イラン軍による重要インフラPLC攻撃と13年潜伏のActiveMQ脆弱性、CISA緊急命令
CISAがIvanti EPMMの重大脆弱性に対し4日以内のパッチ適用を命令。イラン関連ハッカーが米国の重要インフラのPLCを標的に実害を与える攻撃を実施。Apache ActiveMQには13年間気づかれなかったRCE脆弱性が発見され、北朝鮮ハッカーがnpmなどに1,700の悪意あるパッケージを拡散。クラウド設定ミスを狙う新たな脅威も出現。
今日のハイライト
国家級サイバーアクターによる重要インフラ(OT/ICS)への実害型攻撃、13年間にわたって潜伏していたエンタープライズミドルウェアの致命的脆弱性、そして大規模なソフトウェアサプライチェーン汚染が同時に発生。CISAは連邦政府に対し週末までの緊急パッチ適用を命令し、ITとOTの境界が曖昧化する中で、長期にわたる設定ミスやレガシーコードのリスクが顕在化している状況にある。
1. イラン関連ハッカー、米国重要インフラのPLCを標的に運用妨害
概要
イラン(Iran)に関連するサイバー攻撃者が、インターネットに露出した運用技術(OT)機器—特にプログラマブル・ロジック・コントローラ(PLC)—を標的に、米国の重要インフラにおいて運用妨害や機能低下を引き起こしている。複数の政府機関およびセキュリティベンダーが警告を発出しており、エネルギー、製造、水道などのセクターで実際の被害が確認されている。
考察
実務対策:
- 即座の資産棚卸し: Shodan等で自組織のPLC/SCADAが露出していないか確認し、インターネット直接露出機器の特定と隔離を最優先で実施
- ネットワークセグメンテーション: ITネットワークとOTネットワークの間のファイアウォールルールを見直し、必要最小限の通信のみ許可( Purdue Model の厳格な適用)
- 遠隔アクセスの制限: VPN経由の多要素認証(MFA)を必須化し、RDPやTelnet等の危険なプロトコルを完全に無効化
- ICS監視の導入: 異常なModbus/DNP3等の工業プロトコル通信を検知するIDS/IPSの導入とアラート設定
技術的背景と洞察: この攻撃は単なる情報窃取ではなく、PLCの動作を妨害する「実害型(kinetic effect)」攻撃である点が重大である。イラン関連グループ(例:CyberAv3ngers等)は近年、Watering holeや資格情報窃取を経て、OT環境への直接アクセスを狙う傾向が強まっている。特にインターネット露出されたPLCは、Shodan等の検索エンジンで容易に発見可能であり、脆弱性の有無に関わらず、既定認証情報や弱い認証機構を悪用した初期侵入が行われている。IT/OTの融合が進む中で、従来のITセキュリティ対策がOT側に十分に適用されていない「ガバナンスの隙間」が、国家級脅威にとって格好の標的となっている。
参照元
2. CISA緊急命令:Ivanti EPMMの重大脆弱性、週末までにパッチ適用を
概要
CISA(米国サイバーセキュリティ・インフラストラクチャ保安庁)が、Ivanti Endpoint Manager Mobile(EPMM)の重大なコードインジェクション脆弱性(CVE-2026-1340)をKEV(Known Exploited Vulnerabilities)カタログに追加。連邦政府機関(FCEB)に対し、4月11日(土曜日深夜)までのパッチ適用をBinding Operational Directive(BOD)22-01に基づき命令した。同脆弱性は1月からゼロデイ攻撃で悪用されており、特権なしの攻撃者がリモートコード実行(RCE)可能な状態である。Shadowserverの調査では、現在も約950台のIvanti EPMMがインターネットに露出している。
考察
実務対策:
- 緊急パッチ適用: 5.19.4または6.2.3以降への即座のアップデート。週末対応が不可能な場合は、インターネットからの隔離またはWAFでの仮想パッチ適用を検討
- 侵害指標(IoC)の確認: 1月以降の不審なアクセスログ、特別に作成された管理アカウント、または不明なデバイス登録の有無を確認
