Security News Daily

2026-04-03のセキュリティニュース

Next.js大規模侵害、北朝鮮による2.85億ドルの暗号資産流出、Axiosサプライチェーン攻撃など、クラウドとサプライチェーンを狙った高度な攻撃が相次いだ一日

サプライチェーン攻撃北朝鮮(DPRK)クラウドセキュリティソーシャルエンジニアリング暗号資産

今日のハイライト

クラウド環境とソフトウェアサプライチェーンを標的とした攻撃が激化。特に北朝鮮関連の脅威アクターが暗号資産取引所と人気npmパッケージを同時に狙い、従来のソーシャルエンジニアリングに加えてDurable Nonceなどのブロックチェーン固有の技術を悪用するなど、攻撃手法の高度化が顕著です。一方、Next.jsの脆弱性を悪用した自動化された認証情報窃取キャンペーンや、欧州委員会のクラウド侵害など、政府機関と企業の両方で大規模なデータ流出が発生しました。

1. Next.js React2Shell脆弱性による大規模認証情報窃取キャンペーン

概要

CVE-2025-55182(React2Shell)を悪用した攻撃により、766台のNext.jsホストが侵害されました。攻撃者はデータベース認証情報、SSH秘密鍵、AWSシークレット、Stripe APIキー、GitHubトークンなどの機密情報を大規模に窃取しています。自動化されたスキャンと悪用により、多くの組織が即座に影響を受けています。

考察

実務対策としては、まず環境変数の管理徹底が急務です。 Next.jsアプリケーションでは、NEXT_PUBLIC_プレフィックスの付かない環境変数が誤ってクライアントサイドに漏洩していないか、サーバーコンポーネントとクライアントコンポーネントの境界で機密情報が適切に隔離されているかを直ちに監査してください。さらに、.envファイルのバージョン管理への誤コミット防止策(git-secretsやpre-commitフック)と、本番環境での環境変数の暗号化保存(AWS Secrets ManagerやAzure Key Vault等の利用)を必須とすべきです。

技術的な観点から見ると、React2Shellはサーバーサイドレンダリング(SSR)におけるインジェクション脆弱性と考えられます。近年のフロントエンドフレームワークのサーバーサイド実装は、従来のバックエンドほどのセキュリティ監視が行き届かないことが多く、攻撃者にとって「盲点」となっています。特に、開発者が「フロントエンドは安全」と誤認しがちな部分でのRCE(リモートコード実行)は、認証情報への直接アクセスを可能にするため、影響が甚大です。

この攻撃の背後には、初期アクセスブローカー(IAB)の活動の可能性があります。収集されたクラウド認証情報は、ランサムウェアグループや国家支援アクターに転売され、より高度な標的型攻撃の足がかりとなるリスクが高いです。特に、同日発覚したDriftの資金流出事件との関連性(窃取したキーが暗号資産関連のインフラにアクセスしていた可能性)も視野に入れて調査が必要です。

参照元

2. Driftによる2億8500万ドル流出:Durable Nonceを悪用した北朝鮮の攻撃

概要

Solanaベースの分散型取引所(DEX)Driftが、北朝鮮の脅威アクターによる攻撃により約2億8500万ドル(約430億円)の資金流出を確認しました。攻撃者は「Durable Nonce」と呼ばれるSolanaの機能を悪用した新種のソーシャルエンジニアリング手法により、プロトコルへの未承認アクセスを獲得しました。

考察

DeFiプロトコルを運営する組織は、Durable Nonceトランザクションの監査体制を直ちに見直す必要があります。 SolanaのDurable Nonceは、通常のrecent blockhashによる有効期限制限を回避し、オフライン署名や将来の実行を可能にする機能ですが、これを悪用すると攻撃者は「有効期限のない悪意あるトランザクション」を事前に作成・署名させ、後に実行させることが可能になります。対策として、Durable Nonceを使用するトランザクションについては、マルチシグウォレットによる承認プロセスを設け、さらにオフラインでの検証とタイムロック(Timelock)機能の導入を検討すべきです。

