Elastic Security Labsによる主な脅威の研究

Elastic Securityは、AIツールにインタラクティブなユーザーインターフェースを搭載した最初のセキュリティベンダーです。アラートのトリアージ、脅威の特定、攻撃チェーンの関連付け、ケースの開設など、すべてAIとの会話内で行えます。

プレースホルダー画像

トピック

コピー失敗とダーティフラグ:Linuxページキャッシュのバグが現実世界で発生by Ruben Groenewoud, Eric Forte, Samir Bousseaden2026年5月9日
コピー失敗とダーティフラグ:Linuxページキャッシュのバグが現実世界で発生
TraefikでWebサーバーのプロービングとファジングを検出し、Cloudflareの自動応答を実現するby Erik-Jan de Kruijf2026年5月8日
TraefikでWebサーバーのプロービングとファジングを検出し、Cloudflareの自動応答を実現する
TCLBANKER:ブラジル発の銀行トロイの木馬がWhatsAppとOutlookを介して拡散by Jia Yu Chan, Daniel Stepanic, Seth Goodwin, Terrance DeJesus2026年5月7日
TCLBANKER:ブラジル発の銀行トロイの木馬がWhatsAppとOutlookを介して拡散
Elastic Workflows GA: セキュリティデータが既に存在する場所で自動化を実現by Tinsae Erkailo2026年5月5日
Elastic Workflows GA: セキュリティデータが既に存在する場所で自動化を実現
Elastic Security LabsをTwitterでフォローニュースレターに登録

検出工学

すべて表示
コピー失敗とダーティフラグ:Linuxページキャッシュのバグが現実世界で発生

コピー失敗とダーティフラグ:Linuxページキャッシュのバグが現実世界で発生

本研究では、Linuxカーネルの権限昇格脆弱性であるCopy FailとDirtyFragを分析します。これらの脆弱性は、微妙なページキャッシュの破損バグを悪用して、root権限への確実なアクセス経路を作り出します。さらに、Elastic Security Labsはこれらの脆弱性に対する検出ロジックを公開する予定です。

CI/CDパイプラインの悪用:誰も注目していない問題

CI/CDパイプラインの悪用:誰も注目していない問題

GitHub Actions、GitLab CI、Azure DevOpsパイプラインにおけるCI/CDの不正利用を検出するために、シグナル抽出とLLM推論を利用した、オープンソースでそのまま導入可能なCIテンプレートをどのように構築したか。

理解のコスト:LLM主導のリバースエンジニアリング vs. 反復的なLLM難読化

理解のコスト:LLM主導のリバースエンジニアリング vs. 反復的なLLM難読化

Elastic Security Labsは、LLM(論理言語管理)を用いたリバースエンジニアリングと難読化の間で繰り広げられている、絶え間ない軍拡競争について考察する。

アラートの優先順位付けと高次検出ルールによるトリアージ

アラートの優先順位付けと高次検出ルールによるトリアージ

マルチシグナル相関と高次検出パターンによるSOC効率のスケーリング。

マルウェア分析

すべて表示
TCLBANKER:ブラジル発の銀行トロイの木馬がWhatsAppとOutlookを介して拡散

TCLBANKER:ブラジル発の銀行トロイの木馬がWhatsAppとOutlookを介して拡散

REF3076は、トロイの木馬化されたLogitechインストーラーを使用して、環境制御型ペイロード、WPF詐欺オーバーレイ、自己増殖型WhatsAppおよびOutlookワームモジュールを備えたブラジルのバンキング型トロイの木馬であるTCLBANKERをデプロイします。

理解のコスト:LLM主導のリバースエンジニアリング vs. 反復的なLLM難読化

理解のコスト:LLM主導のリバースエンジニアリング vs. 反復的なLLM難読化

Elastic Security Labsは、LLM(論理言語管理)を用いたリバースエンジニアリングと難読化の間で繰り広げられている、絶え間ない軍拡競争について考察する。

