5/20、今日のセキュリティニュース

おはようございます、かーでぃです。
日々のセキュリティニュースの中で、ちょっと気になったものを取り上げて紹介していきたいと思います。

損害調査法人がランサム被害 - ファイル転送ツールの痕跡も

新日本検定協会は、サイバー攻撃を受けてシステム障害が発生した問題で、調査の結果、個人情報が流出した可能性があることを明らかにした。
（中略）
外部協力のもと調査を行ったところ、ネットワーク機器の脆弱性を悪用してネットワークに侵入していたことが判明。
さらにドメイン管理者アカウントを不正に利用して内部ネットワークへログイン。システム内の構成情報を探索したと見られる痕跡やドメインアカウントのユーザー名とパスワードを取得した痕跡も確認されている。

ネットワーク機器の脆弱性とは、つまりVPN機器なんでしょうね。
さらに、管理者アカウントまで横移動（リテラルムーブ）されてるのを見ると、典型的なランサム被害の例ですね。

昨年のアサヒ、アスクルの被害を踏まえても、ランサム被害が止まらないのがコワイところ…。

セキュリティはインフラ

声高に叫んでいきたい。。。

「Claude Mythos」などの高度化したAIを踏まえたセキュリティ対策パッケージ「Project YATA-Shield」、政府が発表

国家サイバー統括室（NCO）らは5月18日、Anthropicの「Claude Mythos Preview」をはじめとしたAI性能の高度化を踏まえ、政府全体としてサイバーセキュリティ対策の強化に関する対策パッケージ「Project YATA-Shield」を取りまとめ、各方面に対策強化などを呼び掛ける複数の文書を公開した。
（中略）
Claude Mythosに代表されるフロンティアAIモデルによる、脆弱性の発見・修正などのサイバーセキュリティ性能の急速な向上、および悪用リスクの高まりを踏まえ、悪用リスクを前提として、重要インフラ事業者などへの対応と、ソフトウェアベンダーにおける脆弱性の発見・修正などに関する対応の双方に、サイバー安全保障の観点から、危機感を持って迅速に取り組むことが必要不可欠であるとしている。

Project YATA-Shieldとは？

AIが脆弱性の発見や修正にも使われる一方で、攻撃側にも使われる可能性がある、という話。

生成AIって、結局沢山の知識を学習して、問合せの結果からもっとも確率の高い回答を絞り出す方式なんだけど……最近のAIはどーなってんの？？と思うような動きをしますね。。

たぶんですけど、Mythosの開発者もこんなことになるとは思わなかったんじゃないかなぁ…

AIリスクがIPAの10大脅威の3位にも初選出されてますので、今後YATA-Shieldは注目していきたいと思います。

「コードを公開されたくなければ支払え」　Grafana Labs侵害で見えた新恐喝モデル

Grafana Labsは2026年5月17日（米国時間）、同社の「GitHub」環境で利用していた認証トークンが第三者に不正取得され、内部コードベースの一部が外部に持ち出されたと公表した。攻撃者はその後、盗み出したコードを公開しないことと引き換えに金銭を要求したが、同社は支払いを拒否する方針を示している。

こちらはVPNではなく、Githubから侵入されてコードを奪われたもの。
暗号化まではされて無さそうだけど、情報（ここではコード）の流出があり、それをもとに恐喝とか……

これ、うちには関係ないや！って思われそうですが、Github = SaaSと考えれば、M365とかBOXとか、クラウドで持ってる情報が盗まれる可能性を示してるので、全然他人事じゃないですわ。。

これこそ、SASEとかの環境にしないと防ぎようがないのでは…？？

Googleが警告する「BlackFile」によるMFA突破と組織的恐荒　従業員を「偽サイト」へ誘導する音声詐欺の全貌

Googleは2026年5月16日（現地時間）、音声によるフィッシング攻撃を使って企業のネットワーク環境に侵入し、クラウドの機密情報を窃取した後に恐喝を実施する攻撃集団「UNC6671」の活動実態を公表した。
（中略）
攻撃では音声通話を利用した「ビッシング」（vishing）を主軸とし、従業員へ直接電話をかける。発信者は社内IT部門やヘルプデスク担当者を装い、パスキー移行や多要素認証（MFA）更新を理由に認証サイトへ誘導する。

今度の手口はメールではなく、電話！
ヘルプデスク担当者を装うってことは、恐らくAIによる架電ではなく、実際に人が行うんだと思う（思う）。ってことは、すぐに日本でやられるわけではなさそう（でも、まぁ、AIによる詐欺っぽい架電は今もある、そーかんがえると真新しい手法でもないか）。

ちなみに、MFAはリアルタイムフィッシングで抜けられます💦

セキュリティニュースの選定には、こちらで作成したRSSを使っています。
良かったら使ってやってください。

宣伝

かーでぃらぼでは、技術書の執筆をしております。
2019年にランサム感染したことを思い出しながら、最新のバックアップ事情をまとめました。

#AI
#セキュリティ
#サイバーセキュリティ
#脆弱性
#ランサムウェア
#ClaudeMythos
#ランサムウェア攻撃