Elastic Security Labsによる主な脅威の研究

2025 Elastic グローバル脅威レポートでは、実際のテレメトリから得られた敵の傾向と防御戦略に関する最新の洞察を提供します。

プレースホルダー画像

トピック

不変の幻想:クラウドファイルでカーネルを乗っ取るby Gabriel Landau20 2月2026日
不変の幻想:クラウドファイルでカーネルを乗っ取る
MIMICRAT: ClickFix キャンペーンが侵害された正規ウェブサイト経由でカスタム RAT を配信by Salim Bitam20 2月2026日
MIMICRAT: ClickFix キャンペーンが侵害された正規ウェブサイト経由でカスタム RAT を配信
攻撃検出、ワークフロー、エージェントビルダーによる APT 攻撃確認の迅速化by James Spiteri, Dhrumil Patel18 2月2026日
攻撃検出、ワークフロー、エージェントビルダーによる APT 攻撃確認の迅速化
骨まで染み渡るBADIIS:世界的なSEOポイズニングキャンペーンへの新たな洞察by Jia Yu Chan, Daniel Stepanic, Cyril François11 2月2026日
骨まで染み渡るBADIIS:世界的なSEOポイズニングキャンペーンへの新たな洞察
Elastic Security LabsをTwitterでフォローニュースレターに登録

検出工学

すべて表示
謎の不正な形式の Authenticode 署名の調査

謎の不正な形式の Authenticode 署名の調査

不明瞭なエラー コードから文書化されていないカーネル ルーチンまで、Windows Authenticode 検証エラーを追跡する詳細な調査。

SHELLTERを例にとると、悪用された商業回避フレームワーク

SHELLTERを例にとると、悪用された商業回避フレームワーク

Elastic Security Labsは、最近、不正に入手した商用回避フレームワークであるSHELLTERを使用して、エクスプロイト後のペイロードをデプロイするインフォスティーラーの出現を検知しました。

Microsoft Entra ID OAuth のフィッシングと検出

Microsoft Entra ID OAuth のフィッシングと検出

この記事では、Microsoft Entra ID での OAuth フィッシングとトークンベースの不正使用について説明します。サインイン アクティビティ中のトークン、スコープ、デバイスの動作のエミュレーションと分析を通じて、防御側が OAuth の誤用を検出してハンティングするために使用できる忠実度の高いシグナルを明らかにします。

誤動作のモダリティ: 手法ではなくツールの検出

誤動作のモダリティ: 手法ではなくツールの検出

実行モダリティの概念と、モダリティに焦点を当てた検出が行動に焦点を当てた検出をどのように補完できるかを探ります。

マルウェア分析

すべて表示
MIMICRAT: ClickFix キャンペーンが侵害された正規ウェブサイト経由でカスタム RAT を配信

MIMICRAT: ClickFix キャンペーンが侵害された正規ウェブサイト経由でカスタム RAT を配信

Elastic Security Labs は、侵害された正規のサイトを使用して、柔軟な C2、トークン盗難、SOCKS5 トンネリングを備えたカスタムネイティブ C RAT である MIMICRAT で終わる 5 段階のチェーンを配信する ClickFix キャンペーンを発見しました。

骨まで染み渡るBADIIS:世界的なSEOポイズニングキャンペーンへの新たな洞察

骨まで染み渡るBADIIS:世界的なSEOポイズニングキャンペーンへの新たな洞察

2025 年 11 月、Elastic Security Labs は東南アジアに拠点を置く多国籍組織に影響を与える侵入を観測しました。このアクティビティの分析中に、当社のチームは、他の業界出版物と一致して、Windows Web サーバーに BADIIS マルウェアを展開するために使用されるさまざまな侵害後の手法とツールを観察しました。

NANOREMOTE、FINALDRAFTのいとこ

NANOREMOTE、FINALDRAFTのいとこ

NANOREMOTE と呼ばれるフル機能のバックドアは、REF7707 で説明されているマルウェアと特徴を共有しており、FINALDRAFT インプラントに似ています。