金庫の中のファントム:オブシディアンがファントムパルスRATを配信するために悪用される

金庫の中のファントム:オブシディアンがファントムパルスRATを配信するために悪用される

Elastic Security Labsは、人気の高いメモアプリであるObsidianの正規コミュニティプラグインエコシステムを悪用する、新たなソーシャルエンジニアリング攻撃を発見した。我々がREF6598として追跡しているこのキャンペーンは、LinkedInとTelegram上で巧妙なソーシャルエンジニアリングを用いて、金融および仮想通貨業界の個人を標的にしている。

Linuxに夢中:ルートキット検出エンジニアリング

Linuxに夢中:ルートキット検出エンジニアリング

全2回シリーズの第2回となる本稿では、Linuxのルートキット検出技術について、静的検出への依存の限界と、ルートキットの挙動検出の重要性に焦点を当てて解説します。

内部

すべて表示
Linuxに夢中:ルートキット検出エンジニアリング

Linuxに夢中:ルートキット検出エンジニアリング

全2回シリーズの第2回となる本稿では、Linuxのルートキット検出技術について、静的検出への依存の限界と、ルートキットの挙動検出の重要性に焦点を当てて解説します。

SYSTEMへのパッチ差分

SYSTEMへのパッチ差分

この調査では、LLM とパッチ比較を活用して、Windows DWM の Use-After-Free の脆弱性について詳細に説明し、低い権限のユーザー権限から SYSTEM へのエスカレーションを実現する信頼性の高いエクスプロイトを実証しています。

不変の幻想:クラウドファイルでカーネルを乗っ取る

不変の幻想:クラウドファイルでカーネルを乗っ取る

脅威の攻撃者は、ある種の脆弱性を悪用してセキュリティ制限を回避し、信頼チェーンを破壊する可能性があります。

FlipSwitch: 新しいシステムコールフック技術

FlipSwitch: 新しいシステムコールフック技術

FlipSwitch は、Linux カーネル防御の回避について新たな視点を提供し、サイバー攻撃者と防御者の間で繰り広げられている戦いにおける新しい手法を明らかにしています。

脅威インテリジェンス

すべて表示
TCLBANKER:ブラジル発の銀行トロイの木馬がWhatsAppとOutlookを介して拡散

TCLBANKER:ブラジル発の銀行トロイの木馬がWhatsAppとOutlookを介して拡散

REF3076は、トロイの木馬化されたLogitechインストーラーを使用して、環境制御型ペイロード、WPF詐欺オーバーレイ、自己増殖型WhatsAppおよびOutlookワームモジュールを備えたブラジルのバンキング型トロイの木馬であるTCLBANKERをデプロイします。

金庫の中のファントム:オブシディアンがファントムパルスRATを配信するために悪用される

金庫の中のファントム:オブシディアンがファントムパルスRATを配信するために悪用される

Elastic Security Labsは、人気の高いメモアプリであるObsidianの正規コミュニティプラグインエコシステムを悪用する、新たなソーシャルエンジニアリング攻撃を発見した。我々がREF6598として追跡しているこのキャンペーンは、LinkedInとTelegram上で巧妙なソーシャルエンジニアリングを用いて、金融および仮想通貨業界の個人を標的にしている。

Axiosサプライチェーン侵害の内幕 - すべてを支配する一匹のRAT

Axiosサプライチェーン侵害の内幕 - すべてを支配する一匹のRAT

Elastic Security Labsは、統一されたクロスプラットフォームRATを提供するaxios npmパッケージのサプライチェーン侵害を分析した。

Elastic社、Axiosサプライチェーン侵害の検出機能をリリース

Elastic社、Axiosサプライチェーン侵害の検出機能をリリース

Elasticが発見したAxiosサプライチェーンの侵害に対する、探索および検出ルール。

機械学習

すべて表示
新しいKibana統合によるドメイン生成アルゴリズム(DGA)アクティビティの検出

新しいKibana統合によるドメイン生成アルゴリズム(DGA)アクティビティの検出

Kibana の Integrations アプリに DGA 検出パッケージを追加しました。 1 回のクリックで、DGA モデルと、取り込みパイプライン構成、異常検出ジョブ、検出ルールなどの関連アセットをインストールして使用を開始できます。

