5月の脅威ランダウン：AIが生成したゼロデイ、サプライチェーンワーム、大規模悪用 | CXO Transformation

今月の主要ニュース

1. 野生で発見されたAI生成ゼロデイエクスプロイト、初めて確認

• Google Threat Intelligence Groupが、AIによって開発されたゼロデイエクスプロイトが実際の攻撃で使用された初の事例を確認しました。これは、自動化された脆弱性の発見と兵器化において根本的な転換点を意味します。
• このエクスプロイトはオープンソースのWebベース管理ツールを標的とし、セマンティックロジックエラーを悪用して二要素認証（2FA）の強制を完全に回避しました。
• 親ロシア派のサイバー犯罪グループが、このAI生成のPythonエクスプロイトを計画中の大規模攻撃キャンペーンに使用しようとしました。攻撃者がLLM支援分析を積極的に活用し、エクスプロイト開発にかかる期間を数週間から数時間へと圧縮していることが示されています。

2. Instructure/Canvas LMSの大規模侵害、2億7,500万人のユーザーに影響

• 学習管理システムCanvasを開発した教育テクノロジー大手のInstructureが深刻なデータ侵害を受け、世界9,000の教育機関に在籍する2億7,500万人の学生・職員に影響が及びました。
• 脅威アクターのShinyHuntersが3.65TBのデータ窃取と大規模な恐喝キャンペーンへの関与を主張し、学校のログインポータルを改ざんして厳しい身代金支払期限を設定しました。
• この事件は史上最大の教育データ侵害であり、脅威アクターがベンダーと「合意」（身代金支払いが疑われる）に達したことで幕を閉じました。

3. TeamPCPの「Shai-Hulud」サプライチェーンワーム、640以上のパッケージを侵害

• 脅威アクターのTeamPCPは、失効ドメインと盗まれた認証情報によりメンテナーアカウントを乗っ取り、640以上のnpmおよびPyPIパッケージを侵害するという前例のないサプライチェーンワームキャンペーンを拡大しました。
• この攻撃は、週間ダウンロード数1,600万以上を誇る@antvビジュアライゼーションエコシステムや、MicrosoftのdurabletaskPyPIパッケージなど、広く利用されている主要ライブラリに感染しました。
• この産業化されたマルウェアはLinuxのCI/CD環境を標的とし、GitHub Actions、AWS、Azure、GCP、Kubernetes、Vaultなどから高度に機密性の高いクラウド認証情報を収集します。さらに、トークンを窃取して新たに検出されたリポジトリへ感染を広げる自律的な自己拡散機能も備えています。

主要ランサムウェアグループ

注記：ランサムウェアのエコシステムは、引き続き主要グループへの集約が進んでいます。今月の脅威アクターは「Fox Tempest」Malware-Signing-as-a-Serviceオペレーションを積極的に活用しました。このオペレーションにより、MicrosoftとEuropolによる摘発前に1,000以上の不正なコード署名証明書を使ってWindowsのセキュリティ制御を回避することが可能でした。

1. Qilinは今期最も活発な脅威アクターであり、医療、建築、法務、製造業など世界各地で26件以上の被害が確認されています。同グループは不正証明書を悪用してマルウェアを配布し、重要なグローバルオペレーションと企業ネットワークを継続的に妨害しました。
2. The Gentlemenは今月、世界で約20件の新たな被害を追加しました。高度なEDR回避技術を用いて、Windows、Linux、NAS、BSD、ESXi環境を標的とするマルチプラットフォームのロッカーを展開しています。
3. NitrogenはFoxconnの北米製造施設に対して破壊的な攻撃を実行しました。1,100万ファイルにおよぶ8TBのデータを窃取したと主張しており、Apple、Nvidia、Google、Dell、Intelの機密プロジェクト文書が漏洩したと明言しています。
4. INC Ransomは積極的な大量標的化を維持し、テクノロジーセクターへの影響が特に顕著でした。Nothing Tech Taiwanから52GBの企業データを窃取することに成功し、初期アクセスにはFox Tempestの不正署名証明書を広く悪用しました。
5. VECT 2.0は、Windows、Linux、ESXiプラットフォームにまたがる企業資産、VMディスク、バックアップを標的とする高い影響力を持つランサムウェアです。暗号化の実装に重大な欠陥があるため、意図せずデータを消去するワイパーとして機能します。128KBを超えるファイルを永久に破壊するため、身代金を支払ってもデータの復元は数学的に不可能です。

Linux・クラウド・アイデンティティ攻撃：主要な脅威

これらの脅威は、深刻度（CVSSスコア）、即時の広範な影響、および企業環境での大規模悪用の観測に基づいて優先順位付けされています。

1. Cisco SD-WAN コントローラー認証バイパス（CVE-2026-20182）

• 種別：ネットワークインフラ / アイデンティティ
• 影響：認証されていないリモート攻撃者がCisco Catalyst SD-WAN vManageおよびvSmartプラットフォームで管理者レベルの権限を容易に取得できる、深刻な認証バイパス脆弱性です。
• CVSS 10.0 / 統計：この脆弱性は最高深刻度スコアを持ち、実際の環境での積極的な悪用が確認されています。CISAは緊急指令（26-03）を発令し、連邦政府の民間機関に対して直ちにシステムへのパッチ適用または切断を義務付けました。2026年にパッチが適用されたCisco SD-WAN脆弱性の中で、積極的に悪用された6例目となります。