RONINGLOADER: DragonBreath の PPL 乱用への新たな道

RONINGLOADER: DragonBreath の PPL 乱用への新たな道

Elastic Security Labs は、DragonBreath の更新された gh0st RAT バリアントを展開するマルチステージ ローダーである RONINGLOADER を発見しました。このキャンペーンでは、署名付きドライバー、スレッドプール インジェクション、PPL の悪用を武器にして、Defender を無効にし、中国の EDR ツールを回避します。

内部

すべて表示
不変の幻想:クラウドファイルでカーネルを乗っ取る

不変の幻想:クラウドファイルでカーネルを乗っ取る

脅威の攻撃者は、ある種の脆弱性を悪用してセキュリティ制限を回避し、信頼チェーンを破壊する可能性があります。

FlipSwitch: 新しいシステムコールフック技術

FlipSwitch: 新しいシステムコールフック技術

FlipSwitch は、Linux カーネル防御の回避について新たな視点を提供し、サイバー攻撃者と防御者の間で繰り広げられている戦いにおける新しい手法を明らかにしています。

謎の不正な形式の Authenticode 署名の調査

謎の不正な形式の Authenticode 署名の調査

不明瞭なエラー コードから文書化されていないカーネル ルーチンまで、Windows Authenticode 検証エラーを追跡する詳細な調査。

コールスタック:マルウェアの無料パスはもうありません

コールスタック:マルウェアの無料パスはもうありません

コールスタックがマルウェア検知にもたらす計り知れない価値と、アーキテクチャ上の制限にもかかわらず、Elasticがコールスタックを重要なWindowsエンドポイントテレメトリーと見なしている理由を探ります。

脅威インテリジェンス

すべて表示
SHELLTERを例にとると、悪用された商業回避フレームワーク

SHELLTERを例にとると、悪用された商業回避フレームワーク

Elastic Security Labsは、最近、不正に入手した商用回避フレームワークであるSHELLTERを使用して、エクスプロイト後のペイロードをデプロイするインフォスティーラーの出現を検知しました。

南アメリカから東南アジアへ:REF7707の脆弱な網

南アメリカから東南アジアへ:REF7707の脆弱な網

REF7707、新しいマルウェアファミリーを使用して南米の外務省を標的にしました。一貫性のない回避戦術と運用上のセキュリティの失敗により、敵対者が所有する追加のインフラストラクチャが明らかになりました。

ボットに託す望み:Linuxマルウェア、クリプトマイニング、ギャンブル向けAPIの不正使用を調査中

ボットに託す望み:Linuxマルウェア、クリプトマイニング、ギャンブル向けAPIの不正使用を調査中

REF6138キャンペーンでは、クリプトマイニング、DDoS攻撃、ギャンブル向けのAPIを介したマネーロンダリングが発生した可能性があり、攻撃者が進化を続けるマルウェアとステルス通信チャネルを使用していることが浮き彫りになりました。

行動規範:北朝鮮のPythonによるセキュリティ保護されたネットワークへの侵入

行動規範:北朝鮮のPythonによるセキュリティ保護されたネットワークへの侵入

このドキュメントは、北朝鮮によるPythonの戦略的使用と入念に作成されたソーシャルエンジニアリングを調査し、進化を続ける効果的なサイバー攻撃によって、安全性の高いネットワークをどのように侵害するのか明らかにします。

機械学習

すべて表示
新しいKibana統合によるドメイン生成アルゴリズム(DGA)アクティビティの検出

新しいKibana統合によるドメイン生成アルゴリズム(DGA)アクティビティの検出

Kibana の Integrations アプリに DGA 検出パッケージを追加しました。 1 回のクリックで、DGA モデルと、取り込みパイプライン構成、異常検出ジョブ、検出ルールなどの関連アセットをインストールして使用を開始できます。

