恥ずかしながら、1ヶ月前にマルウェアが入ったデータを開いて感染してしまいました。
CGTraderでロイヤリティフリーで配布されていたデータを開いた際に、Pythonのスクリプトを実行してしまい、感染に至りました。
スクリプトはリグ制御用のものに偽装していたため、無防備に実行してしまいました。

tempフォルダやスタートアップフォルダに.exeデータが複数作成されていて、再起動時に実行されるような仕掛けだったので、該当ファイルを炙り出して削除して事なきを得ました。

詳しい方が解析したところ、正規品のスクリプトに10行ほどを追加しているだけだったようなので、他にもスクリプトを組み込んだ正規の商品を改変して無料配布が考えられます。

注意してもしすぎることは無いので、Blenderユーザーに限らず、UEやRhinoなど、スクリプトが読み込めるソフトを使用しているみなさまはくれぐれもお気をつけください！

https://t.co/Qg8vUuaLIw December 12, 2025

【深層レポート】カンボジアをハブとする巨額資金洗浄網と「倭国ルート」（連載 第8回 / 全15回）トクリュウの兵站を断て　「運び屋」と「サイバー侵入」二つの求人罠

▪️「連れ去り」の実態——ミャンマー拠点への拉致
デジタル金融の裏で、凶悪な「人材供給」が行われています。最近の報道によれば、オンラインゲームで誘い出された倭国人高校生（17）が、準暴力団チャイニーズドラゴン関係者である藤沼登夢容疑者（2月タイで拘束）によりミャンマーの詐欺拠点（園区）へ連れ去られ、詐欺加担を強要される事件が発覚しました。
若者の行き先はミャンマーだけでなく、カンボジアでも多数確認されており、その拠点は全土に拡散しています。これはトクリュウによる「人間供給システム」の深刻さを示すものです。米国司法省の起訴状や報告書によれば、これらの施設では米国政府が「人身売買を伴うサイバー詐欺」として定義する、詐欺と強制労働の複合犯罪が組織的に行われています。拉致された人々はその実行役として、暴力的な支配下で酷使されているのです。

▪️もう一つの「求人」罠——北朝鮮ハッカーの侵入工作
物理的な拉致とは別に、サイバー空間でも「偽の求人」による侵入工作が激化しています。2024年12月、警察庁・金融庁・NISCは、北朝鮮のサイバー攻撃グループ「Trader Traitor」に関する注意喚起を発出しました。
彼らの手口は、トクリュウのような身体的拘束ではありません。LinkedIn等のSNSで「好条件の仕事がある」と暗号資産関連企業の技術者に接近し、採用試験を装って「マルウェア（ウイルス）仕込みのファイル」を送りつけます。従業員がこれを開いた瞬間、企業の内部システムへの侵入経路が確立され、DMM Bitcoin事件のような巨額流出につながるのです。
「身体を奪うトクリュウ」と「システムを奪う北朝鮮」。手段は違えど、どちらもSNS上の「甘い求人」を入り口として、倭国の資産を狙っている点に変わりはありません。

▪️「運び屋」の実態とFATFの警告
資金移動にはアナログな手法も使われます。警察庁「警察白書」等は、犯罪グループが「荷物運び」名目で募集した若者に、大金を運ばせる「ハンドキャリー（密輸）」の実態を報告しています。
こうした動きに対し、FATF（金融活動作業部会）も、「短期間に特定の国へ頻繁に渡航を繰り返す人物」を現金の運び屋の疑いが高い危険信号として定義しています。倭国とカンボジア周辺を明確なビジネス実態なく頻繁に行き来する人物は、当局からマークされている可能性が高いと言えます。

▪️FATFが警告する「説明できない暗号資産」
さらにFATFの不動産セクター向けガイダンスは、マネロンの典型的手口として「説明のつかない暗号資産の使用」を挙げています。特に、法定通貨ではなく暗号資産で決済を行おうとする動きや、資金源が不明確な場合、不動産業者は最高レベルの警戒を要するとされています。

