人気のあるビデオ会議ソフトウェアのバグがハッカーに悪用されており、米国政府はすべての機関に2週間以内に脆弱性にパッチを適用するよう命じた。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、連邦機関に対してビデオ会議ツールTrueConfの脆弱性CVE-2026-3502にパッチを適用するまで4月16日までの期限を与えた。このバグは10点中7.8の重大度スコアを持っている。
脆弱性が悪用されているというCISAの確認は、東南アジアの政府を標的とした中国のハッキング活動の疑いについて説明するCheck Pointのサイバーセキュリティ研究者からのレポートに続いている。
Check Pointは述べた中国のハッカーはTrueChaosと呼ぶキャンペーンでこの脆弱性を悪用しているということを。このキャンペーンは2026年初頭に開始され、通常、中国の行為者が過去1年間に繰り返し悪用してきたHavocペネトレーションテストツールが含まれていた。
Check Pointは、3月にリリースされた修正を開発したTrueConfにバグを開示したと述べた。
「2026年の初めに、Check Point Researchは、ターゲットの環境にインストールされた正当なTrueConfソフトウェアを通じて実行された東南アジアの政府機関に対する一連の標的型攻撃を観察した」と研究者は述べた。
「この欠陥はアプリケーションの更新プログラム検証メカニズムに影響を与え、オンプレミスのTrueConfサーバーを制御する攻撃者が接続されたエンドポイント全体に任意のファイルを配布して実行することを可能にします。」
バグの悪用中、ハッカーは信頼できる更新チャネルを使用して悪意のある更新プログラムを配布した。Check Pointは、標的化はキャンペーンが諜報に焦点を当てていた可能性があることを示していることに注目した。
TrueConfはアジア、ヨーロッパ、アメリカの組織全体で広く使用されており、世界中で約100,000の組織にサービスを提供している。Check Pointは、「安全な環境またはリモート環境で絶対的なデータプライバシーと通信の自律性を確保するために」、主に政府、軍、および重要インフラセクターで使用されていると述べた。
「インターネット接続が悪い、または接続がない場所、または従来のネットワークがダウンしている自然災害の際に、必要な調整を容易にします。サーバーを内部ハードウェアでホストすることで、すべてのオーディオ、ビデオ、チャットトラフィックがサイト内に厳密に含まれたままになり、完全にエアギャップされたシステムではオフラインアクティベーションが利用可能です」とCheck Pointは説明した。
ほとんどの感染は、犠牲者に送信されたリンクを通じて開始された可能性があります。リンクはTrueConfクライアントを起動し、より新しいバージョンが利用可能であることを示唆する更新プロンプトを表示しました。
「犠牲者とのやり取りの前に、攻撃者はすでにTrueConfオンプレミスサーバー上の更新パッケージを武装化されたバージョンに置き換え、クライアントが通常の更新プロセスを通じて悪意のあるファイルを取得することを確保していました」とCheck Pointは述べた。
「侵害されたTrueConfオンプレミスサーバーは政府のIT部門によって運営されており、全国の数十の政府機関向けのビデオ会議プラットフォームとして機能しており、すべて同じ悪意のある更新プログラムが供給されていました。」
Check Pointは、展開された戦術とAlibaba CloudおよびTencentホスティングツールの使用に基づいて、キャンペーンを中国の行為者に帰した。同社はまた、同じ犠牲者がShadowPadマルウェアで標的にされているのを目撃した—中国の行為者の特徴。
翻訳元: https://therecord.media/trueconf-cyberattack-cisa-hackers