- MDM/UEMの代替検討: Ivanti製品は過去3年間で33件の脆弱性がCISA KEVに登録されるなど、継続的な高リスク傾向にある。Microsoft IntuneやVMware Workspace ONE等への移行を中長期的に検討すべき
- 攻撃面の縮小: EPMM等のエッジデバイスは必ずVPN内に配置し、パブリックIP直接露出を絶対に避ける
技術的背景と洞察: Ivanti EPMMはモバイルデバイス管理(MDM)ソリューションであり、組織内の全モバイルエンドポイントに対する「王冠の宝石」級のアクセス権を持つ。CVE-2026-1340は認証バイパスを伴うコードインジェクションであり、攻撃者がデバイスポリシーの改竄、証明書の悪用、さらには内部ネットワークへの横展開を可能にする。Ivanti製品(VPN、MDM、メールゲートウェイ)は近年、APTグループやランサムウェア運用者(12件がランサムウェア関連)に継続的に標的にされており、これは「エッジインフラ」に対する攻撃の集中化という業界トレンドを反映している。CISAの4日という異例に短い期限は、既に広範な悪用と連邦機関へのリスクを示している。
参照元
3. 北朝鮮ハッカー、npm・PyPI等に1,700の悪意あるパッケージを拡散
概要
北朝鮮に関連する「Contagious Interview」キャンペーン(Lazarus Groupの派生とされる)が、Go、Rust、PHP、npm(Node.js)、PyPI(Python)のエコシステムに対し、合計1,700の悪意あるパッケージを公開した。これらは正当な開発者ツール(コードエディタ、デバッガ、フレームワーク拡張等)を装い、ソフトウェアサプライチェーン攻撃を実施している。
考察
実務対策:
- 依存関係の固定(Pinning):
package-lock.jsonやpoetry.lock等で厳密なバージョン固定を行い、予期せぬパッケージ更新を防ぐ - プライベートレジストリの利用: 公開レジストリではなく、組織内のプライベートPyPI/npmミラーを経由し、脆弱性スキャン(SAST/SCA)を必須化
- Typo-squatting対策: パッケージ名の類似性チェックツール(如:
pip-audit、npm auditの強化版)をCI/CDパイプラインに統合 - SBOM(ソフトウェア部品表)の導入: 使用しているオープンソースコンポーネントの完全な可視化と、異常な依存関係追加のアラート設定
技術的背景と洞察: 1,700という数は、単なる機会主義的なtypo-squattingを超える、組織的な「生態系汚染」戦略を示唆する。北朝鮮は「IT職員偽装」で海外企業に潜入し開発者環境にアクセスする手法と並行して、今回のように開発者が自発的に悪意あるコードをダウンロードさせる「下流攻撃」を組み合わせている。特にGoやRustはコンパイル後の検知が困難なバイナリを生成しやすく、サプライチェーン攻撃にとって高価値な標的となる。開発者ツールは通常、高い権限で実行され、社内のソースコードやCI/CDシークレットにアクセス可能なため、一度侵入すると即座に「信頼された開発者」として横展開が可能になる。
参照元
4. Apache ActiveMQに13年間潜伏したRCE脆弱性、AIにより発見
概要
Apache ActiveMQ Classicに、13年間にわたって存在していたリモートコード実行(RCE)脆弱性(CVE-2026-34197)が発見された。Claude AIアシスタントを用いた分析により発見され、CVSS 8.8の高深刻度。Jolokia管理APIを悪用した認証済み攻撃による任意コマンド実行が可能であり、バージョン6.0.0~6.1.1では別の脆弱性(CVE-2024-32114)により未認証でも悪用可能。ActiveMQ Classicは5.19.4および6.2.3で修正済み。
考察
実務対策:
- 緊急バージョンアップ: 5.19.4(5系)または6.2.3(6系)への即座の更新。6.0.0~6.1.1を使用している場合は、未認証RCEとなるため最優先で対応
- Jolokia APIの制限:
/api/jolokiaエンドポイントへのIPアクセス制限(ホワイトリスト)、強力な認証(MFA連携)の適用、不要な場合は完全な無効化 - JMXの無効化検討: 運用監視に不要な場合、JMXコネクタを完全に無効化するか、ローカルアクセスのみに制限
