5月の脅威動向レポート:AI生成ゼロデイ、サプライチェーンワーム、大規模悪用 | CXO Transformation

BLOG

PUBLISHED JUN 3, 2026 BY Rubrik Zero Labs

Rubrik Zero Labsは、4月下旬から5月下旬にかけてのインサイトを発表し、サイバーセキュリティの状況における重大な変化を明らかにしています。

BLOG

5月の脅威動向レポート:AI生成ゼロデイ、サプライチェーンワーム、大規模悪用

PUBLISHED JUN 3, 2026 BY Rubrik Zero Labs

Rubrik Zero Labsは、4月下旬から5月下旬にかけてのインサイトを発表し、サイバーセキュリティの状況における重大な変化を明らかにしています。

今月の主要ニュース

1. 実環境で確認された初のAI生成ゼロデイエクスプロイト

  • Google Threat Intelligence Groupは、AIが開発したゼロデイエクスプロイトが実環境で展開された初の事例を確認しました。これは、自動化された脆弱性発見と兵器化における根本的な転換点を示すものです。
  • このエクスプロイトは、オープンソースのウェブベースシステム管理ツールを標的とし、意味論的なロジックエラーを利用して二要素認証(2FA)の適用を完全に回避していました。
  • 親ロシア派のサイバー犯罪者らは、このAI生成のPythonエクスプロイトを計画的な大規模悪用キャンペーンに利用しようとしました。これは、攻撃者がLLM支援分析を実際に活用し、エクスプロイト開発の所要時間を数週間から数時間へと短縮している実態を示しています。

2. Instructure/Canvas LMSの大規模侵害、2億7,500万人のユーザーに影響

  • 学習管理システムCanvasの開発元である教育テクノロジー大手Instructureは、世界の9,000の教育機関にまたがる2億7,500万人の学生・教職員に影響する壊滅的なデータ侵害に見舞われました。
  • 脅威アクターのShinyHuntersは、3.65TBに及ぶデータ窃取と大規模恐喝キャンペーンの犯行を主張し、学校のログインポータルを改ざんして厳格な身代金支払い期限を示しました。
  • 今回の事件は史上最大規模の教育分野データ侵害となり、最終的には脅威アクターとベンダー側が「合意」(身代金支払いの疑いがある)に達したとされ、事態は収束しました。

3. TeamPCPの「Shai-Hulud」サプライチェーンワーム、640以上のパッケージを侵害

  • 脅威アクターTeamPCPは、期限切れドメインと盗んだ認証情報を悪用してメンテナーアカウントを乗っ取り、640を超えるnpmおよびPyPIパッケージを侵害するという、前例のない規模のサプライチェーンワームキャンペーンを拡大しました。
  • この攻撃は、週間ダウンロード数1,600万件を超える@antv可視化エコシステムや、Microsoftのdurabletask PyPIパッケージなど、基幹となる大規模ライブラリにも感染を広げました。
  • この産業化されたマルウェアは、GitHub Actions、AWS、Azure、GCP、Kubernetes、Vaultなどを含むLinuxのCI/CD環境を標的とし、極めて機密性の高いクラウド認証情報を収集します。さらに、盗んだトークンを使って新たに検知したリポジトリに感染することで自律的に自己増殖します。

主要ランサムウェアグループ

注:ランサムウェアのエコシステムは、有力グループを中心とした統合が引き続き進んでいます。今月、脅威アクターらは「Fox Tempest」というマルウェア署名代行(Malware-Signing-as-a-Service)サービスを積極的に利用し、1,000件を超える不正なコード署名証明書を使ってWindowsのセキュリティ制御を回避していましたが、このサービスはMicrosoftとEuropolによって摘発されました。

