本レポートでは、2025年11月中に発生した観測情報と事案についてまとめています。

目次

• DDoS攻撃の観測情報
• 不正アクセス通信の観測情報
• マルウェア脅威の観測情報
• セキュリティイベントカレンダー

DDoS攻撃の観測情報

本項では、IIJサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。

攻撃の検出件数

対象期間において、DDoS攻撃の検出件数を以下に示します。

今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は214件であり、1日あたりの平均件数は7.13件でした。期間中に観測された最も規模の大きな攻撃では、最大で約149万ppsのパケットによって16.96Gbpsの通信が発生しました。この攻撃は主にUDP Floodによるものでした。また、当月最も長く継続した攻撃は15分にわたるもので、最大で961.14Mbpsの通信が発生しました。この攻撃は主にTCP ACK Floodによるものでした。

不正アクセス通信の観測情報

本項では、IIJサービスで検出した当月中の不正アクセス通信を取りまとめました。

IPS機器における攻撃検出

対象期間における、正規化した攻撃検出件数と攻撃種別トップ10の割合を以下に示します。攻撃検出件数の正規化は、対象期間において最も多く攻撃を検出した日付の件数を1としています。

対象期間に最も多く検出したのはRealtek Jungle SDK Command Injection Vulnerability (CVE-2021-35394)であり、全体に占める割合は12.74%でした。当該シグネチャでは前月と同様にMirai亜種への感染を試みる通信を多く検出しています。

2番目に多く検出したのは、Microsoft Windows Internet Connection Sharing Denial of Serviceで全体の12.03%を占めていました。当該シグネチャでは、WindowsのInternet Connection Sharingサービスの不備からDoS攻撃に悪用できる特徴を持った通信を検出しています。

また、前月に引き続きボットネット「RondoDox」への感染を狙ったとみられる攻撃を検出しています。当月はIoT・ルータ機器の脆弱性だけでなく、ThinkPHPの脆弱性（CVE-2019-9082）やPHPUnitの脆弱性（CVE-2017-9841）、10/30にKEVに追加されたXWikiの脆弱性（CVE-2025-24893）などを悪用したWebサーバへの攻撃通信も多く観測しています。

マルウェア脅威の観測情報

本項では、IIJサービスで検出した当月中のマルウェア脅威を取りまとめました。

Webアクセス時における脅威検出

対象期間において、Webアクセス時に検出した脅威種別の割合を以下に示します。

当月は、HEUR:Trojan.Script.GenericとTrojan.JS.Agentが共に全体の23.83%を占め、最も多く検出されました。特に、HEUR:Trojan.Script.Genericでは、従来の傾向通りParrot TDSの特徴を持ったJavaScriptファイルを継続して検出しています。また、Trojan.JS.Agentでは、前月に紹介した「画像ファイルやWebライブラリと見せかけて、外部サーバに仕込まれた特定のスクリプトを読み込み実行する」ファイルを引き続き検出しています。

3番目に多く検出したHEUR:Trojan-PSW.Script.Genericは全体の20.31%を占め、フォームに入力した個人情報やクレジットカード情報を攻撃者が用意した外部サーバへ送信する難読化されたコードを検出しています。

図-5に、上位3件のシグネチャで検出したWebサイトがホスティングされていたインフラストラクチャー事業者の内訳を示します。なお、フローの太さはWebサイトの観測数を表現しています。また、本レポートで言及する事業者の国籍は、Webサイトに紐づけられたIPアドレスのジオロケーションではなく、インフラストラクチャー事業者の本社所在地に基づいています。

調査の結果、Trojan.JS.Agentで検出されたWebサイトの約84.61%は、同一の国外インフラストラクチャー事業者によってホストされていました。ここで検出した悪性コンテンツはすべて同一コードで、前述のとおり、見せかけのコンテンツによって、別サイトのスクリプトを実行するファイルです。

一方で、HEUR:Trojan.Script.Genericで検出されたWebサイトは国内インフラストラクチャー事業者によってホストされているものが多数あります。これらの多くは、実在企業のコーポレートサイトが利用するWordPressなどのプラグインファイルが悪性コードに汚染されている事例として観測してます。