技術的に興味深い点は、従来のフィッシングや認証情報窃取に留まらず、ブロックチェーンのプロトコルレベルの機能を悪用した点です。これは、攻撃者がDeFiの技術的詳細を深く理解し、それを社会工学のツールとして利用していることを示しています。特に、開発者や管理者に対して「技術的に正当な理由」を装ったDurable Nonce署名の依頼を行った可能性があります。

地政学的な観点から、この攻撃は国際制裁下にある北朝鮮の資金調達活動の一環と考えられます。近年、北朝鮮のIT工作員(DPRK IT workers)が海外企業に潜入し、報酬を詐取したり、内部者として攻撃に加担したりするケースが増加しており、今回の攻撃もその一連の流れにある可能性があります。暗号資産業界は、従業員の身元確認(Background Check)と、特に管理キーにアクセスできる職位での監査を強化する必要があります。

参照元

3. Axiosメンテナー標的型攻撃:UNC1069によるnpmサプライチェーン侵害

概要

広く使用されているJavaScriptライブラリ「Axios」のメンテナーが、北朝鮮の脅威アクターUNC1069による高度な標的型ソーシャルエンジニアリングにより侵害されました。これによりnpmパッケージのサプライチェーンが汚染され、多くの開発者とアプリケーションに潜在的な影響が及んでいます。

考察

企業は直ちに依存関係の固定(Dependency Pinning)とSubresource Integrity(SRI)の検証を実施してください。 Axiosは週間ダウンロード数が数千万を超える基幹ライブラリであり、悪意あるバージョンが公開されれば、企業アプリケーションや政府システムにまで波及します。package-lock.jsonやyarn.lockの厳格な管理に加え、プライベートnpmレジストリ(VerdaccioやNexus等)を介して外部パッケージを一旦検証・キャッシュしてから内部に配布する「ゲートウェイ」方式の導入を推奨します。また、メンテナーアカウントのMFA強制はもちろん、緊急時の連絡先確認と、オーナー権限を持つアカウント数の最小化(バス係数の管理)が重要です。

技術的背景として、オープンソースメンテナーの「疲労」と「権限集中」を悪用した典型的なサプライチェーン攻撃です。人気ライブラリのメンテナーは多くのプルリクエストやIssue対応に疲弊しており、攻撃者が「協力者」や「セキュリティ研究者」を装って接近しやすい環境にあります。UNC1069は、メンテナーの信頼を獲得した上で、悪意あるコードを含む「バグ修正」や「機能追加」を行わせたと考えられます。

この攻撃は、北朝鮮が「間接的な侵入経路」を確保しようとしていることを示唆しています。Axiosを介して企業の内部ネットワークにアクセスし、長期間にわたりデータを収集したり、さらなる攻撃の足がかりとしたりする戦略的意図が見えます。特に、金融機関や暗号資産関連企業がAxiosを使用していることを念頭に置いた標的選定だった可能性も否定できません。

参照元

4. Cisco IMC・SSMの重大脆弱性(CVSS 9.8):認証バイパスによる完全システム侵害

概要

Ciscoは、Integrated Management Controller(IMC)およびSSM(Security Services Manager)における重大な脆弱性(CVSS 9.8)に対するパッチをリリースしました。認証されていないリモート攻撃者が認証をバイパスし、影響を受けるシステムで昇格された権限を獲得できる脆弱性です。多くのデータセンターで使用されている製品であり、緊急の対応が必要です。

考察

データセンター運用チームは、IMC/SSMの即座のパッチ適用と同時に、管理インターフェースのネットワーク分離を直ちに実施してください。 Cisco IMCはBMC(Baseboard Management Controller)に相当し、OSやハイパーバイザーに依存しない「帯外(Out-of-Band)」管理機能を提供します。このため、仮想化環境の隔離を突破し、物理サーバーのBIOSレベルまでアクセス可能な「神の視点」を持ちます。管理ポートを専用VLANに分離し、IPアクセスリストで接続元を厳密に制限(ジャンプサーバー経由のみ許可)し、さらに不正アクセス監視(IMCログのSIEM連携)を強化することが必須です。