  1. Qilin は今期最も活発なアクターで、世界中の医療、建築、法律、製造の各セクターで26件以上の被害が確認されました。同グループは不正な証明書を悪用してマルウェアを配布し、世界各地の重要な業務や企業ネットワークに継続的な混乱を引き起こしています。
  2. The Gentlemenは今月、世界各地で新たに約20件の被害を追加しました。Windows、Linux、NAS、BSD、ESXi環境を標的とするマルチプラットフォーム型のロッカーを実装し、高度なEDR回避技術を用いています。
  3. Nitrogenは、Foxconnの北米製造拠点に対して極めて破壊的な攻撃を実行しました。同グループは1,100万件のファイルにわたる8TBのデータを窃取したと主張し、Apple、Nvidia、Google、Dell、Intelに属する機密性の高いプロジェクト文書を明確に侵害しました。
  4. INC Ransomは、テクノロジー分野を中心に高頻度かつ積極的な標的化を続けました。Nothing Tech Taiwanから52GBの企業データを流出させることに成功し、初期侵入手段としてFox Tempestの不正な署名証明書を広範に悪用しました。
  5. VECT 2.0は、Windows、Linux、ESXiプラットフォーム全体で企業資産、仮想マシンのディスク、バックアップを標的とする重大な被害をもたらすランサムウェアです。暗号化実装に深刻な欠陥があるため、意図せずデータワイパーとして動作し、128KBを超えるファイルを恒久的に破壊します。そのため、たとえ身代金を支払ってもデータ復旧は数学的に不可能です。

Linux/クラウド/ID攻撃:主要な脅威

これらの脅威は、深刻度(CVSSスコア)、即座かつ広範な影響、そして企業環境における大規模悪用の観測状況に基づいて優先順位付けされています。

1. Cisco SD-WANコントローラーの認証バイパス(CVE-2026-20182

  • 種別:ネットワークインフラ/ID
  • 影響:未認証のリモート攻撃者が、Cisco Catalyst SD-WANのvManageおよびvSmartプラットフォームで容易に管理者レベルのアクセス権限まで昇格できる、重大な認証バイパスの脆弱性です。
  • CVSS 10.0/統計:この脆弱性は最高の深刻度スコアを記録しており、実環境での積極的な悪用が確認されています。これを受けてCISAは緊急指令(26-03)を発出し、連邦政府の民間機関に対してシステムの即時パッチ適用または切断を義務付けました。これは2026年にパッチが適用された、積極的に悪用されたCisco SD-WANの脆弱性としては6件目にあたります。

2. cPanel/WHMの認証バイパス(CVE-2026-41940

  • 種別:クラウドインフラ/ウェブ管理
  • 影響:未認証のCRLFインジェクションの欠陥により、攻撃者はセッションクッキーを操作してすべての認証を回避し、cPanelおよびWHMのウェブホスティング管理パネルに対する完全なroot管理者権限を取得できます。
  • CVSS 9.8/統計:脅威アクターは、パッチが展開されるまでの66日間にわたり、この脆弱性をゼロデイとして積極的に悪用しました。その結果、全世界で4万台を超えるサーバーが大量に侵害され、攻撃者はその後「Sorry」ランサムウェアを展開しました。世界中でおよそ150万件のインスタンスが影響を受ける状態にあるとみられています。

3. Linuxの「CopyFail」権限昇格の脆弱性(CVE-2026-31431

  • 種別:Linuxオペレーティングシステム
  • 影響:この脆弱性は、AF_ALG暗号APIにおけるページキャッシュの上書きの欠陥を悪用し、ローカルユーザーであれば誰でも確実にroot権限を取得できるというものです。クラウドインスタンス、コンテナ、組み込みシステムに影響します。
  • CVSS:重大/統計:CopyFailは、2017年以降に出荷された主要なLinuxディストリビューション(Ubuntu、Debian、Red Hat、Fedora、SUSE、Arch)すべてに影響します。積極的に悪用されているとしてCISAのKEVカタログに追加されており、わずか732バイトのシンプルなPythonスクリプトだけで、ローカルユーザーからrootへの完全なシステム侵害が可能です。

Rubrik Zero LabsのLLM活用型高度分析システムによるインサイト

バックアップ内に潜む主要な脅威:当社の高度分析システムは、実環境で観測された主要な脅威やトレンドを特定し、そのデータをバックアップのテレメトリと照合することで、潜伏しているマルウェアを検出します。本セクションでは、今月分のデータをご紹介します。