このように、悪性コンテンツは特定の国外インフラだけでなく、国内を含む多数のインフラからも観測されており、網羅的な通信に対する監視と脅威ハンティングが不可欠であることを示しています。

メール受信時における脅威検出

対象期間において、メール受信時に検出した脅威種別の割合を以下に示します。

対象期間中に最も多く検出したのは、HEUR:Hoax.Script.Scaremailで全体の48.21%を占めていました。当月は「Don’t forget to pay the tax within 2 days!」という件名のメールを多く検出しています。

3位はHEUR:Trojan.Script.Genericで、全体の6.72%を占めました。当該シグネチャでは、PhantomVAI Loaderに感染させることを狙ったファイルの添付を多く検知しています。PhantomVAI Loaderはマルウェアローダの一種であり、当月は情報窃取型マルウェアであるPureLogs Stealerを感染端末のメモリ上にロードするものを確認しています。

また、当月は日本語件名のメールにおいてPhantom Stealerに感染させることを狙ったファイルの添付を検出しています（表-1）。Phantom Stealerは、オープンソースとして公開されていた情報窃取型マルウェアのStealeriumをベースとしたマルウェアで、感染するとブラウザ、暗号資産ウォレット、ウェブカメラ画像などの情報が窃取されます。当月観測したPhantom Stealerでは、情報窃取機能のほかに、外部から新たなペイロードを取得してメモリ上で実行するローダ機能も実装されていることを確認しています。これによって追加機能が感染端末上で実行されたり、別のマルウェアに再感染したりする恐れがあります。なお、以下は情報の一部であり、すべての脅威メールを網羅しているものではない点にご注意ください。

表-1 マルウェアが添付された日本語件名メール

件名	添付ファイル名	感染するマルウェア
見積もり依頼: <企業名>#330/IND/1711040168JP	<企業名>#330_IND_1711040168JP_pdf.zip	Phantom Stealer