技術的に、BMC系の脆弱性は近年、ランサムウェアグループや国家支援アクターにとって貴重な「究極の persistence(永続性)」メカニズムとして認識されています。OSを再インストールしてもBMCに潜伏すれば再感染が可能であり、さらに仮想マシンのメモリダンプ取得や、暗号化鍵の抽出にも悪用できます。CVSS 9.8という評価は、認証不要でのリモートからの完全制御を意味し、インターネットに露出しているIMCは即座に侵害されるリスクがあります。

この脆弱性が悪用された場合の影響は、単一サーバーの侵害に留まりません。IMCを介して他のサーバーへの横展開(Lateral Movement)や、vCenter等の仮想化管理基盤への攻撃が可能になり、データセンター全体の崩壊につながります。特に、クラウドプロバイダーのマルチテナント環境では、他のテナントへの影響も懸念されます。

参照元

5. 欧州委員会クラウド侵害:30のEU機関データがTeamPCPにより流出

概要

欧州委員会のAmazonクラウド環境が侵害され、30のEU機関のデータが露出しました。TeamPCPとされる脅威グループが、Trivyサプライチェーン攻撃で窃取したAWS APIキーを使用して侵入しました。流出したデータは90GB(非圧縮時340GB)に及び、ShinyHuntersがダークウェブに公開しています。

考察

クラウドセキュリティチームは、開発者ツールからの認証情報流出リスクを直ちに評価し、APIキーのローテーションと最小権限原則の徹底を行ってください。 今回の攻撃では、コンテナスキャンツールTrivyの侵害を起点にAWSの管理権限を持つAPIキーが流出し、さらにTruffleHog等のシークレットスキャンツールを悪用して追加の認証情報を収集しました。対策として、長期有効なAWSアクセスキーの廃止(IAMロールの使用)、管理権限の厳格な制限(Just-in-Timeアクセス)、およびCanary Token(偽の認証情報)の配置による早期検知が有効です。

攻撃手法の連鎖に注目が必要です。TeamPCPは、開発者ツール(Trivy、LiteLLM等)を標的にしたサプライチェーン攻撃の専門家であり、窃取した認証情報を欧州委員会のような高価値標的に使用しました。さらに、ShinyHuntersとの連携は、データ窃取後の「即座の金銭化(Monetization)」を示唆し、国家支援アクターとサイバー犯罪グループの境界が曖昧になる傾向を反映しています。

地政学的な文脈では、EUの主要行政機関が侵害されたことは、政府間の信頼関係とデータ保護規制(GDPR)の厳格性に対する挑戦となります。特に、流出データに個人情報と業務メールが含まれていることから、標的型攻撃(BECや標的型フィッシング)の二次被害が懸念されます。他の政府機関も、開発者ツールのセキュリティと、サプライチェーン攻撃からの認証情報保護を直ちに見直すべきです。

参照元

まとめ

今日のニュースは、サプライチェーン攻撃の連鎖国家レベル脅威アクターの活動活発化という2つの大きなトレンドを鮮明に映し出しています。TrivyからAWSキーが流出し欧州委員会に波及した事例、Axiosのメンテナー侵害、そして北朝鮮によるDriftとAxiosの同時期攻撃は、現代の攻撃が「単一の脆弱性」ではなく「複数の脆弱性と人間の心理の連鎖」を悪用する高度化を示しています。

特に注目すべきは、Durable Nonceのようなプロトコル固有の技術的詳細をソーシャルエンジニアリングに組み込む攻撃や、React2Shellによる自動化された認証情報収集のような「スケーラブルな初期アクセス」の台頭です。これらは、防御側が技術的対策だけでなく、人的プロセスの再設計(DeFiの承認フロー、OSSメンテナーの保護、クラウドキー管理)を迫られていることを意味します。

今後の注視ポイントとしては、まずAxiosパッケージの追加の侵害や、TeamPCPによる他の開発者ツール(PyPI、Docker Hub等)への攻撃の有無が挙げられます。また、Next.js脆弱性を悪用した認証情報が、暗号資産関連の標的攻撃(Driftのような)に使用される動きがあるかどうかも監視が必要です。最後に、北朝鮮のIT工作員が引き続き西方のテック企業に潜入し、内部者脅威として機能していないか、採用プロセスの強化も喫緊の課題となっています。

参照元