BLOG
PUBLISHED JUL 10, 2026 BY Amit Malik
Rubrik Zero Labsが、2026年5月下旬から6月下旬にかけての知見をまとめ、サイバーセキュリティ情勢における重大な変化を紹介します。
BLOG
6月の脅威動向:サプライチェーンワーム、AIによる悪用の加速、そして重大なゼロデイ
PUBLISHED JUL 10, 2026 BY Amit Malik
Rubrik Zero Labsが、2026年5月下旬から6月下旬にかけての知見をまとめ、サイバーセキュリティ情勢における重大な変化を紹介します。
今月の主要トピック
- 「Miasma」サプライチェーンワームがエコシステム侵害を組織的に展開
- 「Miasma」ワームと呼ばれる、極めて高度な自己増殖型の認証情報窃取マルウェアが、複数の開発者エコシステムにまたがる壊滅的なサプライチェーン侵害を引き起こしました。
- この攻撃は、CI/CDパイプラインの操作と悪意あるPythonの.pthスタートアップフックの悪用により、Microsoft傘下のGitHubリポジトリ73件、PyPI/npmアーティファクト471件、Red Hatのクラウドサービスパッケージ32件を組織的に乗っ取りました。
- このマルウェアはGitHubトークン、npmレジストリへのアクセス権、クラウド認証情報(AWS、GCP、Azure)を窃取する一方で、AI支援型のセキュリティスキャナーを妨害するために設計された偽のLLMプロンプトインジェクションヘッダーなど、高度な解析妨害技術も展開しました。
- OracleのPeopleSoftゼロデイ、教育機関で大規模な情報漏洩を招く
- 脅威アクターShinyHunters(UNC6240)は、Oracle PeopleSoft PeopleToolsに存在する未パッチの認証バイパスのゼロデイ脆弱性(CVE-2026-35273)を悪用し、認証不要のリモートコード実行を可能にしました。
- この大規模な悪用キャンペーンにより100を超える組織が侵害され、その大半は高等教育機関でした。
- 緊急パッチが公開されるまでの約2週間にわたって攻撃が行われ、この侵害によりノッティンガム大学の学生・職員45万4,600件の記録を含む、大規模な個人情報データベースが窃取されました。
- CiscoのSD-WANでゼロデイが連鎖、開示前から悪用が発生
- Ciscoのエンタープライズネットワークインフラは、容赦のないゼロデイ攻撃の連鎖に見舞われ、2026年に実際に悪用されたCiscoのSD-WAN脆弱性としては7件目となりました。
- 最も重大な欠陥(CVE-2026-20245)は、悪意あるCSVファイルのアップロードを通じて、認証済みのリモート攻撃者がroot権限でコマンドを実行できるというものでした。
- Mandiantの開示によると、脅威アクターはベンダーによる公表の少なくとも2か月前から、この脆弱性を実際に悪用してシステムのパスワードファイルを操作していたとされ、重要インフラが極めて長期間にわたり危険にさらされていた実態が浮き彫りになりました。
主要ランサムウェアグループ
注:今月のランサムウェアグループは、カスタムのEDR回避フレームワークを展開し、目新しいコマンド&コントロール秘匿手法を活用するなど、著しい運用の成熟度を示しました。
- The Gentlemen – 同グループは、48種類の製品にまたがる400以上のセキュリティプロセスを標的にできる、極めて高度な「GentleKiller」EDR停止フレームワークを展開し、ワームのような深刻な横方向移動を可能にしました。医療や製造業を含む70か国のグローバルなセクターに影響を与え、確認された被害者は合計478件に上りました。
- ShinyHunters(UNC6240) – 名称を変更したこのグループは大規模な恐喝キャンペーンを組織し、DentaQuestから260万件、Charter Communicationsから490万件のアカウント情報を窃取したほか、OracleのPeopleSoftのゼロデイを利用して45万件を超える大学の記録を盗み出しました。
- Qilin – この非常に活発なグループは、Check PointのVPNゼロデイ(CVE-2026-50751)を悪用し、パッチが提供される丸1か月前からネットワークへの侵入を果たしており、世界各地の複数の被害者において完全なネットワーク侵入を可能にしました。
