2025年9月なにが起きた？ほぼこも的セキュリティまとめ｜ブログ(ほぼこもセキュリティニュース)

※この記事の全文は、2025年9月に「ほぼこもセキュリティニュース」で取り上げた情報をもとに、生成AIによって要約・構成しています。

日中はまだ暑さが残りつつも、朝晩はすっかり秋らしくなってきました。
気候は落ち着きつつありますが、セキュリティの世界は相変わらず騒がしいままです。

というわけで、今月もお届けします。「ほぼこもセキュリティニュース・月イチまとめ」第5回。
生成AIの力を借りながら、2025年9月に話題となったニュースを振り返ります。

「そういえば、こんなトピックもあったな」と思い返していただける小さな整理の時間に。
季節の変わり目に、少し肩の力を抜きながらキャッチアップしていただければ幸いです。

サイバーセキュリティトレンドの概観：2025年9月の振り返り

2025年9月のサイバーセキュリティ動向は、サプライチェーンを標的にしたShai-Huludや内部者利用を狙うMedusaランサムウェアなど、技術的・人的両面での攻撃が目立ちました。MostereRATやIC3偽サイトに見られるように、人間の行動や心理を突く手口も依然強力です。一方で、Inf0s3c Stealerに象徴される難読化・遅延設置型の高度化も進み、検知を困難にしています。
攻撃者の多様化と巧妙化が改めて浮き彫りになった一か月でした。

新たなマルウェアの手口

新型バックドア「MystRodX」が確認され、DNSやICMPを利用する独自の接続方式で検出回避を狙いました。加えて、偽アプリ配布を起点に自動送金や暗号資産窃取を行う「RatOn」、日本語の巧妙なフィッシングメールを入口とする「MostereRAT」も報告され、手口の多様化と標的範囲の拡大が浮き彫りになりました。

AIを利用した攻撃

生成AIを悪用する攻撃が現実的な脅威となっています。「s1ngularity」はGitHub Actionsを悪用し、NPMに悪意あるパッケージを公開して開発者の秘密情報を窃取しました。
一方、「EvilAI」キャンペーンでは、生成AIで利便機能を備えた正規風ソフトを生成しつつ、内部に情報窃取や暗号化C2による追加ペイロード取得機能を仕込んで広域に配布しています。外観や署名も整っており判定が難しい点も特徴です。

サプライチェーン攻撃の複雑化

Shai-Huludは、GitHubリポジトリの侵害を起点に一度環境を侵すと自動で連鎖的に広がる性質が指摘されており、公開済みパッケージへの波及やCI/リポジトリ経由での秘密情報流出が懸念されます。暫定的にはバージョン固定が話題になりますが、根本的には初期侵害の早期検知と、秘密情報・権限の管理運用の見直しが重要と考えられます。

内部者を利用する試み

Medusaランサムウェア集団はBBCの関係者に接触し、内部からのシステムアクセス提供を持ちかけるなど、人を介した侵入の試みが観測されました。技術的対策だけでなく内部統制、第三者アクセス管理、疑わしい接触の監視と通報ルート整備が重要です。

インフォスティーラーの進化

Inf0s3c Stealerは多段難読化や遅延設置、自己削除機能を備え、検出や解析を困難にする高度な設計が確認されています。
一方でTamperedchefは、当初は正規ツール同等の動作を装い、一定期間後のアップデートで有害化する手口が特徴です。いずれもブラウザ認証情報などを狙い、技術的巧妙化と配布戦略の両面で警戒を要する存在となっています。

偽窓口や広告悪用による誘導

米国IC3（インターネット犯罪苦情センター）を装った偽サイトが確認され、苦情情報や個人情報を収集し、さらにIC3職員になりすました連絡で資金回収を装い金銭を要求する手口が報告されています。
GPUGateはGoogle広告で偽の「GitHub Desktop」ページに誘導し、インストーラー内のDLLで感染させます。物理GPUを条件に動作する解析回避機能を持ち、広告経路と標的性を組み合わせた攻撃です。信頼されやすい窓口や広告インフラの利用は要警戒です。