▪️「在留期限切れ＝なりすまし」とみなす口座凍結
警察庁は2024年末、トクリュウが悪用する「帰国外国人の口座」に対し強力な措置に踏み切りました。
金融機関に対し、「在留期間が満了した外国人の口座利用は、特段の事情がない限り『なりすまし』と推定される」という通達を発出し、現金引き出しや送金を制限するよう異例の要請を行ったのです。

▪️「為替取引分析業者」と共同監視
包囲網は金融システム側からも狭まっています。金融庁は2023年に資金決済法を改正し、「高額電子移転可能型前払式支払手段」への規制強化と共に、許可制の「為替取引分析業者」を導入しました。
これにより2025年には、全国銀行協会を中心にAIで不正口座情報を即時共有する「共同監視システム」が本格稼働。リソースの乏しい地域金融機関であっても、メガバンクと同等水準の高度なアンチマネーロンダリング(AML)分析を導入することが可能となり、犯罪者が銀行を変えてもAIの包囲網からは逃れられない体制が構築されつつあります。カンボジアなどへの送金に対する慎重なチェックなど、金融機関による「デリスキング（取引排除）」の動きと合わせ、トクリュウの資金源を断つ兵糧攻めが始まっています。

※本稿は、公益目的の観点から、公開情報・報道・当局発表等に基づき、資金洗浄の実態と構造的リスクを分析・考察したものです。 December 12, 2025

VS Codeマーケットプレイスで19種の悪性拡張が潜伏し、開発者環境を密かに侵害していたことが判明した。PNG画像に実行ファイルを埋め込むなど巧妙な偽装で検知を回避し、今年2月から活動が続いていた。

攻撃者は正規機能を装う拡張や既存パッケージの偽装版を公開し、依存フォルダに隠したマルウェアを起動時に自動実行させていた。特に、90億回以上DLされたpath-is-absoluteパッケージを改変し、index.jsに悪性クラスを追加してbanner.pngに潜むドロッパーを復号・実行する手口が確認された。ドロッパーはbase64や文字列反転で難読化され、cmstp.exeを悪用して2つのバイナリを展開する。うち1つはRust製トロイの木馬で、4つの拡張ではPNGではなく複数ファイル分割方式が用いられた。2025年の悪性拡張検知数は前年の4倍超に急増しており、開発環境の供給網攻撃が深刻化している。利用者はインストール済み拡張の精査と出所確認、導入前のスキャンを徹底すべきである。
https://t.co/CwXFheF56m December 12, 2025

倭国語マルウェア(?)メールの接到を確認しています
Malware(?) mail in Japanese

件名 : メッセージ概要: ボイスメールと未読メッセージがあります—詳細はTeamsでご確認ください—# REF-***
通信先 : oyf.soundest;ink[.]com -> c15q5cfr.mwprem[.]net

偽のTeams実行ファイルが取得されます
MD5 : 7b66aafde7af3de1eecb16c2937aff68
https://t.co/J76mC8p6Az

内容はリモートアクセスツールのfleetdeckのため、組織内で使っていないのであれば fleetdeck[.]io も通信制限してよいと考えます December 12, 2025

当社グローバル四半期レポートが公開されました！ぜひご覧いただければ嬉しいです！

ランサムウェアインフラ一斉摘発事例、FileFix攻撃、セキュリティ製品搭載の生成AIを欺くプロンプトインジェクション型マルウェア、Copilotの脆弱性などを取り上げています。
https://t.co/8k3SXwKqbT December 12, 2025

あなた自身がマルウェア実行犯に？ コピー＆ペーストを悪用する新手のサイバー攻撃「ClickFix」の脅威と対策【読めば身に付くネットリテラシー】 https://t.co/8A10zElZG4 December 12, 2025

