今月の主要ニュース
Notepad++への6ヶ月にわたるサプライチェーン侵害(Lotus Blossom)
- 巧妙なサプライチェーン攻撃において、中国に関連するAPTグループ Lotus Blossom(Lotus PandaまたはBillbugとも追跡されている)が、テキストエディタNotepad++の共有ホスティング更新インフラを乗っ取った。
- この侵害は2025年6月から12月まで、6ヶ月間にわたって継続していた。
- 攻撃者はソースコードを改ざんするのではなく、サーバーサイドのWinGUp更新機構を傍受し、トラフィックを選択的にリダイレクトして、これまで未知だった「Chrysalis」バックドアを配信した。
- 脅威アクターは当初、東南アジアの政府機関、通信、重要インフラを標的としていたが、その後、米国、欧州、南米のクラウドホスティング、エネルギー、金融セクターへと拡大した。
UNC3886がシンガポールの通信バックボーンを侵害
- 国家の重要インフラへの深刻な侵害として、中国の国家支援を受けた脅威グループ UNC3886がシンガポールの通信セクターへの侵害に成功した。
- 攻撃者はシンガポールの主要通信プロバイダー4社すべてに侵入した。
- 2025年を通じて活動した脅威アクターは、コアネットワーク機器を標的として特別に設計されたルートキット、カーネルレベルのインプラント、ゼロデイエクスプロイトを展開することで、深いインフラへの侵害を達成した。
Dellを標的とした18ヶ月間発覚しなかったゼロデイキャンペーン
- 中国のAPTグループUNC6201が、Dell RecoverPoint for Virtual Machinesにおける最大深刻度のゼロデイ脆弱性(CVE-2026-22769)を悪用し、大規模かつ長期にわたるスパイキャンペーンを実行した。
- このグループはCVSS 10.0の脆弱性を、2024年半ばから2026年2月まで18ヶ月間にわたって発覚することなく悪用し続けた。
- ディザスタリカバリおよびバックアップインフラを標的にしながら潜伏性を維持するため、UNC6201は「Ghost NIC」を作成し、VMware環境への横断的侵害のためにシングルパケット認証用のiptablesを操作した。
- この侵害の深刻さを受け、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は連邦機関に対して3日間という極めて短い緊急パッチ適用期限を発令した。
上位ランサムウェアグループ
以下のグループは、対象期間中に最も高い活動レベルまたは運用面での革新性を示した。
注記:このエコシステムは2025年に過去最多の5,246件の被害者を記録し(前年比30%増)、2026年1月だけで711件の攻撃が発生した(前月比+8%)。しかし、脅威アクターが「サイレント潜伏」モデルに移行しているため、ランサムウェアによる暗号化攻撃は38%減少しており、恐喝を最大化するために持続的なアクセスとデータ窃取のみに集中するようになっている。
- Qilin – 最も活発な攻撃者であり、2026年1月だけで108件の攻撃を実行。教育、法律、医療セクターを重点的に標的にしている。極めて積極的な活動で、LaBaguetteやMadison Servicesを含む7件の新たな被害者を1週間で主張した。
- LockBit 5.0 – 明示的なクロスプラットフォームサポートを備え、クラウドと仮想化レイヤーに重点を置く。Windows、Linux、ESXi、Proxmox向けに特別に調整された専用ビルドによる高いインフラ破壊能力を持つ。
- Everest – 従来の暗号化よりも大規模なデータ窃取と企業への打撃に大きくシフトしている主要プレーヤー。Under Armourから7,270万件の顧客アカウント、Nikeから1.4TBのデータ窃取を主張し、PolycomおよびHosokawa Micron Groupへの侵害も報告している。
- Black Basta – 高度な防御回避メカニズムをペイロードに直接組み込む非常に技術的な運用体制。NSecKrnlドライバーを介した「BYOVD」(脆弱なドライバーの持ち込み)を埋め込み、カーネルレベルでEDR/AVを無効化する。
- INC Ransom – 医療、技術、法律、建設セクターを対象にグローバルで大規模なキャンペーンを実施。ミシシッピ大学医療センターに州内35クリニックの閉鎖を強いるなど、甚大な運用被害をもたらす攻撃を実行。
Linux / クラウド / アイデンティティ攻撃:主要脅威
これらの脅威は、CVSSによる深刻度スコアおよびクラウドインフラとアイデンティティ管理システムへの具体的な影響に基づいて選定された。
1. BeyondTrust 認証前RCE(CVE-2026-1731)
- 種別: アイデンティティ&アクセス / リモート管理
- Fortune 100企業の75%が利用するBeyondTrustのRemote SupportおよびPrivileged Remote Access製品に影響する重大な認証前リモートコード実行脆弱性。
- 約8,500件のオンプレミスインスタンスがインターネットに露出していた。
- CVSS 9.9(ランサムウェアキャンペーンでの積極的な悪用を確認)。攻撃者はPoCリリースから24時間以内にVShellとSparkRATを展開し、金融、法律、技術、医療セクター全体でネットワーク偵察とデータ窃取を実行した。
2. OpenClaw AIエージェントフレームワークの脆弱性(CVE-2026-25253)
- 種別: クラウド / AIプラットフォーム
- OpenClaw AIフレームワークで発見された高危険度から重大度の6つの脆弱性クラスター。サーバーサイドリクエストフォージェリ(SSRF)および悪意のあるWebSocketsを介したワンクリックRCEが含まれる。