セキュリティイベントカレンダー

本項では、日本を中心に世界中で発生したセキュリティに関する出来事を取りまとめました。

カテゴリ凡例
セキュリティ事件	脅威情報	脆弱性情報	観測情報	その他

日付	カテゴリ	概要
11月3日（月）	脆弱性情報	Google社は、Androidに存在する複数の脆弱性に対するセキュリティアップデートを公開した。 “Android Security Bulletin—November 2025” https://source.android.com/docs/security/bulletin/2025-11-01
11月3日（月）	脆弱性情報	Apple社は、11月3日、5日に複数の製品に存在する脆弱性に対するセキュリティアップデートを公開した。 “About the security content of iOS 26.1 and iPadOS 26.1” https://support.apple.com/en-us/125632 “About the security content of iOS 18.7.2 and iPadOS 18.7.2 https://support.apple.com/en-us/125633 “About the security content of macOS Tahoe 26.1” https://support.apple.com/en-us/125634 “About the security content of macOS Sequoia 15.7.2” https://support.apple.com/en-us/125635 “About the security content of macOS Sonoma 14.8.2” https://support.apple.com/en-us/125636 “About the security content of Safari 26.1” https://support.apple.com/en-us/125640
11月4日（火）	セキュリティ事件	報道機関は、チャットツール「Slack」への不正ログイン被害が発生し、社員や取引先などの情報が流出したことを公表した。社員の個人端末がウイルスに感染したことが原因で、Slackの認証情報が漏えいし、不正ログインが行われたとのこと。これによりSlackに登録されていた氏名・メールアドレス・チャット履歴など、17,368人分の情報が流出した可能性がある。
11月5日（水）	脆弱性情報	Google社は、11月5日、11日、17日にChromeに存在する複数の脆弱性に対するセキュリティアップデートを公開した。 “Stable Channel Update for Desktop” https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop.html “Stable Channel Update for Desktop” https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop_11.html “Stable Channel Update for Desktop” https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop_17.html
11月5日（水）	脆弱性情報	Open Container Initiativeは、runcに3つのコンテナ隔離回避の脆弱性（CVE-2025-31133、CVE-2025-52565、CVE-2025-52881）が存在することを公表した。CVE-2025-31133は、maskedPathsの実装に起因する脆弱性で、マウント処理と/dev/nullの取り扱いの不備を突いて任意のホストパスをマウントさせることが可能となる。CVE-2025-52565では、コンテナ内のバインドマウント処理における正当性チェックが不十分なため、/dev/pts/$nを/dev/consoleにバインドマウントする際に任意のパスをマウントさせることができる。また、CVE-2025-52881により、runcの書き込みをリダイレクトすることで、LSMラベルの設定を回避可能となる。これらの脆弱性を悪用することにより、攻撃者はmaskedPathsのバイパスによる情報漏えい、kernelパニックやフリーズの誘発によるホストDoS、さらに、コンテナ隔離を回避してホスト上でのroot権限を得ることが可能となる。既に同組織では、修正済みバージョンと、対象バージョン向けのセキュリティパッチをリリースしている。 “container escape via “masked path” abuse due to mount race conditions” https://github.com/opencontainers/runc/security/advisories/GHSA-9493-h29p-rfm2 “container escape with malicious config due to /dev/console mount and related races” https://github.com/opencontainers/runc/security/advisories/GHSA-qw9x-cqr3-wc7r “container escape and denial of service due to arbitrary write gadgets and procfs write redirects” https://github.com/opencontainers/runc/security/advisories/GHSA-cgrx-mc8f-2prm
11月7日（金）	脆弱性情報	Google社は、11月7日、11日、21日にChromeOSに存在する複数の脆弱性に対するセキュリティアップデートを公開した。 “Long Term Support Channel Update for ChromeOS” https://chromereleases.googleblog.com/2025/11/long-term-support-channel-update-for.html “Stable Channel Update for ChromeOS / ChromeOS Flex” https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-chromeos.html “Long Term Support Channel Update for ChromeOS” https://chromereleases.googleblog.com/2025/11/long-term-support-channel-update-for_21.html
11月11日（火）	脆弱性情報	Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開した。「Windows カーネルの特権の昇格の脆弱性」（CVE-2025-62215）については当該更新プログラムで修正される以前から悪用が確認されており、早急な更新プログラムの適用が推奨されている。 「2025 年 11 月のセキュリティ更新プログラム (月例)」 https://www.microsoft.com/en-us/msrc/blog/2025/11/202511-security-update/ 「2025 年 11 月のセキュリティ更新プログラム」 https://msrc.microsoft.com/update-guide/releaseNote/2025-Nov 「Windows カーネルの特権の昇格の脆弱性」 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62215