- INC Ransom – INCは高頻度かつ攻撃的な標的選定を維持し、2023年以降の被害者総数が830件を超えたという運用上の節目を主張しています。
- Silent Ransom Group(Luna Moth) – このグループは従来のデジタル恐喝を物理的な領域にまで拡大させ、IT担当者になりすました工作員を実際にオフィスへ侵入させ、USBドライブを差し込んでデータを窃取することに成功しました。
Linux/クラウド/IDへの攻撃:主要な脅威
これらの脅威は、深刻度(CVSSスコア)、即時かつ広範な影響、そしてエンタープライズ環境における大規模な悪用の観測状況に基づいて優先順位付けされています。
- Check PointのVPNゼロデイをめぐるランサムウェアによる悪用(CVE-2026-50751)
- 種別:ネットワークインフラ/ID
- 影響:Check PointのRemote Access VPNに存在する重大な認証バイパスの脆弱性により、非認証の攻撃者が廃止されたIKEv1プロトコルの欠陥を利用して、有効なパスワードなしにVPNセッションを確立できます。
- CVSS 9.3/統計:Qilinランサムウェアの関連アクターは、このゼロデイをパッチ公開前の32日間にわたって実際に悪用しており、CISAは連邦政府に緊急の対応を義務付けるに至りました。これにより、保護されたエンタープライズネットワークへの即時の横方向移動が可能になります。
- Ivanti Sentryの最大深刻度のRCE(CVE-2026-10520)
- 種別:クラウドインフラ/モバイル管理
- 影響:コマンドインジェクションの脆弱性により、非認証のリモート攻撃者がIvanti Sentryモバイルゲートウェイアプライアンス上でroot権限による任意コード実行が可能になります。
- CVSS 10.0/統計:最大深刻度のスコアを記録するこの脆弱性は、開示からわずか24時間以内に実際の悪用が確認されており、AIによる脆弱性の武器化にかかる時間が前例のないほど短縮されていることを示しています。
- Linuxの「Fragnesia」CIFS root権限昇格(CVE-2026-46300)
- 種別:Linuxオペレーティングシステム
- 影響:LinuxカーネルのXFRM ESP-in-TCPサブシステムに存在する権限昇格の脆弱性で、ローカル攻撃者がカーネルのページキャッシュを完全に操作し、root権限を取得できるようになります。
- CVSS 7.8/統計:この19年前から存在する欠陥は主要なLinuxディストリビューションの大半に影響し、Linuxサーバーインフラ、コンテナ化されたワークロード、ハイブリッド環境にとって重大な脅威となっています。概念実証コードもすでに一般に公開されています。
Rubrik Zero LabsのLLM搭載高度分析システムによる知見
バックアップ内に潜む主要な脅威:当社の高度分析システムは、実際に観測された主要かつ増加傾向にある脅威を特定し、そのデータをバックアップのテレメトリと照合することで、潜行するマルウェアを検出します。本セクションでは、今月分のデータを紹介します。
最前線の防御を突破する脅威
確認された脅威のうち3.2%が、高い確度で最前線の防御を突破したと特定されています。この集団の背後には、それぞれ独自のツール群を持ち、目的を達成するまで防御層を回避し続けるだけの運用上の規律を備えた、特定可能な攻撃者たちが集中して存在します。この防御突破集団に関連する名前付きキャンペーンの77.3%には、アクターの帰属情報、すなわちツールの背後にいる特定のオペレーターが確認されています。この集団の活動範囲はテクノロジー、サイバーセキュリティ、医療分野に集中していますが、その手口自体は業種を問わず通用するものです。認証情報の悪用、横方向移動、防御回避といった手法は、最前線の検知では捉えきれない信頼境界を突くものだからです。
Evil Corp
| 業種 | 集団全体に占める割合 |
|---|---|
| テクノロジー | 64.3% |
| サイバーセキュリティ | 10.7% |
| 医療 | 8.9% |
Evil Corpは、大規模な銀行詐欺やランサムウェア活動で知られる金銭目的のサイバー犯罪グループです。この防御突破集団の中では、Evil Corpのツール群のうち4つのファミリーが確認されました。
