Elastic Security Labsによる主な脅威の研究

2025 Elastic グローバル脅威レポートでは、実際のテレメトリから得られた敵の傾向と防御戦略に関する最新の洞察を提供します。

プレースホルダー画像

トピック

Terraform を使用した Elastic Security 検出ルールの管理by Kseniia Ignatovych, Omer Kushmaro, Stuart Moorhouse, Marc-Antoine Leclercq13 2026年3月
Terraform を使用した Elastic Security 検出ルールの管理
SYSTEMへのパッチ差分by Joe Desimone6 2026年3月
SYSTEMへのパッチ差分
Linuxに夢中:ルートキットの分類、フック技術、そしてトレードクラフトby リムコ・スプルーテン、ルーベン・グルーネワウド5 2026年3月
Linuxに夢中:ルートキットの分類、フック技術、そしてトレードクラフト
Elastic Stack Terraformプロバイダーを使用して、Elasticセキュリティスタックをコードとして管理します。by Omer Kushmaro27 2月2026日
Elastic Stack Terraformプロバイダーを使用して、Elasticセキュリティスタックをコードとして管理します。
Elastic Security LabsをTwitterでフォローニュースレターに登録

検出工学

すべて表示
行動を超えて:ES|QL COMPLETIONによるAI拡張検出エンジニアリング

行動を超えて:ES|QL COMPLETIONによるAI拡張検出エンジニアリング

Elastic の ES|QL COMPLETION コマンドが LLM 推論を検出ルールに直接組み込み、検出エンジニアが外部オーケストレーションなしでインテリジェントなアラート トリアージを構築できるようにする方法について説明します。

Elastic Detections as Code エンジニアガイド

Elastic Detections as Code エンジニアガイド

この投稿では、Elastic Security の Detections as Code (DaC) フレームワークの最新の進化について、その開発タイムライン、現在の機能のハイライト、カスタマイズされた実装例などを含めて詳しく説明します。

謎の不正な形式の Authenticode 署名の調査

謎の不正な形式の Authenticode 署名の調査

不明瞭なエラー コードから文書化されていないカーネル ルーチンまで、Windows Authenticode 検証エラーを追跡する詳細な調査。

SHELLTERを例にとると、悪用された商業回避フレームワーク

SHELLTERを例にとると、悪用された商業回避フレームワーク

Elastic Security Labsは、最近、不正に入手した商用回避フレームワークであるSHELLTERを使用して、エクスプロイト後のペイロードをデプロイするインフォスティーラーの出現を検知しました。

マルウェア分析

すべて表示
Linuxに夢中:ルートキットの分類、フック技術、そしてトレードクラフト

Linuxに夢中:ルートキットの分類、フック技術、そしてトレードクラフト

2 部構成のシリーズの第 1 部では、Linux ルートキットの分類法について説明し、ユーザーランド共有オブジェクトのハイジャックやカーネル空間のロード可能なカーネル モジュール フックから最新の eBPF および io_uring を利用した手法までの進化を追跡します。

MIMICRAT: ClickFix キャンペーンが侵害された正規ウェブサイト経由でカスタム RAT を配信

MIMICRAT: ClickFix キャンペーンが侵害された正規ウェブサイト経由でカスタム RAT を配信

Elastic Security Labs は、侵害された正規のサイトを使用して、柔軟な C2、トークン盗難、SOCKS5 トンネリングを備えたカスタムネイティブ C RAT である MIMICRAT で終わる 5 段階のチェーンを配信する ClickFix キャンペーンを発見しました。

骨まで染み渡るBADIIS:世界的なSEOポイズニングキャンペーンへの新たな洞察

骨まで染み渡るBADIIS:世界的なSEOポイズニングキャンペーンへの新たな洞察

2025 年 11 月、Elastic Security Labs は東南アジアに拠点を置く多国籍組織に影響を与える侵入を観測しました。このアクティビティの分析中に、当社のチームは、他の業界出版物と一致して、Windows Web サーバーに BADIIS マルウェアを展開するために使用されるさまざまな侵害後の手法とツールを観察しました。