【セキュリティ研究】AIエージェントvs人間ペンテスター——史上初の実環境比較評価でAIが10人中9人を上回る

スタンフォード大学、カーネギーメロン大学、Gray Swan AIの研究チームは、AIエージェントと人間のサイバーセキュリティ専門家を実際の企業ネットワーク環境で比較評価した史上初の包括的研究結果を公開した。

評価環境と参加者：評価対象は大規模研究大学のコンピュータサイエンス学部ネットワークで、約8,000台のホストと12のサブネットから構成される実稼働環境である。人間の参加者はOSCP等の業界認定資格を持つ10名のセキュリティ専門家で、各自2,000ドルの報酬で参加した。AIエージェント側では、研究チームが開発した新フレームワーク「ARTEMIS」のほか、OpenAI Codex、Claude Code、CyAgentなど6種類の既存エージェントが評価された。

セキュリティ体制：大学がリスクベースの最低基準を適用しており、Qualysによる月次脆弱性管理と重大度に応じた修復期限の設定、ホストベースのファイアウォール、厳格なパッチ管理が実施されている。中〜高リスクシステムには侵入検知システム（IDS）、高度なEDRソフトウェア、集中ログ管理、マルウェア対策などの追加管理策が義務付けられている。ただし、今回の評価ではIT部門がテストを認識しており、通常であれば阻止される行動を手動で承認していたため、本番の防御条件とは異なる点に留意が必要である。

主要な結果：ARTEMISは総合スコアで2位にランクインし、10人中9人の人間参加者を上回った。有効な脆弱性を9件発見し、提出精度は82%を記録した。一方、Codex（GPT-5使用）やCyAgentなどの既存フレームワークは、ほとんどの人間参加者を下回る結果となった。Claude CodeとMAPTAはタスク自体を拒否し、発見件数はゼロだった。

コスト面での優位性：ARTEMIS（GPT-5構成）の運用コストは時給約18ドル（年間換算約37,876ドル）で、米国のペネトレーションテスターの平均年収125,034ドルと比較して大幅に低コストであることが判明した。

AIの強みと弱み：AIエージェントは並列処理による系統的な列挙作業で優位性を示した一方、GUI操作が必要なタスクでは苦戦し、人間より高い偽陽性率を示した。興味深いことに、人間がブラウザのSSLエラーで諦めた古いサーバーの脆弱性を、ARTEMISはCLI操作（curl -k）で発見するなど、CLI依存が有利に働くケースも確認された。

研究チームはARTEMISをオープンソースで公開し、防御側のAIセキュリティツールへのアクセス拡大を目指すとしている。
https://t.co/KoXannEpD5 December 12, 2025

CVE-2025-55182 のPoCのGitHubリポとかみてたら、マルウェアが仕込まれてたのがあったw(さっき見たら消されてたが December 12, 2025

え、こわい

設定画面の「Preferences → File Paths → Auto Run Python Scripts」で自動実行が有効になっている場合、ユーザーが .blend ファイルを開くだけで、ファイルに埋め込まれた Python コードが自動的に実行されます。
本来は正当な用途のための機能ですが、攻撃者はここに悪意あるコードを仕込み、開いただけでマルウェア感染が始まるよう細工しているとされています。

🔗ロシア系ハッカーが世界中のBlender ユーザーを標的としたサイバー攻撃 キャンペーンを展開
https://t.co/SpgFbyQIqc December 12, 2025

【令和最新版?】
mayaマルウェア：MSS/Ghostcat v5系最新亜種

【対策概要】
■mayaのクリーン（初期なら下記対処だけで大丈夫）
・user/docment/maya/（バージョン）/scriptsの中のhttps://t.co/b7Jzd3XwNyを削除
・倭国語版ユーザーはmaya/（バージョン）/ja_JP/scriptsの中も確認してhttps://t.co/b7Jzd3XwNyを削除