- DOPPELPAYMER – Cで書かれたランサムウェアで、ローカル、ネットワーク共有、リムーバブルデバイス上に保存されたファイルを暗号化します。防御突破集団のアラート活動の2.3%を占めました。
- FAKEUPDATES – JavaScriptで書かれたダウンローダーで、HTTP経由で通信し、実行のためのペイロードをディスクに書き込みます。防御突破集団のアラート活動の1.8%を占め、このツールに遭遇した環境のうち7.7%で防御側が検疫措置を講じました。
- DANABOT – Delphiで書かれたバックドアで、多くの場合ドロッパー経由で配布され、主要なペイロードを復号して実行します。こちらも防御突破集団のアラート活動の1.8%を占めました。
- VENOMRAT – .NETベースのバックドアで、TCP経由のカスタムバイナリプロトコルを用いて通信し、シェルコマンドの実行やプラグインのダウンロードが可能です。防御突破集団のアラート活動の0.4%を占めました。
Lazarus
| 業種 | 集団全体に占める割合 |
|---|---|
| テクノロジー | 100% |
Lazarusは、金銭目的の活動やスパイ活動で知られる北朝鮮の国家支援型APT(高度持続的脅威)グループです。この防御突破集団の中では、Lazarusのツール群のうち3つのファミリーが確認されました。
- HANGMAN – Conti、Hoplight、Lazarus、Nukespedとしても追跡されているこの亜種は、ファイルのアップロード・ダウンロード、プロセスおよびファイルシステムの管理、システム情報の収集、設定の更新が可能です。防御突破集団のアラート活動の1.0%を占めました。
- LATEWIRE – Apost、Conti、Nukesped、Nukesped Trojanとしても追跡されているこのダウンローダーはC++で書かれており、C&Cサーバーからシェルコードをダウンロードして実行します。防御突破集団のアラート活動の0.3%を占めました。
- DARKSKY – BKDR、Conti、Joanap、Joanap Wormとしても追跡されているDARKSKYは、Windows SMB共有経由でブルートフォース認証攻撃を用いて拡散し、ログデータを設定済みのコマンド&コントロールサーバーへ送信します。防御突破集団のアラート活動の0.1%を占めました。
Gentlemen
| 業種 | 集団全体に占める割合 |
|---|---|
| サイバーセキュリティ | 42.9% |
| 専門サービス | 28.6% |
| 通信 | 14.3% |
Gentlemenは、ランサムウェア活動、横方向移動、コマンド&コントロールの永続化を可能にするプロキシおよびトンネリングインフラで知られるサイバー犯罪グループです。Cで書かれたトンネラーであるSYSTEMBCは、カスタムバイナリプロトコルを用いてコマンド&コントロールサーバーからプロキシ関連のコマンドを取得するもので、防御突破集団のアラート活動の0.9%を占めました。
高確度で防御を突破した集団の業種構成を、集団全体の環境における占有率として示したもの。
ランサムウェア
この期間に特定された脅威のうち、ランサムウェアファミリーは14.3%を占め、データセット全体で7種類の異なるランサムウェアファミリーが確認されました。EGREGORが55.9%でランサムウェア活動全体を大きくリードし、次いでSODINOKIBIが1.5%、WANNACRYが1.1%と続きました。特筆すべきは、2020年3月に初めて報告された名前付きキャンペーンを通じてNefilim脅威アクターに帰属するNEMTY.NEFILIMが、この期間に2つの亜種として出現した点です。活動割合自体は低いものの、これは日和見的なツールとは一線を画す兆候といえます。
サイバーセキュリティ分野の環境が、この期間のランサムウェア活動全体の65%を占めましたが、これは主にEGREGORのアラート量に起因するものであり、複数のファミリーにわたって一貫して見られる傾向でもあります。セキュリティに特化した組織は自らのテレメトリを通じて活動を検出・報告する傾向が強いため、計測体制が手薄な業種と比べて、その割合が実態より高く出ている可能性があります。テクノロジー分野は残りの34%を占め、ソフトウェアベンダー、マネージドサービスプロバイダー、そして業務停止が直接的な収益への影響につながるインフラ事業者にまで及んでいます。
Zero Labsのブログ・インテリジェンス: