今月の主要ニュース
InterlockランサムウェアがCisco Secure FMCのゼロデイ脆弱性を悪用
- Interlockランサムウェアグループは、Cisco Secure Firewall Management Centerに存在する最大深刻度(CVSS 10.0)の脆弱性(CVE-2026-20131)を悪用しました。
- 認証不要でルートレベルのリモートコード実行を可能にするこの脆弱性は、公開開示の36日前にあたる2026年1月26日から悪用が開始されていました。
- 今回の事件は、ランサムウェアグループが堅牢化された境界デバイスに対して高度なゼロデイ攻撃能力を維持しながら、エンタープライズのネットワークセキュリティインフラを継続的に狙い続けている実態を改めて示しています。
TeamPCP、大規模なCI/CDサプライチェーン攻撃を実行
- 組織的なサプライチェーン攻撃において、脅威グループTeamPCP(2025年にRubrik Zero Labsが初めて記録)は、広く利用されているAqua Security TrivyのGitHubバージョンタグ76件中75件を乗っ取りました。同時にCheckmarx KICSおよびLiteLLMのPyPIパッケージも標的となりました。
- 攻撃者は自己増殖型マルウェア「CanisterWorm」を展開しました。このマルウェアは侵害された開発者のCI/CDパイプラインから直接AWS、GCP、Azure、SSH、Dockerの認証情報を窃取するよう設計されています。
- このマルウェアはイランのタイムゾーンまたはファルシ語を使用するシステムのデータを消去するジオフェンシング機能を備えており、侵害されたスキャナーバージョンを実行している1万以上のダウンストリーム組織に影響を及ぼす可能性があります。
ShinyHunters、約400件のSalesforceインスタンスに侵害
- 脅威グループShinyHuntersは、Salesforce Experience Cloudのインスタンス約400件を侵害する大規模なキャンペーンを展開しました。
- 攻撃者は改造したAuraInspectorツールを使用し、ゲストユーザー権限の設定ミスを突いて、公開アクセス可能なサイトを自動スキャンすることで機密のCRMデータを窃取しました。
- これは6か月間で3度目となる主要なSalesforce顧客侵害キャンペーンであり、広く展開されているクラウドインフラが組織的に狙われている実態を浮き彫りにしています。
主要ランサムウェアグループ
注:2025年にランサムウェアの攻撃件数は50〜57%急増した一方、被害者の身代金支払い率は28%という過去最低水準に落ち込みました。これを受けて脅威アクターは「復旧拒否」戦術へのシフトを強めており、バックアップの組織的な破壊、ESXiなどの仮想化インフラの標的化、そして90以上のEDRキラーツール(うち54はBYOVD技術を使用)を活用してカーネルレベルからエンドポイントセキュリティを無効化する手法が広まっています。
- INC Ransom – 医療・法律・教育分野をグローバルに積極的に標的とする大規模キャンペーンを展開。ミシシッピ大学医療センターを州内36のクリニック閉鎖に追い込む大規模な混乱をもたらしました。また薬物乱用プログラム全国協会から2TBのデータ(23万7,830人以上)を窃取しました。
- Interlock – ネットワークアプライアンスのゼロデイを発見・悪用できる高度に洗練されたオペレーション。2026年1月からCisco Secure FMCのCVSS 10.0ゼロデイ(CVE-2026-20131)を悪用し、エンタープライズファイアウォールへの認証不要のルートレベルコード実行を実現しました。
- Medusa(Lazarus Group) – 北朝鮮の国家支援APT(Diamond Sleet)がスパイ活動の資金調達を目的に金銭的動機によるランサムウェアを採用。重要インフラへの脅威として米国の医療機関と中東の組織を標的にしています。
- Qilin – 活発かつ大規模な活動を展開するオペレーターで、製造・エンジニアリング・医療分野をグローバルに標的にし、深刻な企業データ漏洩をもたらしています。被害が報告されている組織には製造企業のSouthwire、CJL Engineering、Aroostook Mental Health Servicesが含まれます。