■AUTODESKさんの最新のセキュリティツールを入れる。設定も図のようにしっかり防護しておく。

■下の方に.maを修復するスクリプトも置いておきますので、自己責任でお使いください。（たぶんAUTODESKさんのセキュリティツールで事足りる）

【詳細：Grokくんが収集してくれた情報です】
1. マルウェアの名前と特徴（2025年12月最新型）
通称：MSS（Maya Secure System Stager）／Ghostcat v5系最新亜種
特徴：
- 公式スキャン（scan file）をほぼ100%すり抜ける
- 初回許可→Maya強制終了→https://t.co/b7Jzd3XwNyに2行だけ書き込む（超軽量）
- 次回起動時にC2サーバーから本ペイロードをダウンロード
- リファレンスファイル内にも分散感染する（これが最悪）

2. Maya本体が汚染された場合の完全駆除方法（30秒で終わる）
以下のファイルを全部削除（ゴミ箱も空に）
- C:\Users\【ユーザー名】\Documents\mayaxx\scripts\https://t.co/b7Jzd3XwNy
- C:\Users\【ユーザー名】\Documents\mayaxx\scripts\userSetup.mel（ある場合）
- ※倭国語版ユーザーは必ず以下も確認・削除
C:\Users\【ユーザー名】\Documents\mayaxx\ja_JP\scripts\https://t.co/b7Jzd3XwNy

→ これだけで次回起動時に再感染しなくなります。

3. 駆除できたか最終確認方法
Maya起動 → Script Editorに以下を入力
```
whatIs "maya_secure_system"
```
→ 「// Result: Unknown //」と出れば100%クリーン完了

4. 汚染された.maファイルの安全な除去方法（2パターン）
方法A（最推奨）
Autodesk公式「Maya Security Tools」最新版をインストール
→ ファイルを開くときに必ず「Apply malicious code scanning」をON

方法B（外部参照なしなら最強）
下記Pythonスクリプトに.maをドロップするだけで自動クリーニング （使用は自己責任でお願いします）

下記をテキストエディタでコピーして、`ultimate_maya_cleaner.py` という名前で保存。
その後、感染した.maファイルをドラッグ＆ドロップして実行すればOK。
（Mayaのmayapy.exeで動かすか、通常のPythonで。cmdsはMaya外ならコメントアウトしてね。）
#######################
### スクリプト全文（コピペ用）
```python
# ultimate_maya_cleaner.py (2025年12月対応・全亜種全滅)
import sys, re, os, shutil
import maya.cmds as cmds # Maya外で動かすならmayapy.exeで実行

def ultimate_clean_ma(filepath):
if not filepath.lower().endswith(('.ma', '.mb')):
return

# .mbはバイナリなので.maだけ対象（.mbはまず.mb→.maでエクスポート推奨）
if filepath.lower().endswith('.mb'):
print(f"Skipping binary .mb: {filepath} (export to .ma first)")
return

with open(filepath, 'r', encoding='utf-8', errors='ignore') as f:
content = https://t.co/0xIzj8Xl5R()

original_size = len(content)

# 悪性パターンを拡張（2025年MSS全対応）
patterns = [
r'createNode script -n "[^"]*?(?:secure|system|bootstrap|mss|ghost|payload|stager)[^"]*?";.*?}(?=\s*createNode|\Z)', # 名前ベース
r'createNode script.*?maya_secure_system.*?}(?=\s*createNode|\Z)', # 文字列含む全ノード
r'createNode script.*?base64\.b64decode|base64\.|zlib\.decompress|marshal\.loads.*?}(?=\s*createNode|\Z)', # 復号パターン
r'createNode script.*?_log_bootstrap|_stage2|exec\(marshal.*?}(?=\s*createNode|\Z)', # 追加キーワード
r'# Embedded Bootstrap - Maya Secure System Stager', # コメントヘッダー
r'import maya_secure_system[\s\S]*?startup\(\)', # userSetupテンプレ
]

for pattern in patterns:
content = re.sub(pattern, '', content, flags=re.DOTALL | re.IGNORECASE)

# 残りゴミ一掃
garbage = ['maya_secure_system', 'MSS_', '_log_bootstrap', 'b64decode(', 'zlib.decompress(', 'marshal.loads(']
for g in garbage:
content = re.sub(re.escape(g), '', content, flags=re.IGNORECASE)

# 変化チェック
if len(content) < original_size - 50: # 50バイト以上減ったら成功
backup = filepath + ".INFECTED_BACKUP"
shutil.copy2(filepath, backup)
with open(filepath, 'w', encoding='utf-8') as f:
f.write(content)
print(f"✅ 完全クリーニング完了: {filepath}")
print(f" → {original_size - len(content)}バイト削除 | バックアップ: {backup}")

# ワード残存チェック
bad_words = ['import maya_secure_system', 'createNode script -n ".*secure', 'base64']
for word in bad_words:
if https://t.co/qpFNOnfcyo(word, content, re.IGNORECASE):
print(f"⚠️ 警告: '{word}' がまだ残ってる！ 手動確認を")
else:
print(f"❌ 変化なし: {filepath} (すでにクリーンか未知型)")

def scan_directory(dir_path):
for root, dirs, files in os.walk(dir_path):
for file in files:
if file.lower().endswith(('.ma', '.mb')):
ultimate_clean_ma(os.path.join(root, file))

if __name__ == "__main__":
if len(sys.argv) > 1:
for arg in sys.argv[1:]:
if os.path.isdir(arg):
scan_directory(arg)
else:
ultimate_clean_ma(arg)
else:
print("使い方: python ultimate_maya_cleaner.py [https://t.co/aBGg0R7vuS or folder]")
```
#######################
### 使い方の再確認
- 保存したら、コマンドプロンプトで `python ultimate_maya_cleaner.py （your_file）.ma` か、ファイルを.pyにドロップ。
- 出力で「完全クリーニング完了」と出たら、Notepad++で下記ワードを検索して0件を確認。
　import maya_secure_system
　createNode script
　base64

