今週のセキュリティ脅威ハイライト

今週確認された脅威からは、「侵入されてから気付く」のではなく、「継続的に異常を監視する」ことの重要性が改めて浮き彫りになりました。

新型バンキングマルウェアはTelegramを利用して即座に遠隔操作を開始し、中国系脅威グループは正規サービスを悪用して長期間の潜伏を実現しています。また、ランサムウェア被害は依然として日本企業で発生しており、AIによる脆弱性探索技術の進化は攻撃と防御の両面に大きな変化をもたらしています。

攻撃者の手法が高度化する中、企業には「一度の診断」ではなく「継続的な監視と改善」が求められています。今週の主要な脅威を見ていきましょう。

[脅威 1] 銀行向けゴーストバンキングマルウェア：日本をはじめとする各国を標的としている

「Infrastructure Destruction Squad」と名乗る攻撃者が、バンキングマルウェア「BankGhost」の新バージョンを開発した。 価格は400ドルで3週間のサポートが付帯し、毎週ツールはさらに改良されています。このマルウェアは、カメラやマイクへのスパイ活動、パスワード、ファイル、クッキー、Wi-Fiパスワード、Discordトークン、Telegramセッション、WhatsAppデータ、暗号資産ウォレットの窃取に加え、CMDおよびPowerShellコマンドの実行、アンチウイルスやファイアウォールの無効化、RDPの有効化、完全なファイル制御など、30種類の完全なリモートコントロールコマンドに対応しています。 被害者が自身のデバイス上でファイルを実行すると、ハッカーはTelegramボットを通じて即座に通知を受け取ります。この通知には、コンピュータ名、ユーザー名、IPアドレス、およびその時点での標的となる銀行を含む、デバイスの完全な情報が含まれています。 ハッカーはTelegram経由で任意のコマンドを送信し、被害者のシステムを容易に完全遠隔制御下に置くことができます。主な機能には、完全かつ使いやすいグラフィカルインターフェースと、世界700以上の銀行への対応が含まれます。対応銀行には、米国、英国、カナダ、オーストラリア、ドイツ、フランス、ブラジル、メキシコ、日本、インド、UAE、サウジアラビア、シンガポール、南アフリカ、トルコ、スイス、イタリア、スペイン、オランダ、およびスカンジナビア諸国の銀行が含まれます。

出典：BankGhost Builder: New Malware Threat to Banks

[脅威 2] Gentlemenランサムウェア：日本の新たな被害者がリストに追加

Gentlemenランサムウェアグループは、ダークウェブ上のポータルサイトに日本の被害者1名を新たに追加しました。

出典：Pipeline DarkWeb Monitoring

[脅威 3] アジア太平洋地域の組織を標的とした Mustang Panda の高度なサイバー諜報キャンペーン

「Mustang Panda」として知られる中国関連の脅威グループは、2025年9月から2026年4月にかけて、アジア太平洋地域および日本の組織を標的とした長期にわたるサイバー諜報キャンペーンを実施しました。攻撃者は主に金融などのセクターに焦点を当て、検出を回避するために高度なステルス技術を使用しました。 このキャンペーンでは、遠隔操作やスパイ活動を目的として設計された、高度に難読化された.NETマルウェアである「FDMTPバックドア」の更新版が使用されました。攻撃者は、信頼されているYahooやAppleのCDNドメインを偽装して、悪意のあるペイロードを配布した。また、正規の実行ファイルと悪意のあるDLLファイルを組み合わせることでDLLサイドローディングを行い、マルウェアを信頼されたプロセス内で実行できるようにしました。 このマルウェアは主にメモリ上で動作するため、ディスク上の痕跡が少なくなり、検知が困難になります。実行されると、バックドアは永続的なコマンド機能を備えた独自のTCPベースのDMTPプロトコルを介して通信しました。このフレームワークは、永続化、レジストリの変更、スケジュールされたタスクの作成、リモートファイルの取得、およびプロセス操作のためのモジュール式プラグインをサポートしていました。永続化は、スケジュールされたタスクとMicrosoft IMEパス下のレジストリキーを通じて維持されました。マルウェアは、更新や指示を受けるために、5分ごとにCDNのようなドメインに頻繁に接続していました。 研究者らは、攻撃者がインフラやインジケーターを定期的に変更しており、従来のIOCベースの検知の有効性を制限していると指摘しました。そのため、セキュリティ専門家は、静的なシグネチャのみに依存するのではなく、攻撃パターンを特定するための行動ベースの監視および検知戦略を推奨しています。