NANOREMOTE、FINALDRAFTのいとこ

NANOREMOTE、FINALDRAFTのいとこ

NANOREMOTE と呼ばれるフル機能のバックドアは、REF7707 で説明されているマルウェアと特徴を共有しており、FINALDRAFT インプラントに似ています。

内部

すべて表示
SYSTEMへのパッチ差分

SYSTEMへのパッチ差分

この調査では、LLM とパッチ比較を活用して、Windows DWM の Use-After-Free の脆弱性について詳細に説明し、低い権限のユーザー権限から SYSTEM へのエスカレーションを実現する信頼性の高いエクスプロイトを実証しています。

不変の幻想:クラウドファイルでカーネルを乗っ取る

不変の幻想:クラウドファイルでカーネルを乗っ取る

脅威の攻撃者は、ある種の脆弱性を悪用してセキュリティ制限を回避し、信頼チェーンを破壊する可能性があります。

FlipSwitch: 新しいシステムコールフック技術

FlipSwitch: 新しいシステムコールフック技術

FlipSwitch は、Linux カーネル防御の回避について新たな視点を提供し、サイバー攻撃者と防御者の間で繰り広げられている戦いにおける新しい手法を明らかにしています。

謎の不正な形式の Authenticode 署名の調査

謎の不正な形式の Authenticode 署名の調査

不明瞭なエラー コードから文書化されていないカーネル ルーチンまで、Windows Authenticode 検証エラーを追跡する詳細な調査。

脅威インテリジェンス

すべて表示
SHELLTERを例にとると、悪用された商業回避フレームワーク

SHELLTERを例にとると、悪用された商業回避フレームワーク

Elastic Security Labsは、最近、不正に入手した商用回避フレームワークであるSHELLTERを使用して、エクスプロイト後のペイロードをデプロイするインフォスティーラーの出現を検知しました。

南アメリカから東南アジアへ:REF7707の脆弱な網

南アメリカから東南アジアへ:REF7707の脆弱な網

REF7707、新しいマルウェアファミリーを使用して南米の外務省を標的にしました。一貫性のない回避戦術と運用上のセキュリティの失敗により、敵対者が所有する追加のインフラストラクチャが明らかになりました。

ボットに託す望み:Linuxマルウェア、クリプトマイニング、ギャンブル向けAPIの不正使用を調査中

ボットに託す望み:Linuxマルウェア、クリプトマイニング、ギャンブル向けAPIの不正使用を調査中

REF6138キャンペーンでは、クリプトマイニング、DDoS攻撃、ギャンブル向けのAPIを介したマネーロンダリングが発生した可能性があり、攻撃者が進化を続けるマルウェアとステルス通信チャネルを使用していることが浮き彫りになりました。

行動規範:北朝鮮のPythonによるセキュリティ保護されたネットワークへの侵入

行動規範:北朝鮮のPythonによるセキュリティ保護されたネットワークへの侵入

このドキュメントは、北朝鮮によるPythonの戦略的使用と入念に作成されたソーシャルエンジニアリングを調査し、進化を続ける効果的なサイバー攻撃によって、安全性の高いネットワークをどのように侵害するのか明らかにします。

機械学習

すべて表示
新しいKibana統合によるドメイン生成アルゴリズム(DGA)アクティビティの検出

新しいKibana統合によるドメイン生成アルゴリズム(DGA)アクティビティの検出

Kibana の Integrations アプリに DGA 検出パッケージを追加しました。 1 回のクリックで、DGA モデルと、取り込みパイプライン構成、異常検出ジョブ、検出ルールなどの関連アセットをインストールして使用を開始できます。