- リファレンス入りのシーンで効かない場合、そのファイルは破棄推奨だよ。

5. 例外事項
「モデルやリグを外部参照しているモーションシーン」の場合
→ 上記A・Bどちらもクラッシュor効果なしになることが多い
→ 無理に直さず即破棄してください
→ 作業者に「新PCで作り直させる」「バックアップから復旧させる」が最速・最安全です

■まとめ
通常のmayaデータでは、そもそもpythonを呼び出す必然性がない。図の通りmayaの設定で鉄壁のブロックをする事が最も大切。 December 12, 2025

WordPressのマルウェア感染は放置したり気が付かなかったりすると、Google Safe Browsingに登録されます。

登録されたサイトはユーザーが閲覧しようとした場合に警告画面が表示されるようになってしまいます。そうなる前の対処が大事です。

https://t.co/L2iCuvte3q December 12, 2025

自宅のWi-Fi大丈夫!? 不正アクセスされていないか簡単にチェックする方法
(スマホライフPLUS)
・「am I infected?」は、横浜国立大学 情報・物理セキュリティ研究拠点 吉岡研究室が運営するマルウェア感染・脆弱性診断サービス
https://t.co/0tSIEacNsc December 12, 2025

一度『ZnDoor』を「ずんだー」と読んでしまってから、枝豆ボイスのあれしか思い浮かばなくなってしまったのだ。もうだめなのだ。

React2Shellによって実行されるマルウェアZnDoorについて
https://t.co/jadE8IBp8A

> 倭国国内においてReact2Shell（CVE-2025-55182）を悪用したインシデントを多数観測しています。それらの多くはコインマイナーなどが実行されていますが、中には未知のマルウェアが実行されるケースも存在します。 December 12, 2025

mayaの新型マルウェアで、mayaのセキュリティ（シグネチャ）もすり抜けるヤバいヤツを発見しましたよ
今対策をGrokくんと検証中です

でも作業者がmayaのセキュリティをonにしてたら感染しなかったかと思うと、ほんと人災 https://t.co/8Jjorj3vpP December 12, 2025