マルウェアへのセキュリティ保護の迅速な対応を自動化

マルウェアへのセキュリティ保護の迅速な対応を自動化

機械学習モデルの助けを借りて、新しい情報に応じて迅速に更新を行い、それらの保護をユーザーに伝えるプロセスをどのように改善してきたかをご覧ください。

新しいElastic統合によるLiving-off-the-land攻撃の検出

新しいElastic統合によるLiving-off-the-land攻撃の検出

Kibana の統合アプリに Living off the land (LotL) 検出パッケージを追加しました。1 回のクリックで、ProblemChild モデルと、異常検出構成や検出ルールなどの関連アセットをインストールして使用を開始できます。

Elasticを使用したビーコンマルウェアの特定

Elasticを使用したビーコンマルウェアの特定

このブログでは、ビーコン識別フレームワークを使用して、ユーザーの環境内のビーコン マルウェアを識別する手順を説明します。

生成AI

すべて表示
Elastic Security MCPアプリ:AIツール内でのインタラクティブなセキュリティ操作

Elastic Security MCPアプリ:AIツール内でのインタラクティブなセキュリティ操作

Elastic Securityは、AIツールにインタラクティブなユーザーインターフェースを搭載した最初のセキュリティベンダーです。アラートのトリアージ、脅威の特定、攻撃チェーンの関連付け、ケースの開設など、すべてAIとの会話内で行えます。

ElasticのOTelを使用してClaude Code/Coworkを大規模に監視

ElasticのOTelを使用してClaude Code/Coworkを大規模に監視

Elasticの情報セキュリティチームが、Claude CodeとClaude CoworkのネイティブOTelエクスポート機能とElasticのOTel取り込みインフラストラクチャを使用して、監視パイプラインを構築した方法。

理解のコスト:LLM主導のリバースエンジニアリング vs. 反復的なLLM難読化

理解のコスト:LLM主導のリバースエンジニアリング vs. 反復的なLLM難読化

Elastic Security Labsは、LLM(論理言語管理)を用いたリバースエンジニアリングと難読化の間で繰り広げられている、絶え間ない軍拡競争について考察する。

AIエージェントからElastic Securityを使い始めましょう

AIエージェントからElastic Securityを使い始めましょう

オープンソースのエージェントスキルを使用することで、IDEから離れることなく、ゼロから完全に構築されたElastic Security環境を構築できます。

ツール

すべて表示
CI/CDパイプラインの悪用:誰も注目していない問題

CI/CDパイプラインの悪用:誰も注目していない問題

GitHub Actions、GitLab CI、Azure DevOpsパイプラインにおけるCI/CDの不正利用を検出するために、シグナル抽出とLLM推論を利用した、オープンソースでそのまま導入可能なCIテンプレートをどのように構築したか。

WinVisor – Windows x64のユーザーモード実行ファイルを目的としたハイパーバイザーベースのエミュレーター

WinVisor – Windows x64のユーザーモード実行ファイルを目的としたハイパーバイザーベースのエミュレーター

WinVisor は、Windows x64 ユーザーモード実行可能ファイルのためのハイパーバイザーベースのエミュレーターで、Windows Hypervisor Platform API を利用して、システムコールのログ記録とメモリのイントロスペクションを可能にする仮想化環境を提供します。

STIX的シチュエーション:脅威データのエスケープ

STIX的シチュエーション:脅威データのエスケープ

構造化された脅威データは通常、STIXを使用してフォーマットされます。このデータをElasticsearchに取り込むために、STIXをECS形式に変換してスタックに取り込む、Pythonスクリプトをリリースします。

名前付きパイプで夜通し踊る - PIPEDANCEクライアントリリース

名前付きパイプで夜通し踊る - PIPEDANCEクライアントリリース

この資料では、このクライアント アプリケーションの機能と、ツールの使用を開始する方法について説明します。