- The Gentlemen – ハイパーバイザー、製造、フィットネス、エネルギー分野を標的にグローバル展開を急速に拡大しているグループです。現時点でカナダのControlGMC、フィリピンのエネルギー企業PTT、北欧のフィットネス企業SATS Nordicなどへの侵害に成功しています。
Linux・クラウド・IDへの攻撃:主要脅威
これらの脅威は、深刻度スコア(CVSS)およびエンタープライズのクラウド・自動化・ID基盤への直接的かつ広範な影響を基準に選定されています。
1. n8nワークフロー自動化プラットフォームにおけるRCE(CVE-2025-68613)
- 種別:クラウド・自動化プラットフォーム
- 影響:集中型自動化プラットフォームにおいて認証不要のリモートコード実行を可能にする、重大な式インジェクションの脆弱性。
- CVSS 9.9。実環境での積極的な悪用が確認されており、インターネットに公開された24,700を超えるインスタンスが露出しています。これを受けて2026年3月11日にCISAのKEVカタログへの追加が行われました。
2. Oracle Identity Managerにおける認証不要RCE(CVE-2026-21992)
- 種別:IDおよびアクセス管理
- 影響:重要な機能に対する認証欠如の脆弱性により、Oracle Identity ManagerおよびWeb Services Managerにおいてシステムの完全な侵害と認証不要のリモートコード実行が可能になります。
- CVSS 9.8。緊急の帯域外パッチが提供され、連邦機関には即時適用が命じられました。Oracleは公開前にゼロデイとして悪用された可能性を指摘しており、金融・政府・重要インフラ分野が影響を受けています。
3. VMware Aria Operationsにおけるコマンドインジェクション(CVE-2026-22719)
- 種別:クラウドインフラ管理
- 影響:Broadcom VMware Aria Operationsに影響を与える、積極的に悪用されているコマンドインジェクションの脆弱性。認証されていない攻撃者がサポート支援型の移行プロセス中にコマンドを実行できます。
- CVSS 8.1。積極的な悪用が確認された後、CISAのKEVカタログに追加されました。攻撃者はエンタープライズのハイブリッド環境全体でマネージドクラウドリソースへのアクセスを得る可能性があります。
Rubrik Zero LabsのLLM搭載高度分析システムからの知見
バックアップ内の主要脅威:弊社の高度分析システムは、実環境で確認された主要なトレンドの脅威を特定し、そのデータをバックアップのテレメトリと照合してステルス型マルウェアを検出します。以下は、第一防衛ラインを回避することに成功している可能性があるバックアップデータで最も多く見られるマルウェアファミリーです。
リモートアクセス型トロイの木馬(RAT)および情報窃取型マルウェア
これらのツールは主にユーザーを監視し、機密データを窃取し、被害者のマシンを制御し続けるよう設計されています。
- Vidar:ブラウザの認証情報、暗号資産ウォレット、銀行情報を標的とする高い適応性を持つ情報窃取型マルウェア。他のマルウェアのセカンダリドロッパーとしても機能することが多いです。
- LummaStealer:アンダーグラウンドフォーラムで販売されているC言語ベースの情報窃取型マルウェアで、二要素認証コード、ブラウザデータ、暗号資産ウォレットファイルの窃取を専門としています。
- Snake Keylogger:キーストロークを記録し、Webブラウザから保存済みパスワードを窃取し、感染システムのスクリーンショットを取得する.NETベースの認証情報収集ツールおよびキーロガーです。
ランサムウェア
ファイルを暗号化して復号鍵の代金を要求するよう設計されたマルウェアです。
- Pay2Key:侵害されたリモートデスクトップアクセスを利用してエンタープライズネットワーク全体を素早く暗号化する高速なランサムウェア株。二重恐喝戦術を多用しています。
- Interlock:企業環境を標的とする最近発見されたランサムウェアファミリーで、ローカルファイルとネットワーク共有を暗号化する前に機密の企業データを組織的に窃取します。