マルウェアへのセキュリティ保護の迅速な対応を自動化

マルウェアへのセキュリティ保護の迅速な対応を自動化

機械学習モデルの助けを借りて、新しい情報に応じて迅速に更新を行い、それらの保護をユーザーに伝えるプロセスをどのように改善してきたかをご覧ください。

新しいElastic統合によるLiving-off-the-land攻撃の検出

新しいElastic統合によるLiving-off-the-land攻撃の検出

Kibana の統合アプリに Living off the land (LotL) 検出パッケージを追加しました。1 回のクリックで、ProblemChild モデルと、異常検出構成や検出ルールなどの関連アセットをインストールして使用を開始できます。

Elasticを使用したビーコンマルウェアの特定

Elasticを使用したビーコンマルウェアの特定

このブログでは、ビーコン識別フレームワークを使用して、ユーザーの環境内のビーコン マルウェアを識別する手順を説明します。

生成AI

すべて表示
MCPツール: 自律エージェントに対する攻撃ベクトルと防御推奨事項

MCPツール: 自律エージェントに対する攻撃ベクトルと防御推奨事項

この調査では、モデル コンテキスト プロトコル (MCP) ツールが自律エージェントの攻撃対象領域をどのように拡大するかを調査し、ツール ポイズニング、オーケストレーション インジェクション、ラグ プル再定義などのエクスプロイト ベクトルを、実用的な防御戦略とともに詳細に説明します。

エージェントフレームワークの概要

エージェントフレームワークの概要

エージェント システムでは、セキュリティ チームが自律性と調整のバランスをとり、AI エージェントが目標の一贯性と制御性を維持しながら独立して行動できるようにする必要があります。

Elastic、標準化されたフィールドと統合によりLLMのセキュリティを強化

Elastic、標準化されたフィールドと統合によりLLMのセキュリティを強化

標準化されたフィールド統合と強化された検出機能に重点を置いた、ElasticのLLMセキュリティの最新の進歩をご覧ください。これらの標準を採用することでシステムをどのように保護できるかを学びましょう。

LLMワークフローにセキュリティを組み込む:Elasticの能動的アプローチ

LLMワークフローにセキュリティを組み込む:Elasticの能動的アプローチ

大規模言語モデル(LLM)にセキュリティを直接組み込むElasticの取り組みをご紹介します。LLMアプリケーションにおけるOWASPの脆弱性の上位いくつかを検出・軽減し、より安全でセキュアなAI駆動型アプリケーションを確保する当社の戦略をご覧ください。

ツール

すべて表示
WinVisor – Windows x64のユーザーモード実行ファイルを目的としたハイパーバイザーベースのエミュレーター

WinVisor – Windows x64のユーザーモード実行ファイルを目的としたハイパーバイザーベースのエミュレーター

WinVisor は、Windows x64 ユーザーモード実行可能ファイルのためのハイパーバイザーベースのエミュレーターで、Windows Hypervisor Platform API を利用して、システムコールのログ記録とメモリのイントロスペクションを可能にする仮想化環境を提供します。

STIX的シチュエーション:脅威データのエスケープ

STIX的シチュエーション:脅威データのエスケープ

構造化された脅威データは通常、STIXを使用してフォーマットされます。このデータをElasticsearchに取り込むために、STIXをECS形式に変換してスタックに取り込む、Pythonスクリプトをリリースします。

名前付きパイプで夜通し踊る - PIPEDANCEクライアントリリース

名前付きパイプで夜通し踊る - PIPEDANCEクライアントリリース

この資料では、このクライアント アプリケーションの機能と、ツールの使用を開始する方法について説明します。

カチッ、カチッ… ドカン!Detonateで保護テストを自動化

カチッ、カチッ… ドカン!Detonateで保護テストを自動化

このプロセスを自動化し、大規模な保護をテストするために、セキュリティ研究エンジニアがElastic Securityソリューションの有効性を自動的に測定するために使用するシステム「Detonate」を構築しました。