出典：アジア太平洋地域でのスパイ活動に関与したFDMTPバックドアと関連するMustang Panda - Infosecurity Mustang Panda Linked to FDMTP Backdoor in Asia-Pacific Espionage - Infosecurity Magazine

[脅威4] セキュリティ懸念の高まりを受け、日本政府がAnthropic社のMythosのようなAI脆弱性探索ツールを巡りサイバーセキュリティ見直しを指示

日本の高市首相は、Anthropic社のMythosのようなAIベースの脆弱性検出システムの急速な進展に対する懸念から、全国的なサイバーセキュリティ見直しを指示しました。この指示により、サイバーセキュリティ担当大臣は、政府システムがセキュリティ上の弱点を効果的に検出して修正できるかどうかを評価する任務を負いました。また、公共インフラ全体にわたる国家のサイバーセキュリティ体制の広範な見直しも求められています。重要な焦点は、重要インフラの運営者が新たな脅威に対する防御を強化できることを確保することにあります。 この見直しを促した懸念は、AIツールがソフトウェアの脆弱性の発見と悪用を大幅に加速させる可能性があるという点です。この加速により、重要システムを標的としたサイバー攻撃の規模と速度が増大する恐れがあります。記事では、研究者やサイバーセキュリティベンダーが、AIによって攻撃能力の自動化が進むことについて以前から警告してきたと指摘しています。2026年4月にリリースされたMythosは、この問題を政策の主流の関心事として浮上させることで、こうした議論をさらに活発化させた。 一方で、一部の専門家は、「Mythos」がもたらすのは主に速度の向上であり、全く新しい種類の脆弱性を生み出すものではないと主張しています。全体として、日本の対応は、AIを活用したサイバー作戦が脅威の様相を一変させ、より強力かつ先制的な防御を必要とする可能性があるという、世界的な懸念の高まりを反映しています。

出典：日本の首相、AnthropicのMythosに対抗するためサイバーセキュリティの見直しを指示

Japan’s PM orders cybersecurity review to defend against Anthropic Mythos

推奨事項：

• 予期しないファイルを開かないよう職員を教育し、行動する前に送信者を確認する

• すべての電信送金および高額な支払いに二重承認の仕組みを導入する

• ランサムウェアインシデント対応計画を更新し、明確な意思決定責任者を割り当てる

• サイバー保険を見直し、ランサムウェアやデータ漏洩による損害が補償対象であることを確認する

• 最も機密性の高いデータ（M&A関連情報、顧客記録など）を特定し、すでにサイレントスパイ活動によるリスクにさらされているものとして扱う

• ネットワーク境界で、許可されていない実行ファイルおよびTelegramの外部への通信をブロックする

• IOC/シグネチャベースの検知から、行動ベースのEDR/XDRへ移行する—攻撃者は常に検知指標を変化させている

• オフラインかつエアギャップ化されたバックアップを徹底し、四半期ごとに復旧テストを実施する

→　こちらから視聴可能です

さいごに

AI環境はしばしば「ツール」として紹介されますが、

外部に公開された瞬間から、それらはサーバーと全く同じリスクを伴う資産となる。

最近のGHOSTキャンペーンは、こうした認識のギャップを悪用した攻撃の典型的な例である。

まず、貴社のAI環境が外部からどのように見えるかを確認することから始めてください。

ここまでお読みいただき、ありがとうございました。

私たちPIPELINE株式会社は、私たちは、サイバーセキュリティと脅威情報（Threat Intelligence）を専門とする専門家集団として、

日々、現場でお客様とともに脅威に向き合っています。

「社内に専門チームがあっても、リソースが足りない」「どこから手をつけたら良いか分からない」「攻撃される前提で現実的に備えたい」

といったご相談は少なくありません。会社の規模に関係なく、守りが弱い部分を狙われやすいというのが今の状況です。

そして、社内だけで抱え込むことで、どうしても見落としが生まれやすくなります。

だからこそ、私たちは理想論ではなく、現場で役立つ方法に絞り、スモールスタートで手軽に始められる形をご提案しています。「できる範囲の一歩」でも、安全性は大きく変わります。

少しでも不安があれば、どうぞお気軽にご相談ください。最短でセキュリティ強化に繋げる方法を共に整えていきましょう。