Sysdig セキュリティブリーフィング:2025年10月

デモを依頼
By 清水 孝郎 - OCTOBER 6, 2025

SHARE:

本文の内容は、2025年10月6日に Crystal Morin が投稿したブログ(https://www.sysdig.com/blog/sysdig-security-briefing-october-2025/ )を元に日本語に翻訳・再構成した内容となっております。

セキュリティが拡散中

先月、NPMエコシステムは数百ものNPMパッケージが侵害されるという大騒ぎとなりました。月の前半を過ぎると、あらゆるセキュリティリサーチャーがNPMエコシステムの問題点を探し回り、次の話題を呼ぼうと躍起になっていました。

9月8日~9日: NPMのChalk、Debug、Duckパッケージが侵害される

  • 合計で毎週 20 億回ダウンロードされる 20 以上の NPM パッケージに悪意のあるコードが含まれていました。
  • 最も人気のあるパッケージには、chalkdebugduck が含まれていました。
  • 根本的な原因は、メンテナーに対するスピアフィッシング攻撃が成功したことです。
  • 攻撃者の動機は金銭的なもので、暗号通貨の支払いを見つけてリダイレクトすることでした。
  • NPM は侵害されたパッケージ バージョンをすぐに削除しましたが、ユーザーはパッケージを更新するか、古い安全なバージョンに戻す必要がありました。
  • Sysdig の対応:顧客はThreat Intelligence ダッシュボードで脆弱なパッケージの識別に即日アクセスでき、9 月 12 日に脅威速報を受け取りました。

9月15日:Shai-Hulud worm

  • @ctrl/tinycolorを含む約 200 個のパッケージが侵害されました。
  • この攻撃は、8月下旬にNxパッケージを侵害した攻撃者によるものと考えられています。
  • 今回、攻撃者は高度なワームを使用して侵害されたパッケージからシークレットを盗み、それを GitHub で公開し、被害者のリポジトリを公開しようとしました。
  • Sysdig の対応:お客様は、Threat Intelligence ダッシュボードを通じてその日のうちにその影響を確認することができ、9 月 16 日に脅威速報を受け取り、Sysdig TRT はオープンソースの Falco ルールを含むブログを公開しました

9月22日:Fezbox

  • 悪意のあるパッケージがSocket Threat Research Team によって報告されました。
  • ブラウザの Web クッキーからユーザー名とパスワードを盗むように設計されています。
  • また、QR コードに悪意のあるコードを埋め込みます。
  • 人気がある=安全だと思い込まないでください。最も信頼されているパッケージであっても、侵害される可能性があります。
  • 対処法: 環境内でパッケージdist.fezbox.cjsをスキャンし、見つかった場合は封じ込めて削除し、認証情報の流出の試みについてログを確認して監視します。

今月のセキュリティレッスン

サプライチェーンは常に攻撃者にとって格好の標的です。依存関係を監査し、不要なもの(ブロートを削減し、ビルド、CI/CD、ランタイム環境における異常な動作を常に監視し、アラートを発するようにしてください。

Sysdig脅威リサーチチームの新たな発見

9月9日: ZynorRAT

  • 高度なマルウェアが開発段階にあったにもかかわらず、チームによって発見され、分析されました。
  • トルコ語起源の Go で書かれており、Linux および Windows 環境をターゲットとする C2 機能のカスタム スイートを提供します。
  • マルウェア開発者は検出回避の改善に積極的に取り組んでおり、Linux バージョンに重点を置いているようですが、ZynorRAT の Windows バージョンはまだカスタマイズが必要です。
  • Sysdig の対応: IOC と複数の検知方法を記載した技術ブログが公開されました。

その他のニュースでも

  • DDR5 メモリ チップに対する新しい RowHammer スタイルの攻撃: 新しいPhoenix エクスプロイト(CVE-2025-6202) は、ビットの反転、SSH キーの盗難、権限の昇格を可能にします。
  • Google のゼロデイ脆弱性が積極的に悪用される: Google は、実際に悪用されていた2 つの Android ゼロデイ脆弱性と1 つのChrome V8 ゼロデイ脆弱性に迅速にパッチを当てました。
  • Cisco、14件の脆弱性を修正:これらの脆弱性の一部は積極的に悪用されており、 CISAから緊急指令が発令されました。CVE-2025-20352は最大200万台のデバイスに影響を与えたと言われています。
  • 業務中断: コリンズ・エアロスペースへのサイバー攻撃により、欧州の主要空港のチェックインシステムが混乱した。ジャガー・ランドローバーは8月31日の攻撃を受け、英国での生産を9月いっぱい停止せざるを得なかった。

最後に

NPMの侵害やZynorRAT、そして新たに活発なエクスプロイトに至るまで、9月は一つのことを改めて示しました。脅威の状況は進化し続けるものであり、私たちも進化を止めるべきではないということです。サイバーセキュリティ啓発月間である10月を迎えるにあたり、検知、インテリジェンス、そしてリアルタイムで機能するツールに引き続き注力してください。

来月のまとめをお待ちください!Sysdig脅威リサーチチームから最新ニュースをお届けします。

Shai-Hulud に関するウェビナーにこちらから登録してください。