エディターズ・ハイライト
冬休みのため、通常より少し遅くなりましたが、2025年12月にWithSecureElements で起こったことをまとめてみました。
Extended Detection and Response
Endpoint Protection
セキュアAgent Windows and Server
エンドポイントクライアントの新バージョンが利用可能になった。このリリースにより、Elements Agent バージョン25.5が利用可能になりました(内部バージョン25.5.416)。
エンドポイントは、再起動することなく自動的にアップグレードする。
このリリースでは、新機能が導入されています(Profile Editor Updateを含む)。
ソフトウェア・アップデータ・エンジン
ソフトウェアアップデータエンジンは、MSIインストーラーにバンドルされるのではなく、アップデートサーバーから直接ダウンロードされるようになり、より効率的なアップデートの配信が可能になりました。
強化されたAgent 接続性診断
agent 、より包括的な接続ステータス情報がポータルに提供されるようになり、センサーの接続性に関する問題のトラブルシューティングや診断がより容易になりました。
ブラウジング保護 - 新規登録ドメインブロック
ポータルからこの機能を有効にすると、ブラウジング保護機能が新しく登録されたドメインをブロックするようになり、最近作成されたドメインからの潜在的な脅威に対する保護が強化されました。
プロキシ設定管理の強化
このバージョンから、インストール時に提供されたプロキシ設定は、最初にプロファイルの割り当てに成功した後、割り当てられたプロファイルのプロキシ値に自動的に置き換えられるようになり、より優れた管理制御が提供されるようになりました。
Mac用セキュアAgent
WithSecureElements Agent macOS 25.5がリリースされました。
このリリースにより、以下のことが可能になる。
- センサーのバージョンを25.2.188に更新
- センサーがファイアウォールからの "ブロックされた "イベントを認識するようになった
- macOS 26 liquid glass update forElements Agent ユーザーインターフェース
- Xcode 26 SDKで構築
- macOS 13のサポート終了
Elements Agent macOS 25.5は以下のmacOSバージョンをサポートしています:
- macOS 26 タホ
- macOS 15 セコイア
- macOS 14 Sonoma
WithSecureAgent forMobile Protection for IOS
iOS 用 WithSecureElements Mobile Protection アプリのアップデート(25.12.12002)がリリースされました。
新機能:
- 新たな脅威をホストしている可能性のある新規登録ドメインを特定し、ブロックするためのサポートを追加しました。
- このアプリは、WithSecureElements Endpoint Protection ポータルからリモートでプロキシ設定を受信・適用できるようになり、集中管理が向上しました。
- 既存のChrome拡張機能と同等の機能を実現するため、Safari拡張機能にセーフサーチ機能を追加。
- パーミッションリクエスト処理の改善。
- アプリの安定性とUIの改善
WithSecureAgent forMobile Protection for Android
Android向けアプリ「WithSecureElements Mobile Protection 」のアップデート(25.5.0023466)がリリースされました。
これには以下の新機能と改良が含まれている:
- 新たな脅威をホストしている可能性のある新規登録ドメインを特定し、ブロックするためのサポートを追加しました。
- アプリおよびWithSecureElements Endpoint Protection ポータルがリモートプロキシサーバ設定に対応しました。
- アプリケーションの更新時にスキャン結果が表示されるようになりました。
- アンドロイド10からアンドロイド12.1までのサポートが終了
- パーミッションリクエスト処理の改善
- アプリの安定性の向上
Linux用セキュアAgent
Elements Agent for Linux と Linux Security 64 は、最新のディストリビューション・バージョンで AMD64 と ARM64 の両アーキテクチャに対応している:
- レッドハット・エンタープライズ・リナックス(RHEL)10
- ロッキーリナックス10
- AlmaLinux 10
- オラクル・リナックス10
- Debian 13
注:RHEL 10、Rocky Linux 10、AlmaLinux 10、および Oracle Linux 10 ディストリビューションでは、フルシステムメモリーダンプのリモート操作はまだサポートされていません。
Exposure Management
Exposure Management ビジネス向け
新リリースでは、攻撃経路の可視化と環境→ネットワークのページが更新されました:
アタックパスの可視化
- AttackPathの可視化が更新され、攻撃パス図のノード間の検証済みの接続が表示されるようになりました。
- メインの攻撃経路可視化ビューに、検証済みのネットワーク接続を表示するオプションが追加されました。このオプションはデフォルトで有効になっており、コントロールパネルで切り替えることができます。
- 接続の確認が可能な場合、接続は緑色で表示されます。接続が破線で表示されるのは、検証が不可能な場合である。source ノードにEDR agent がインストールされていない場合、検証はできません。ステップ・フライアウトに、source ノードから到達可能なポートを示すフィールドが追加されました。
- 凡例パネルには、新しい説明文と新しい線スタイルのキーが含まれています。
- 攻撃経路シミュレータは、30日以上前の調査結果を破棄する。
環境 → ネットワークのページ
- 環境 → ネットワーク」ページのデフォルト・ランディング・ページに表示される社外資産のリスト
- 従来通りの機能を維持しながら、ページデザインを一新。
- インターネットタブは、一般に公開されている資産を検索する可能性を提供するセカンダリタブとして移動しました。
- 従来通りの機能を維持しながら、ページデザインを一新。
- 一般公開されているアセットがすでにスキャングループに追加されている場合、検索結果にインジケーター(チェックマーク)が表示されるようになりました。
WithSecureVulnerability Management ポータル