マルウェアへのセキュリティ保護の迅速な対応を自動化

マルウェアへのセキュリティ保護の迅速な対応を自動化

機械学習モデルの助けを借りて、新しい情報に応じて迅速に更新を行い、それらの保護をユーザーに伝えるプロセスをどのように改善してきたかをご覧ください。

新しいElastic統合によるLiving-off-the-land攻撃の検出

新しいElastic統合によるLiving-off-the-land攻撃の検出

Kibana の統合アプリに Living off the land (LotL) 検出パッケージを追加しました。1 回のクリックで、ProblemChild モデルと、異常検出構成や検出ルールなどの関連アセットをインストールして使用を開始できます。

Elasticを使用したビーコンマルウェアの特定

Elasticを使用したビーコンマルウェアの特定

このブログでは、ビーコン識別フレームワークを使用して、ユーザーの環境内のビーコン マルウェアを識別する手順を説明します。

生成AI

すべて表示
MCPツール: 自律エージェントに対する攻撃ベクトルと防御推奨事項

MCPツール: 自律エージェントに対する攻撃ベクトルと防御推奨事項

この調査では、モデル コンテキスト プロトコル (MCP) ツールが自律エージェントの攻撃対象領域をどのように拡大するかを調査し、ツール ポイズニング、オーケストレーション インジェクション、ラグ プル再定義などのエクスプロイト ベクトルを、実用的な防御戦略とともに詳細に説明します。

エージェントフレームワークの概要

エージェントフレームワークの概要

エージェント システムでは、セキュリティ チームが自律性と調整のバランスをとり、AI エージェントが目標の一贯性と制御性を維持しながら独立して行動できるようにする必要があります。

Elastic、標準化されたフィールドと統合によりLLMのセキュリティを強化

Elastic、標準化されたフィールドと統合によりLLMのセキュリティを強化

標準化されたフィールド統合と強化された検出機能に重点を置いた、ElasticのLLMセキュリティの最新の進歩をご覧ください。これらの標準を採用することでシステムをどのように保護できるかを学びましょう。

LLMワークフローにセキュリティを組み込む:Elasticの能動的アプローチ

LLMワークフローにセキュリティを組み込む:Elasticの能動的アプローチ

大規模言語モデル(LLM)にセキュリティを直接組み込むElasticの取り組みをご紹介します。LLMアプリケーションにおけるOWASPの脆弱性の上位いくつかを検出・軽減し、より安全でセキュアなAI駆動型アプリケーションを確保する当社の戦略をご覧ください。

ツール

すべて表示
WinVisor – Windows x64のユーザーモード実行ファイルを目的としたハイパーバイザーベースのエミュレーター

WinVisor – Windows x64のユーザーモード実行ファイルを目的としたハイパーバイザーベースのエミュレーター

WinVisor は、Windows x64 ユーザーモード実行可能ファイルのためのハイパーバイザーベースのエミュレーターで、Windows Hypervisor Platform API を利用して、システムコールのログ記録とメモリのイントロスペクションを可能にする仮想化環境を提供します。

STIX的シチュエーション:脅威データのエスケープ

STIX的シチュエーション:脅威データのエスケープ

構造化された脅威データは通常、STIXを使用してフォーマットされます。このデータをElasticsearchに取り込むために、STIXをECS形式に変換してスタックに取り込む、Pythonスクリプトをリリースします。

名前付きパイプで夜通し踊る - PIPEDANCEクライアントリリース

名前付きパイプで夜通し踊る - PIPEDANCEクライアントリリース

この資料では、このクライアント アプリケーションの機能と、ツールの使用を開始する方法について説明します。

カチッ、カチッ… ドカン!Detonateで保護テストを自動化

カチッ、カチッ… ドカン!Detonateで保護テストを自動化

このプロセスを自動化し、大規模な保護をテストするために、セキュリティ研究エンジニアがElastic Securityソリューションの有効性を自動的に測定するために使用するシステム「Detonate」を構築しました。