最前線の防御をすり抜けて

最新のデータによると、蔓延している脅威のうち20.4%が、高い確度で最前線の防御をすり抜けたものと特定されています。この集団の背後には、それぞれ独自のツール群を持つ少数の名指しされた敵対勢力が存在し、防御層を回避した活動を担っています。こうした活動は、封じ込めに成功した脅威が痕跡を残さない環境において証拠が蓄積されたものです。防御回避集団に関連付けられた、名指しされたキャンペーンのうち、実に4分の3近く(74.0%)でアクターの帰属が特定されています。この活動の痕跡はテクノロジー分野とヘルスケア分野に集中していますが、その手口は複数のセクターにまたがっており、認証情報の窃取、横方向への侵入拡大、防御回避の基本的な手法が用いられています。

Lazarus Group:

業界 集団全体に占める割合
ヘルスケア 50%
メディア&エンターテインメント 50%

Lazarus Groupは、北朝鮮政府の支援を受けるオペレーターで、暗号資産取引所、金融機関、テクノロジー企業を標的とした金銭目的のキャンペーンで知られています。同グループはTraderTraitorというキャンペーン名の下で活動しています。今期、LazarusはINVISIBLEFERRETを展開しました。これはPythonで書かれたクロスプラットフォーム型マルウェアで、フィンガープリンティング、コマンド&コントロール、キーロギングの機能を備えています。

UNC6692:

業界 集団全体に占める割合
専門サービス 100%

UNC6692は、クラウドインフラおよびサプライチェーン経由のアクセスを標的とすることで知られる金銭目的のオペレーターです。このアクターは、セッションをまたいでアクセスを維持するためにブラウザベースの永続化メカニズムを活用していることが確認されています。今期、このアクターはSNOWBELTを展開しました。これはJavaScriptで書かれたブラウザ拡張機能ベースのバックドアで、Amazon Web ServicesのS3バケットでホストされているコマンド基盤との通信を可能にします。 

MuddyWater:

業界 集団全体に占める割合
サイバーセキュリティ 100%

MuddyWaterはイランの支援を受ける国家アクターであり、中東、欧州、北米にまたがる政府、通信、防衛の各セクターを標的としたスパイ活動の実績があります。同アクターは、持続的なアクセスと横方向への侵入拡大のために設計された独自のバックドア群を保有しています。今期、MuddyWaterは2つのツールを展開しました。PROTONGLOW(muddywater ulise、ulise としても追跡されている)は、ファイル転送やコマンド実行を含むリモート制御機能を提供するC言語ベースのバックドアです。LIGHTPHOENIX は、ファイル書き込みとCMDコマンドの実行が可能なC++バックドアです。

高確度の防御回避集団のセクター構成を、集団全体の環境における占有割合として示したもの“>

ランサムウェア

今期、ランサムウェアファミリーは特定された脅威の8.6%を占め、データセット全体で4つの異なるランサムウェアファミリーが確認されました。Lockbitが今期全体で約60%の割合を占め、首位となりました。テクノロジー分野は今期のランサムウェア被害の78%を占めており、この集中傾向は、同分野の攻撃対象領域の広さと、業務停止が即座の収益圧力につながる環境を標的とするランサムウェアオペレーターの経済的な計算の両方を反映しています。メディア&エンターテインメント分野はランサムウェア被害の10% を占め、業界分類のない環境は7%を占めました。 

Rubrik Zero Labsが調査した期間中、Lockbitが最も活発なランサムウェアファミリーでした“>

テクノロジー分野がセクター別のランサムウェア活動で首位でした“>

当社の高度なマルウェア分析システムが分析・検知した主要な脅威

GitHub上でハッシュの全リストを確認する。 

翻訳元: https://zerolabs.rubrik.com/blog/may-threat-rundown-ai-generated-zero-days-supply-chain-worms-and-mass-exploits

ソース: zerolabs.rubrik.com