- Qilin:重要インフラと企業ドメインに対する高度にカスタマイズされた二重恐喝攻撃を専門とする、Rustで書かれた洗練されたRaaS(Ransomware-as-a-Service)オペレーションです。
高度マルウェア分析システムによる主要検出・分析事例:
SHA256: fc1cd6ab782397871c18568a691569a3bba8a45aaed9792c560dd60a06553821(ワーム機能を持つSCADA標的型トロイの木馬)
概要: IronGateファミリーに属するこのSCADAマルウェアは、埋め込まれた実行ファイルを展開し、ネットワーク共有内の「move-to-operational」ホットフォルダを探索することで産業制御システムを標的にします。ワーム的なラテラルムーブメントと、運用技術環境に特化して設計されたアンチサンドボックス検出機能を備えています。
First_Seen: 2026-02-27
SHA256: ccca0b988e0d828983e91228c5619a0a42e394c7c8414aeaef764501f2f00472(Linuxバックドア)
概要: TheTickはLinuxバックドアで、コマンド実行、TCPピボット、ファイル操作、HTTPダウンロードなど包括的なリモートアクセス機能を提供します。持続的なC2(コマンド&コントロール)接続を確立し、基本的なアンチデバッグ環境検出機能も備えています。
First_Seen: 2026-02-11
SHA256: fb4fb8b40544b9084bb3d311483626fe72e651713537280ca5fa3342eb83e573(バックドア・リモートアクセス型トロイの木馬)
概要: このMIPSベースのルーターバックドアはPPTP/OpenVPNバイナリに偽装し、uClibcベースのLinuxシステムを搭載した組み込みデバイスやSOHOルーターを標的にします。VPN制御プロトコルを操作して永続的なリモートアクセスを確立し、プロセス名のなりすましとUPXパッキングを用いて検出を回避します。
First_Seen: 2026-03-16
SHA256: 389fc13f33d90dbb335b3ad2a9b344f0b45d782b6634577216028e209689b5bd(認証情報ダンプツール・ポストエクスプロイテーションツール)
概要: KslDumpは、Microsoft DefenderのKslD.sysドライバに存在するCVE-2024-26229の脆弱性を悪用する高度に洗練された認証情報ダンプツールです。カーネルレベルのメモリアクセスを実行してPPL(Protected Process Light)保護を回避し、lsass.exeの物理メモリから直接認証情報を抽出します。
First_Seen: 2026-03-18
SHA256: 1e6487b7fbb9a0ff4c1d7032bfecd153fa6b9cc3c523243e8183588a98168267(多段階Pythonドロッパー・ローダー型トロイの木馬)
概要: GlassWormは、Solanaブロックチェーンのトランザクションメモを斬新な分散型C2デッドドロップとして活用する洗練された多段階Pythonトロイの木馬です。ロシアのシステムを回避する厳格なジオフェンシングを実装し、Node.jsランタイムをダウンロードして暗号化されたJavaScriptペイロードを実行します。
First_Seen: 2026-03-16
SHA256: fc3c94c62b42df24ee52a467f3a6e42d24621a59e1c61cbc6a79bae2cb2b53a8(高機能PHPウェブシェル・ファイルマネージャー)
概要: Alfa TEaM Shell(Tesla v4.1)は、包括的なリモート管理および攻撃的機能を備えた成熟したプロフェッショナルグレードのPHPウェブシェルです。データベース管理、CMSハイジャックモジュール、ブルートフォース機能、ファイル操作、組み込みのアンチフォレンジクス機能を備えています。
First_Seen: 2026-03-02
SHA256: 0b24019b216493de87a2ea8f6c60b097577889a86c39095caedc9e3d212cce29(リモートアクセス型トロイの木馬(RAT)・情報窃取型マルウェア・ドロッパー)