2. cPanel/WHM 認証バイパス（CVE-2026-41940）

• 種別：クラウドインフラ / Web管理
• 影響：認証不要のCRLFインジェクション欠陥により、攻撃者がセッションクッキーを操作してすべての認証を回避し、cPanelおよびWHM Webホスティングコントロールパネルへの完全なroot管理アクセスを取得できます。
• CVSS 9.8 / 統計：脅威アクターはパッチが展開される前の66日間、これをゼロデイとして積極的に悪用しました。世界で40,000台以上のサーバーの大規模侵害につながり、攻撃者は「Sorry」ランサムウェアを展開しました。世界に約150万の公開インスタンスが存在します。

3. Linuxの「CopyFail」権限昇格（CVE-2026-31431）

• 種別：Linuxオペレーティングシステム
• 影響：この脆弱性はAF_ALG暗号APIのページキャッシュ上書き欠陥を悪用し、すべてのローカルユーザーが確実にrootアクセスを取得できます。クラウドインスタンス、コンテナ、組み込みシステムに影響します。
• CVSSクリティカル / 統計：CopyFailは2017年以降リリースされたすべての主要Linuxディストリビューション（Ubuntu、Debian、Red Hat、Fedora、SUSE、Arch）に影響します。積極的な悪用としてCISA KEVカタログに追加されており、わずか732バイトのPythonスクリプトでローカルからrootへの完全なシステム侵害が可能です。

Rubrik Zero LabsのLLM駆動型高度分析システムからの知見

バックアップ内の主要脅威：当社の高度な分析システムは、実際の環境で確認された主要かつトレンドの脅威を特定し、そのデータをバックアップテレメトリーと照合してステルスマルウェアを検出します。このセクションでは今月のデータをご紹介します。

最前線の内側で

最新データによると、蔓延している脅威の20.4%が、高い信頼度でフロントラインの防御を回避したと特定されています。そのコホートの背後には、固有のツールセットを持つ少数の名前付き攻撃者グループが存在し、防御レイヤーを突破して痕跡を残した活動を担っています。これは、正常に封じ込められた脅威が痕跡を残さない環境とは対照的です。バイパスコホートに関連する名前付きキャンペーンの74.0%近くで攻撃者の帰属が特定されています。活動の痕跡はテクノロジーとヘルスケアに集中していますが、手口は業種をまたがり、認証情報の窃取、ラテラルムーブメント、防御回避の基本手法を伴っています。

Lazarus Groupは北朝鮮の国家支援を受けた攻撃者であり、暗号資産取引所、金融機関、テクノロジー企業を標的とする金銭目的のキャンペーンで知られています。同グループはTraderTraitorキャンペーンの名の下で活動しています。今期、LazarusはINVISIBLEFERRETを展開しました。これはPythonで記述されたクロスプラットフォームのマルウェアで、フィンガープリンティング、コマンド＆コントロール、キーロギングの機能を持っています。

UNC6692は金銭目的の攻撃者であり、クラウドインフラとサプライチェーンアクセスを標的とするキャンペーンで知られています。ブラウザベースの永続化メカニズムを活用してセッションをまたいだアクセスを維持することが確認されています。今期、同アクターはSNOWBELTを展開しました。これはJavaScriptで記述されたブラウザ拡張機能ベースのバックドアで、Amazon Web Services S3バケットにホストされたコマンドインフラとの通信を可能にします。

MuddyWaterはイランの国家支援を受けた攻撃者であり、中東、欧州、北米の政府機関、通信、防衛セクターを標的とするスパイ活動の実績があります。同アクターは永続的なアクセスとラテラルムーブメントを目的としたカスタムバックドアのカタログを保持しています。今期、MuddyWaterは2つのツールを展開しました。PROTONGLOWはmuddywater ulise、uliseとしても追跡されているCベースのバックドアで、ファイル転送やコマンド実行を含むリモートコントロール機能を提供します。LIGHTPHOENIX はファイルの書き込みとCMDコマンドの実行が可能なC++バックドアです。

高信頼度バイパスコホートのセクター構成（コホート全体の環境フットプリントに対するシェア）“>

ランサムウェア

今期、ランサムウェアファミリーは確認された脅威の8.6%を占め、データセット全体で4つの異なるランサムウェアファミリーが検出されました。Lockbitが今期の全体集中度の約60%で首位を占めました。テクノロジーセクターが今期のランサムウェアフットプリントの78%を担いました。これは同セクターの攻撃対象領域と、業務停止が即座に収益圧力に直結する環境を狙うランサムウェアオペレーターの経済的計算の両方を反映した集中度です。メディア・エンターテインメントはランサムウェア被害の10% を占め、業種未分類の環境が7%を占めました。

Lockbitは、Rubrik Zero Labsが調査した期間中で最も活発なランサムウェアファミリーでした“>テクノロジーセクターがランサムウェア活動をリード“>

当社高度マルウェア分析システムが分析・フラグを立てた主要脅威

GitHubでハッシュリストの全データをご確認ください。