🔥 この記事の詳細
2026-06-15 更新
B
今週中

NightSpireというランサムウェアが、台湾を含む33カ国、少なくとも64の組織を攻撃していること

脆弱性🌐 英語ソース
📅 2026-06-15📰 ithome_tw
📌 一言でいうと
NightSpireというランサムウェアが、台湾を含む33カ国、少なくとも64の組織を攻撃していることが判明しました。この攻撃者はRDPを初期侵入経路とし、Chrome Remote DesktopやAnyDesk、Everything、7-Zip、MEGAsyncなどの合法的な管理ツールを悪用して検知を回避しながらデータを窃取・暗号化します。窃取したデータの公開を脅迫材料にする二重脅迫の手法を用いています。
🔍該当判定
  • Windowsの「リモートデスクトップ(RDP)」を外部(インターネット)から直接アクセスできる設定にしている
  • 社内で「AnyDesk」や「Chrome Remote Desktop」などの遠隔操作ツールを導入・利用している
  • ファイル検索ソフト「Everything」や圧縮ソフト「7-Zip」を業務PCにインストールしている
  • クラウドストレージ「MEGA (MEGAsync)」を社内PCで利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
RDPの外部公開を停止し、VPNや多要素認証(MFA)を導入すること。また、AnyDeskやChrome Remote Desktopなどのリモート管理ツールの利用状況を監視し、不審なプロセスの実行や外部への大量データ転送を検知する体制を構築してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】NightSpireランサムウェアによる合法ツール悪用攻撃について

お疲れさまです。NightSpireランサムウェアに関する情報共有です。

■ 概要
合法的な管理ツールを組み合わせて検知を回避し、データの窃取と暗号化を行うランサムウェアです。RDPを起点に侵入し、AnyDeskやMEGAsync等を用いてデータを外部転送した後、Go言語製の実行ファイルでファイルを暗号化します。

■ 影響範囲
- 外部にRDPを公開しているサーバーおよび端末
- 管理外のリモートデスクトップツールがインストールされている環境

■ 対応手順
1. 外部から直接アクセス可能なRDPポート(TCP 3389)の遮断およびVPN経由への変更
2. AnyDesk, Chrome Remote Desktop, MEGAsync 等の不審な通信または未承認ツールの利用確認
3. 重要なデータのバックアップ体制の再確認(オフラインバックアップの確保)

■ 参考情報
- Picus 分析レポート

対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] NightSpire Ransomware leveraging legitimate tools

Dear IT/Security Team,

We are sharing information regarding the NightSpire ransomware campaign.

■ Overview
NightSpire is a ransomware strain that evades detection by utilizing legitimate administrative tools. It typically enters via exposed RDP and uses tools like AnyDesk, Chrome Remote Desktop, and MEGAsync for persistence and data exfiltration before encrypting files with a Go-based executable.

■ Scope
- Servers and endpoints with exposed RDP services
- Environments where unauthorized remote desktop or sync tools are present

■ Mitigation Steps
1. Disable direct external access to RDP (TCP 3389) and enforce VPN/MFA.
2. Audit the use of AnyDesk, Chrome Remote Desktop, and MEGAsync for unauthorized activity.
3. Verify the integrity and isolation of critical data backups.

■ Reference
- Picus Analysis Report

Priority: High
Deadline: Immediate
🔗 元の記事を読む
← トップへ戻る🗓 2026-06-15 のまとめ🔍 記事を検索