概要: この洗練されたPowerShellベースのRATは、ブラウザのネイティブメッセージングプロトコルを隠密なC2チャネルとして活用します。COMエレベーションサービスの悪用とプロセスインジェクションを通じてChromeおよびEdgeのApp-Bound暗号化を回避する高度な認証情報窃取技術を備えています。
First_Seen: 2026-03-05
SHA256: a58a27da427cfa745650fd1ef7dfeafb1720ded1f050a9c9e783d877fc4535ea(APTシミュレーションフレームワーク・トレーニングツール)
概要: GhostWeaverは、実際のマルウェアではなくセキュリティトレーニング向けに設計された正規のレッドチームAPTシミュレーションフレームワークです。サンドボックス回避、プロセスなりすまし、認証情報収集、DNSベースのC2ビーコニングなど7フェーズにわたる高度な攻撃をシミュレートします。
First_Seen: 2026-02-18
SHA256: ea544bf1caa96e0e272d4f0c35315cd7ec211aba034613cc82816cccf4f65c7d(ELF共有ライブラリペイロード)
概要: この64ビットのELF共有ライブラリは、Linuxシステム上でモジュール型バックドアまたはRATコンポーネントとして機能します。標準的なPOSIXおよびGLIBCのAPIを多用したプロフェッショナル品質の実装で、ネットワークC2機能、マルチスレッド処理、プロセス管理、シグナルハンドリングを実現しています。
First_Seen: 2026-02-18
SHA256: 9f94e2df4306bb4aa9988ab18f975d0963d9fbd03b6a96a976687812f1b2612e(エクスプロイトキット・大規模悪用ツール・ボットネット構築ツール)
概要: この大規模悪用ツールキットはGeoServerのCVE-2024-36401 RCE脆弱性を標的にしています。FOFA検索APIを活用してグローバルな脆弱インスタンスを自動的に探索し、WFSエンドポイントを悪用して「angelax86」マルウェアペイロードを配信するか、DoS再起動を実行します。
First_Seen: 2026-03-06
SHA256: c6922cb0125c52f094945d28ba544deceb22c64083af24170630be89bed452f1(ランサムウェア) 概要: Linux/Filecoder.FUはChaCha20ストリーム暗号によるファイル暗号化とCurve25519鍵交換を実装した本格的なLinuxランサムウェアです。XMLベースの設定ファイルに基づくマルチスレッドファイル暗号化を特徴とし、プロセス名の難読化により検出を回避します。
First_Seen: 2026-02-19
SHA256: 68e4d5aea249288fbdf8ea70be7b3911d1e6cf8cc6be1271fbb2aa5774c51e78(リモートアクセス型トロイの木馬(RAT)・マルチプラットフォームスパイウェアフレームワーク)
概要: OmnispyRATはPythonで書かれた洗練されたマルチプラットフォームRATフレームワークで、広範なスパイウェア機能、永続化機能、回避モジュールを備えています。マルチチャネルC2構成(HTTP・Telegram・DNSトンネリング)、多方式キーロギング、DPAPIを用いたブラウザ認証情報窃取などの高度な機能を実装しています。
First_Seen: 2026-03-07
SHA256: afe9a0298d945105ee69e84bdd7c41f35dad869a44098cb7e65a6a32a01cc617(APT偵察マルウェア・LNKベースドロッパー)
概要: 北朝鮮のAPTアクター(ROKRAT)に帰属するこのマルウェアは、難読化されたPowerShellペイロードを含む44KBの武器化されたLNKドロッパーを通じて配布されます。環境の偵察と自己識別を実行し、サンドボックスを回避するためロケーション検出の結果に基づいて条件付きで動作します。
First_Seen: 2026-03-03
翻訳元: https://zerolabs.rubrik.com/blog/march-threat-rundown-cisco-zero-days-teampcp-cicd-breaches-and-more
