起点に、Active Directoryまで到達する多段階攻撃が確認された。境界防御機器そのものが侵入口へ変わる危険性が改めて浮き彫りになった。 Microsoftによると、攻撃者はサポート終了済みのF5 BIG-IP Virtual Editionを悪用し、LinuxサーバーへSSH接続した。対象はAzure上で稼働するBIG-IP 15.1系で、2024年末にEOLを迎えていた。侵入後はsudo権限を持つアカウントを利用し、永続化を使わず手動操作で活動を継続した。 攻撃者はNmapやgowitnessを使って内部ネットワークを探索し、Windowsサーバーに対してenum4linux、netexec、kerbrute、responderなどで横展開を試行。その後、内部Confluenceサーバーの未修正脆弱性を悪用してRCEを獲得した。Confluenceは外部公開されていなかったが、内部侵入後に到達可能となった。 さらにserver.xmlやconfluence.cfg.xmlから認証情報を窃取し、Kerberosリレー攻撃やCVE-2025-33073悪用へ発展。PetitPotamやDNS操作ツールを利用し、最終的にドメインコントローラーへの攻撃が行われた。 Microsoftは、F5やVPN、ロードバランサーなどの境界機器をTier-0資産として厳格管理する必要があると警告している。NTLM無効化、SMB/LDAP署名、認証保護強化、内部Webアプリへの迅速なパッチ適用も推奨された。 cybersecuritynews.com/f5-big-ip-expl…

セキュリティ分析エージェントのwarren v0.17.0 をリリースしました。 ・ルールをGitHubから直接読む機能を追加 ・LLM as a JudgeによるWebアクセスの間接プロンプトインジェクション対策 ・トークン消費の最適化 あたりが主なアップデートになります。 github.com/secmon-lab/war…

【脅威ハンティング】IPアドレスだけでは不十分、ASN情報が侵害調査の精度を変える インシデント対応において、IPアドレスは重要な手がかりだが、それだけでは攻撃者の正体を見抜けない。Huntressのタクティカルレスポンスチームが実例を交えて解説するのが、ASN（自律システム番号）を活用した調査手法だ。ASNとは、インターネットを構成する各ネットワーク群に割り当てられた識別番号で、IPアドレスがどの組織・プロバイダーに属するかを示す。 実際のリモートデスクトップ侵害事例では、被害アカウントの認証ログを分析した際、IPの地理情報だけでは不審点が検出できなかった。しかしASN情報を付加したところ、従来のComcastやRogersといった一般家庭向けISPからの接続が、LeaseWebやDatacampといったホスティング事業者からの接続に切り替わっていたことが即座に判明した。VPN侵害事例でも、管理者権限アカウントから1秒以内に異なるIPで2件のログインが記録されており、両IPのASNがいずれもDigitalOceanだったことが決定打となった。 地理情報だけでは米国内からの正常なアクセスに見える接続が、ASN確認で悪名高いホスティング事業者からのものと判明するケースも多く、単一データ点への依存がいかに危険かを物語っている。大量の認証ログを効率的にトリアージするうえで、ASNエンリッチメントは実践的かつ即効性の高い手法である。 huntress.com/blog/utilizing…

元ネタわからんけど流行りに乗ってみました。

ブログにて「Entra ID デバイスコードフィッシングの調査方法～非直感的なログから侵害の成否を見抜く～」を公開しました。 デバイスコードフローが悪用された際のログには、誤解しやすいものもあります。それらに惑わされず調査する方法をご説明しました。 jp.security.ntt/insights_resou… #DFIR #Microsoft365 #DeviceCodeFlow #Phishing

We are investigating unauthorized access to GitHub’s internal repositories. While we currently have no evidence of impact to customer information stored outside of GitHub’s internal repositories (such as our customers’ enterprises, organizations, and repositories), we are closely monitoring our infrastructure for follow-on activity.

CVE-2026-20182 affects Cisco Catalyst SD-WAN vdaemon DTLS control plane (UDP/12346). Rapid7’s chain uses TCP/830 as NETCONF over SSH after auth bypass. My scan: 460 public hosts responded on UDP/12346; 277 also exposed TCP/830 on the same IP. Image: country breakdown.

最近のセキュリティ関係者の状況

生成AI時代のセキュリティとか、AIエージェント運用していることとかを話させてもらいました！

ソフトウェアの構成要素を一覧化するSBOMの考え方をAIシステムへ拡張した文書がG7サイバーセキュリティ作業部会から公開されています。 AIシステム向けのSBOMに最低限含めるべき要素を7つのクラスタにわたって定義したもので、従来のSBOMが扱うソフトウェアの構成情報に加え、モデルの特性や学習手法、訓練データの特性、運用インフラといったAI固有の要素も記載対象としています。 2025年6月に同作業部会が公表した共同ビジョンを踏まえたガイダンス文書で、日本の国家サイバー統括室を含むG7各国機関とEUが共同策定したもの。AI開発・導入に関わる組織にとって、サプライチェーンの透明性確保がどの粒度で推奨されるかを示す任意の参照文書としての位置づけ。 【要点の整理】 ・7クラスタの構成は、メタデータ（SBOM作成者・電子署名・生成ツール等）、システムレベル特性（システム名・バージョン・データフロー・入出力特性等）、モデル（名前・ハッシュ値・モデル特性・学習手法等）、データセット特性、インフラ、セキュリティ特性、KPI ・モデルクラスタではモデルのハッシュ値とハッシュアルゴリズムの記載を求めており、完全性検証に活用できる設計。蒸留やファインチューニングの元モデル情報の記録も対象 ・データフローの項目ではマルチエージェント通信プロトコルや外部サービスへの双方向データフローまで射程に含めており、エージェント型AIの構成を意識した内容 ・参加機関はBSI（ドイツ連邦情報セキュリティ庁）、CISA（米国）、ANSSI（フランス）、ACN（イタリア）、日本の国家サイバー統括室、カナダ・英国の各サイバーセキュリティ機関、欧州委員会 詳細は以下を参照： bsi.bund.de/SharedDocs/Dow…