- インターネットに露出した21,639件以上のAIエージェントインスタンスが脆弱であると特定された。
- Cline CLIの侵害されたnpmトークンを介したサプライチェーン攻撃により、悪意のあるOpenClaw環境が4,000人以上の開発者にプッシュされ、認証バイパスとパストラバーサル攻撃が可能になった。
Rubrik Zero Labs LLM搭載高度分析システムからの洞察
バックアップ内の上位脅威: 当社の高度分析システムは、実際に観測されている主要かつ注目すべき脅威を特定し、そのデータをバックアップテレメトリと比較することで、ステルス性の高いマルウェアを検出する。以下は、第一線の防御をすり抜けている可能性があるとしてバックアップデータ内で最も多く検出されたファミリーである。
カテゴリ1:リモートアクセス型トロイの木馬(RAT)&インフォスティーラー
これらのツールは主に、ユーザーのスパイ、機密データの窃取、被害者のマシンへの制御維持を目的として設計されている。
- AgentTesla: ブラウザやメールクライアントからの認証情報窃取、スクリーンショットの取得、キーストロークのログ記録を専門とする、人気の.NETベースのスパイウェア兼RAT。
- XWorm: アンダーグラウンドフォーラムで販売されている機能豊富な汎用RATで、データ窃取、DDoS攻撃、さらにはランサムウェアを展開するモジュールなど、広範な機能を提供する。
- SparkRAT: Webインターフェースを通じて攻撃者がWindows、Linux、macOSシステムをリモートで管理しコマンドを実行できる、クロスプラットフォームRAT(多くの場合Goで記述)。
カテゴリ2:Webシェル / バックドア
これらは、持続的なアクセスを維持しコマンドを実行するためにサーバーにアップロードされるスクリプトである。
- VShell: 侵害されたサーバーに隠されたバックドアを確立して持続的なリモート実行を行うために使用される悪意のあるWebシェル(APT32/OceanLotusグループとの関連が多い)。
カテゴリ3:ランサムウェア
ファイルを暗号化し、復号鍵と引き換えに身代金を要求するマルウェア。
- LockBit: 極めて高速な暗号化速度と、窃取した被害者データを公開する「二重恐喝」戦術で知られる、最も活発なRansomware-as-a-Service(RaaS)オペレーションの一つ。
- Medusa: 企業環境を標的とする高度なランサムウェアで、専用の「Medusaブログ」リークサイトに機密ファイルを公開すると脅すことで被害者に身代金支払いを迫る。
高度マルウェア分析システムによる分析・検出上位脅威
SHA256: 810af315a2c159185c74c048d82366a17b3e9356fa6c56bbac537b1b990eecdb(Linux永続化フレームワーク / ポストエクスプロイテーションツールキット)
概要: PANIXは高度に洗練されたLinux永続化ツールキットで、ブートローダー、initシステム、コンテナエスケープにわたる40以上の異なるメカニズムを用いて長期的なアクセスを維持する。DiamorphineなどのルートキットをアクティブかつLD_PRELOADバックドアを展開することで、検出を回避しながら深く潜伏する。
初観測日: 2025年5月14日
SHA256: 1096e35b5757e4014d578bbbdea096b53c465aee2c16bafaf590c6f83c500b9c(リモートアクセス型トロイの木馬(RAT) / バックドア)
概要: このLinuxバックドアは、信頼性の高いコマンド&コントロール通信のためにUDPベースのKCPプロトコルに依存し、ARC4暗号化でトラフィックを保護する。実行時にデーモン化してバックグラウンドでサイレントに動作し、オペレーターにフルリモートシェル実行、アンチデバッグ防御、包括的なファイル管理アクセスを提供する。
初観測日: 2024年9月8日
SHA256: 8471257186db7db30d74816409fa09a09898ee099e7e0d1ad015546975e53a8f(高度なルートキットを備えた仮想通貨マイナー)
概要: このMoneroマイナーは、eBPFカーネルルートキットを使用して高度なステルス性とアンチフォレンジック機能を実現する。Redis、SSH、SMBを介した横断的侵害の機会を積極的にスキャンする自己増殖型ワームとして機能し、競合するマイニングプロセスを積極的に特定して終了させる。
初観測日:2026年2月11日
SHA256: 9e8e1692daed7c0c564fbac15c73c8ea3aab43bba183b179f36dec69a4d47ea3(リモートアクセス型トロイの木馬(RAT) / バックドア)
概要: このLinuxバックドアは広範なローカルネットワーク偵察を実行し、機密システムファイルと認証情報を標的にして窃取する。GIFヘッダー内のステガノグラフィとカスタムXOR暗号化を使用してHTTP C2通信を巧みに偽装し、挿入されたbashrcスクリプトとcronジョブによってホストへの永続性を維持する。
初観測日: 2026年2月13日
SHA256: 312ff5a048a206808aa8d0958731e7758393efb4fa0ac1fd7faa708059baeb9f(HVNCを備えたリモートアクセス型トロイの木馬(RAT))
概要: このRATの亜種は、Hidden VNCを活用してブラジルの銀行顧客を標的とし、Windowsのアップデートや銀行ポータルを模倣した精巧な全画面オーバーレイを表示する。特に注目すべきは、被害者の画面をアクティブに監視し、Pix決済コードをリアルタイムで差し替えて資金を窃取する専用のQRコードハイジャックシステムを搭載している点である。
初観測日: 2026年2月3日