11月11日（火）	脆弱性情報	Mozillaは、11月11日、12日、13日にFirefox及びThunderbirdに存在する複数の脆弱性を修正したセキュリティアップデートを公開した。 “Security Vulnerabilities fixed in Firefox 145” https://www.mozilla.org/en-US/security/advisories/mfsa2025-87/ “Security Vulnerabilities fixed in Firefox ESR 140.5” https://www.mozilla.org/en-US/security/advisories/mfsa2025-88/ “Security Vulnerabilities fixed in Firefox ESR 115.30” https://www.mozilla.org/en-US/security/advisories/mfsa2025-89/ “Security Vulnerabilities fixed in Thunderbird 145” https://www.mozilla.org/en-US/security/advisories/mfsa2025-90/ “Security Vulnerabilities fixed in Thunderbird 140.5” https://www.mozilla.org/en-US/security/advisories/mfsa2025-91/
11月13日（木）	その他	欧州刑事警察機構（Europol）は、11月10日から13日にかけて実施した国際共同作戦「Operation Endgame」において、情報窃取型マルウェアのRhadamanthys、リモートアクセスツールのVenomRAT及びボットネットのElysiumに関連するインフラを無効化したことを公表した。本作戦により、VenomRATの主犯格とみなされる人物が1名逮捕され、1,025台以上のサーバが停止、20個のドメインが無効化された。 “End of the game for cybercrime infrastructure: 1025 servers taken down” https://www.europol.europa.eu/media-press/newsroom/news/end-of-game-for-cybercrime-infrastructure-1025-servers-taken-down
11月14日（金）	脆弱性情報	Fortinet社は、WAF製品のFortiWebにパストラバーサルの脆弱性（CVE-2025-64446）が存在することを公表した。この脆弱性により、認証されていない攻撃者が細工したHTTP/HTTPSリクエストを送信することで、管理コマンドが実行される恐れがあるとのこと。また、11月18日には同製品の別の脆弱性（CVE-2025-58034）についても公表した。これはOSコマンドインジェクションの脆弱性で、認証済みの攻撃者が細工したHTTPリクエストまたはCLIコマンドを用いることで不正なコードが実行される可能性があるとのこと。これら2件の脆弱性は公表時点で既に悪用が確認されている。 “Path confusion vulnerability in GUI” https://fortiguard.fortinet.com/psirt/FG-IR-25-910 “Multiple OS command injection in API and CLI” https://fortiguard.fortinet.com/psirt/FG-IR-25-513
11月19日（水）	脆弱性情報	Grafana Labs社はデータ可視化アプリケーションのGrafana Enterpriseに権限昇格やなりすましを引き起こす恐れのある脆弱性（CVE-2025-41115）が存在することを公表した。SCIM（System for Cross‑domain Identity Management）機能が有効であり、[auth.scim]ブロック内のuser_sync_enabledがtrueとなっている環境が影響を受けるとのこと。 “Grafana Enterprise security update: critical severity security fix for CVE-2025-41115” https://grafana.com/blog/2025/11/19/grafana-enterprise-security-update-critical-severity-security-fix-for-cve-2025-41115/
11月19日（水）	その他	Microsoft社は、Windows 11及びWindows Server 2025を対象として、システムモニタツール「Sysmon」のネイティブ対応を2026年に開始すると発表した。これにより、手動でのバイナリ展開やインストールが不要になり、更新はWindows Updateを通じて自動的に配信されるため、運用上の手間を削減できると見込まれている。 “Native Sysmon functionality coming to Windows” https://techcommunity.microsoft.com/blog/windows-itpro-blog/native-sysmon-functionality-coming-to-windows/4468112
11月24日（月）	脅威情報	複数のセキュリティベンダーは、npmパッケージを標的としたサプライチェーン攻撃「Shai-Hulud 2.0」について注意喚起を行った。この攻撃は自己拡散型マルウェアのShai-Huludを用いたもので、2025年9月に初めて観測された攻撃に続く第二波とされる。この攻撃により、11月21日から23日にかけて多数のnpmパッケージと25,000以上のGitHubリポジトリが影響を受けたとのこと。このマルウェアは、認証情報を探索する正規ツールであるTruffleHogを用いてファイル内に含まれるGitHubやnpmなどの認証情報を収集し、攻撃者が作成したGitHubリポジトリ（公開状態を含む）にアップロードした。また、入手した認証情報を用いて悪意のあるコードを含むパッケージの再公開や他のアカウントへの侵害を繰り返すことで攻撃を拡大していたと報告されている。
11月26日（水）	セキュリティ事件	対話型生成AIサービスを提供する海外の企業は、サービスを利用するユーザの情報が漏えいした可能性があることを公表した。これは同社のAPI管理サイトのWeb解析を提供する外部の企業が不正アクセスを受けたことが原因とのこと。漏えいした情報には、API用アカウントに紐づく氏名・ユーザID・メールアドレス・OSやブラウザの種類・リファラ情報・大まかな位置情報が含まれているとされたが、影響を受けたアカウントの件数は明示されていない。対応として、同社は、情報漏えいの原因となった外部企業のツールの使用を停止し、影響を受けたユーザ及び組織への通知と、監視の強化を行なっている。
11月29日（土）	セキュリティ事件	海外のeコマース企業は、海外サーバ経由で顧客情報への不正アクセスが発生し、顧客氏名・電話番号・メールアドレス・住所に加え、注文情報が漏えいしたことを公表した。不正アクセスは2025年6月に開始され、2025年11月の発覚まで約5ヵ月間継続したと見られている。当初、不正アクセスの被害を受けたアカウントは約4,500件と報告されていたが、調査が進むにつれ被害規模が拡大し、最終的に約3,370万件に達したとのこと。

おわりに

この観測レポートは、いまインターネットで起こっている攻撃などの状況をまとめて提示することで、読者の皆様がより良い対策を実施できることを目的としてまとめて公開しています。一部の攻撃について、特にお客様を特定できてしまうような情報については除外してまとめていますが、本レポートに記載の内容は多くのお客様における傾向から作成しています。対策の推進にご活用いただければ幸いです。