2026年05月18日 国家サイバー統括室 「AI性能の高度化を踏まえたサイバーセキュリティ対策の強化について」をとりまとめました [PDF] cyber.go.jp/pdf/press/2026… [PDF] cyber.go.jp/pdf/press/2026… [PDF] cyber.go.jp/pdf/press/2026… [PDF] cyber.go.jp/pdf/press/2026… [PDF] cyber.go.jp/pdf/press/2026…

Outlookにゼロクリックで乗っ取り可能な重大欠陥が見つかり、メール閲覧だけで感染する危険が浮上した。ユーザー操作不要で企業幹部も標的になり得るため、従来の防御を回避する深刻な脅威とされている。 CVE-2026-40361はWordとOutlookで共有されるDLLのuse-after-freeに起因し、メールのプレビューや閲覧時に自動的に発火する。添付やリンクを開く必要がなく、受信しただけでリモートコード実行に至る可能性がある。 この脆弱性はメール描画エンジン内部に存在するため防御が難しく、ファイアウォールも回避される。過去の「BadWinmail」と同様の攻撃経路を持ち、企業環境では極めて危険とされる。 修正は提供されており、テキスト形式表示の強制など一時的な緩和策もあるが、迅速なパッチ適用が不可欠である。 securityweek.com/microsoft-patc…

【脅威ハンティング・製品動向】CrowdStrikeがMicrosoft Defender環境向けの常時脅威ハンティングサービスを提供開始、EDR競合間の協調モデルが加速 CrowdStrikeは、Microsoft Defender環境を対象とした専門家主導の常時脅威ハンティングサービス「Falcon OverWatch for Defender」を発表した。自社のFalconセンサーをDefenderと共存させる形で軽量に展開し、既存のエンドポイント構成を変えることなく高度な脅威検知能力を付加する。 背景には、自動検知の限界という現実がある。CrowdStrikeの2026年版グローバル脅威レポートによれば、2025年の侵害の82%はマルウェアを使わない手口であり、最速の侵害到達時間はわずか27秒、AI活用型攻撃は前年比89%増という状況だ。認証情報の悪用、正規ツールの流用、インメモリ型の攻撃手法は自動検知が困難であり、専門家による文脈判断が不可欠となっている。 同サービスでは280以上の国家支援・犯罪組織系脅威アクターの情報をハンターが活用し、AIと組み合わせて1日最大6.2兆件のイベントを分析する。年間1,400万件の検知候補を精査し、日次で100件以上の高深刻度インシデントを検出するとしている。競合関係にあるMicrosoftのエンドポイント製品の顧客をあえて取り込むこの戦略は、プラットフォーム優位性をセキュリティ運用サービスで訴求する業界の新たな競争軸を示している。 crowdstrike.com/en-us/blog/cro…

Microsoft is investigating mistralai PyPI package v2.4.6 compromise. Attackers injected code in mistralai/client/__init__.py that executes on import, downloads hxxps://83[.]142[.]209[.]194/transformers.pyz to /tmp/transformers.pyz, and launches a second-stage payload on Linux. The file name transformers.pyz appears deliberately chosen to mimic the widely used Hugging Face Transformers library and blend into ML/dev environments. The main payload is a credential stealer, but it also includes country-aware logic; it avoids Russian-language environments and contains a geo fenced destructive branch that has 1-in-6 chance of executing rm -rf / when the system appears to be in Israel or Iran. To mitigate this threat: isolate affected Linux hosts, block 83[.]142[.]209[.]194, hunt for /tmp/transformers.pyz, pgmonitor[.]py, and pgsql-monitor.service, and rotate exposed credentials.

【注意】TanStack Router その他 200+ npm パッケージ が侵害されています。流石に影響広そうなので、是非一読＆影響確認ください。なお Takumi Guard ユーザーへの被害は確認されていません。 blog.flatt.tech/entry/mini_sha…

本日 5/12 (火) 早朝に発生した、TanStack Router 等の著名 npm パッケージへの侵害（Mini Shai-Hulud 第二波）に関し、概要と対応指針を整理しました。 今回は、第一波に比して影響範囲が大変広い他、余波がまだ続いております。ご注意ください。記事は随時更新いたします。 blog.flatt.tech/entry/mini_sha…

ローカルLLMでファストフォレンジック支援するツールを開発中。 デスクトップPC単体でも快適に動くことを目標にしているので、あまりかしこくないLLMになるべくプロンプトを作らせないよういいかんじの文章ハードコードしたりとか、長期記憶を持たせるための会話圧縮とか、かなりテコ入れしている。

【告知】ﾆｷ書典はじまるよー＼(^o^)／ 「大企業のセキュリティプロジェクトマネジメント」という同人誌を書きました。 今日からBOOTHで販売しますのでご興味あればどうぞ。 #secpm つけて感想など記載いただけるとストーキングしにいきます👁️👁️nikinusu.hatenablog.com/entry/2026/04/…

Firefoxの大量バグ検知はMythosの性能が本質ではなく、古典的セキュリティチェック手法を組み合わせたハーネスがあってこそ精度が向上したという話。今後どれだけモデルの性能が向上してもハーネスエンジニアリング（と呼ばれている物）は両輪で必要になる、という示唆がある hacks.mozilla.org/2026/05/behind…

イベントログを見るときの備忘録をまとめています。 君たちはどうWindowsイベントログを調査するか - SIPDEP sumeshi.github.io/posts/knowledg… #DFIR #CyberSecurity