- デバイス → 脆弱性資産のページが2025年末までに削除される予定であることを知らせるポップアップ通知を追加。
- ホーム]→[概要]タブのVulnerability Management ダッシュボードで、脆弱性データの代わりに空の結果が表示される問題を解決しました。
Exposure Management System Scan
Authenticated Scanningに以下の製品の脆弱性検出のサポートが追加された:
- アパッチ・シンコープ
- AWS JDBCラッパー
- スプリングクラウドゲートウェイ
また、Oracle E-Business Suite のリモートコード実行脆弱性(CVE-2025-61882)の検出を追加した。
Authenticated Scanning for Windowsに以下の製品の脆弱性検出のサポートが追加されました:
- アンキテクツ杏樹
- アパッチ・コーズウェイ
- Asustorバックアッププラン
- Asustor EZ Sync
- オートデスク 3ds Max
- オートデスク・フュージョンとフュージョン360
- AWS PGSQL ODBC
- AWS Wickrデスクトップクライアント
- 流暢なビット
- GoSignデスクトップ
- HPシステムイベントユーティリティ
- インテル・プレゼントモン
- インテル・スレッド・ディレクター・ビジュアライザー
- ジョプリン
- ライトXL
- MongoDB BI コネクタ ODBC
- BI用MongoDBコネクタ
- N-ableテイク・コントロールAgent
- Nセントラルウインドウagent とNセントラルプローブ
- オペラ・ブラウザ・エディション
- レイザー・シナプス
- シグテスト
- シグテスト・フェニックス
- Synology ActiveProtectAgent
- 総指揮官
- SSLクライアント搭載ウォッチガード・モバイルVPN
Elements Foundations
統合
Elements API
Elements API クレデンシャルを管理するための新しいAPI エンドポイント
Elements API のAPI キーの管理を自動化する新しいエンドポイントを導入した:
API キーの作成
POST /api-keys/v1/create
- Elements API にアクセスするための新しいAPI キーを生成する。
- キーは組織またはサービス組織パートナー(SOP)レベルで作成できる。
- デフォルトでは、キーはセキュリティのために読み取り専用です。オプションで、書き込みアクセス用に readOnly を false に設定することもできます。
- 重要だ:clientSecretは、作成時に一度だけ返される。
削除API キー
DELETE /api-keys/v1/api-keys/{clientId}
- API キーをその ID で永久に削除する。
- 削除された鍵は復元できず、認証にも使用できない。
リストAPI キー
GET /api-keys/v1/api-keys
- 現在の組織のすべてのAPI キーを取得する。または、SOP レベルから問い合わせる場合は organizationId を指定する。
リクエスト/レスポンスのフォーマットや例を含む詳細については、以下を参照してください。 API ドキュメンテーション.
その他の関心事項
新しい変更履歴の通知が必要ですか?
Changelogsが移動しました! すべての製品の変更履歴はこちらでご覧いただけます: 製品変更履歴
新しい変更履歴の通知が必要ですか?
- すべての製品をクリックする。 フォローボタンをクリックします。 Changelogホームページをクリックすると、新しい変更履歴が公開されるたびにEメール通知を受け取ることができます。
- 特定の製品に限る:現在のところ、Community では、個々の製品の変更履歴を電子メールで通知する機能はまだご利用いただけません。現在、個々の変更履歴を電子メールで通知できるよう、積極的に取り組んでおり、この機能が利用可能になり次第、すぐにお知らせいたします。
- その間、最新情報を見逃さないようにするには、以下を購読することをお勧めする。 すべての変更ログ通知(上記参照)。
- で通知を使用することもできます。 Elements Security Centerまたは、製品の変更履歴ページをブラウザのブックマークとして保存し、すばやくアクセスできるようにします。
念のため
重要な更新:サンプル提出は新しいプラットフォームに移行しました。
2026年初頭より、サンプル提出サービスは新しいプラットフォームに移行しました。詳細は 専用記事.
TangleCrypt:洗練されているがバグの多いマルウェアパッカー
エグゼクティブ・サマリー
WithSecureのSTINGRグループは、これまで文書化されていなかったWindowsマルウェアのパッカーであるTangleCryptの詳細な技術分析を発表します。このパッカーは、最近のランサムウェア攻撃で使用された2つの実行ファイルから発見され、そのペイロードはいずれも悪意のあるABYSSWORKERドライバを活用するSTONESTOPとして知られるEDR キラーであることが確認されました。
TangleCryptに関する主な調査結果:
- ペイロードは、base64エンコーディング、LZ78圧縮、XOR暗号化の複数のレイヤーを介してPEリソース内に格納される。
- ローダーは、ペイロードを起動する方法として、同一プロセス内または子プロセス内の2種類をサポートしている。選択された方法は、埋め込まれたペイロードに付加された文字列によって定義されます。
- 解析や検知を妨げるために、文字列の暗号化や動的なインポートの解決など、一般的なテクニックをいくつか使用しているが、これらはすべて比較的簡単に回避できることが判明している。また、高度なアンチ解析メカニズムがないため、ペイロードを手動で解凍するのはむしろ簡単です。
- このパッカーは全体的に興味深い設計になっているが、ペイロードのクラッシュやその他の予期せぬ挙動を引き起こす可能性のある、ローダーの実装上の欠陥をいくつか発見した。
続きを読む こちら
アイデアを共有しよう
WithSecure™の目的は、皆様と共に世界を安全にすることです。可能な限り最高のサイバーセキュリティ製品とサービスを共同創造するために、以下の方法でアイデアを共有することをお勧めします。 ウィズセキュリティのアイデアセクションCommunity現在、WithSecure™Elements Security Center から直接アクセスできます。
詳細情報
WithSecure™Elements のすべての機能に関する変更履歴およびリリースノートは、以下を参照してください。 ヘルプセンター