生成AIの共有チャットを悪用し、Mac向けマルウェアを配布する新手法が確認された。Google広告で偽のChatGPTやDeepSeekページへ誘導し、手順に見せかけた悪性コマンドで利用者を感染させる巧妙な攻撃である。

攻撃者は「Macのストレージを空ける方法」などの検索を狙い、偽チャットにbase64で埋め込んだ命令を紛れ込ませる。利用者が案内の通り操作するとパスワード入力を促す偽プロンプトが起動し、取得した資格情報を使って多段型マルウェアShamusを導入する仕組みだ。ShamusはXORや独自デコーダを使った難読化で解析を回避し、LaunchDaemonを作成して永続化する。侵害後はブラウザのCookieや保存パスワード、15種類の仮想通貨ウォレット、macOSキー チェーン、Telegramセッション、VPN設定、各種フォルダのファイルを収集し、暗号化通信でC2へ送信する。AI基盤を迂回路に使う点で従来より一段進んだ供給網型攻撃と言える。
https://t.co/UEWkFbu4lS December 12, 2025

Windowsのクラウドファイル用ミニフィルタードライバーにゼロデイが発覚し、既に悪用が確認されているとしてMicrosoftが緊急パッチを公開した(CVE-2025-62221)。ローカル権限からSYSTEM権限へ昇格できる重大欠陥で、攻撃連鎖の二段階目として利用される恐れが高い。

欠陥はcldflt.sysに存在するUse-After-Freeで、OneDriveなどのクラウド連携機能で使われるプレースホルダー処理が不正操作されるとメモリ破損が発生し、低権限ユーザーでも任意コードを最高権限で実行できる。攻撃に特別な操作は不要で、すでに端末へ侵入した攻撃者が持続化や防御回避のために悪用する可能性が指摘される。影響範囲はWindows 10（1809以降）から最新のWindows 11、Server 2025まで幅広く、12月9日の更新で各バージョン向けの修正が提供された。現場では活発な悪用を踏まえ、提示されたKB番号とビルド番号が適用済みか即時確認すべきだ。暫定回避策はなく、公式修正の適用が唯一の対処となる。ユーザー操作不要で自動化が容易なため、マルウェアやAPTによる内部拡散の足掛かりになり得ると警戒されている。
https://t.co/FwgmfL55xm December 12, 2025

あなた自身がマルウェア実行犯に？ コピー＆ペーストを悪用する新手のサイバー攻撃「ClickFix」の脅威と対策【読めば身に付くネットリテラシー】 - INTERNET Watch https://t.co/UMb5gkBGeU December 12, 2025

俺も最近クリスタ用に3D素材としてCGTraderのようなプラットフォームで買う事あるのだが、この話は割と怖いと思った……

普通の3Dモデルがマルウェアに！CGTraderの.blendファイルでBlenderユーザーが狙われる攻撃が発生 • https://t.co/ckJCAoAuvw December 12, 2025

【危機一髪でしたね！その判断、大正解です】

実行直前で踏み止まったこと、素晴らしいです。 おっしゃる通り、これは**北朝鮮系ハッカー（SectorA06）による「GhostCall」**という手口です。

▼ この手口の特徴（弊社レポートP.34より） * 標的: Web3開発者やIT役員 * 心理: 「会議に遅れる」という焦りを誘う * 偽装: Zoomに見せかけたマルウェア配布

非常に高度な攻撃です。詳細な手口を固定ポストのレポートで公開していますので、よろしければ答え合わせにご活用ください。 December 12, 2025

新種のAndroidマルウェアDroidLockはユーザーをロックアウトするランサムウェア類似挙動に加え、画面上の情報の窃取やフロントカメラでのユーザー撮影を行う。Zimperium社報告。 https://t.co/L34Z6BWPKn December 12, 2025