- ネットワークセグメンテーション: メッセージブローカーは業務アプリサーバから分離し、管理ポート(8161等)への直接アクセスを禁止
技術的背景と洞察: 13年間という長期潜伏は、複合的なコンポーネント間の相互作用(Jolokia + JMX + VMトランスポート + Spring XML)による「 emergent vulnerability(創発的脆弱性)」の典型例である。各コンポーネントは個別には正常動作するが、組み合わせると危険な状態となる。今回Claude AIが「人間の前提を持たない視点」でこのパスを発見したことは、AIによる脆弱性発見の新たな可能性を示す一方、既存のレガシーコードベースに潜む未知のリスクの深刻さを浮き彫りにしている。ActiveMQは過去にもCISA KEV登録の脆弱性(CVE-2016-3088、CVE-2023-46604)を持ち、メッセージブローカーは暗号資産採掘やランサムウェアのC2通信に悪用される高価値標的である。
参照元
5. Chaosマルウェア新変種、設定ミスのクラウド環境を標的に進化
概要
Chaosマルウェアの新たな変種が、従来のIoT機器に加え、設定ミスのクラウド環境を標的に攻撃を開始した。SOCKSプロキシ機能を追加し、攻撃者のインフラとして「クラウドネイティブ」環境を悪用する能力を獲得。これはボットネットのインフラストラクチャにおける重要な進化を示している。
考察
実務対策:
- CSPM(クラウドセキュリティポスチャ管理)の導入: TerraformやCloudFormationの設定ドリフトを継続的に監視し、パブリックIPの過剰割当やオープンなセキュリティグループを自動検出・修復
- IAMの最小権限: クラウドインスタンスのメタデータサービス(IMDSv2の強制)や、過剰なAPIキー権限の削減。デフォルト認証情報の即座の変更
- コンテナイメージのスキャン: 公開レジストリからのイメージプル時の悪意あるスクリプト埋め込み検知、および実行時の異常プロセス監視(Falco等)
- ネットワークフロー分析: VPCフローログによるSOCKSプロキシ通信(1080ポート等)や、不審な外部SSH接続の監視
技術的背景と洞察: ChaosマルウェアはGo言語で記述され、クロスプラットフォーム(ARM/x86)で動作する高度なボットネットである。今回のクラウド標的化は、IoT機器の枯渇と、クラウド環境の「設定ミスによる初期侵入」が自動化ツール(如:TruffleHog、Masscanの変種)で大量に発見可能になったことを反映している。SOCKSプロキシの追加は、攻撃者が侵害したクラウド環境を「ステップングストーン」として利用し、自身の実際のインフラを隠蔽する「インフラストラクチャ・アズ・ア・サービス」モデルの進化を示す。特にKubernetesやDocker APIの露出(2375ポート等)は、従来のIoTよりもはるかに高い帯域と計算リソースを提供するため、DDoSや暗号資産採掘にとって極めて魅力的な標的となっている。
参照元
まとめ
本日のニュースは、国家級脅威の「重要インフラ実害化」と「サプライチェーンの大規模汚染」、そして長期にわたる「レガシーコードの潜伏リスク」という3つの重大なベクトルが同時に顕在化したことを示している。
即座の対応が必要な優先事項:
- OT/ICS環境: インターネット露出PLCの即座の隔離とセグメンテーション(イラン関連攻撃への対応)
- Ivanti EPMM: 週末までのパッチ適用または隔離(CISA緊急命令)
- ActiveMQ: 13年脆弱性への対応として、使用バージョンの確認とJolokiaの制限
中長期的な注視ポイント:
- AIによる脆弱性発見: ActiveMQの事例のように、AIが長期潜伏バグを発見するケースが増加し、従来のセキュリティ監査の方法論を見直す必要がある
- クラウドボットネット: Chaosの進化は、クラウド設定ミスが従来のIoTボットネットを超える脅威となる「インフラ即サービス」型攻撃の到来を告げている
- 開発者環境の防衛: 北朝鮮の1,700パッケージ攻撃は、開発者ワークステーションが「信頼の起点」として完全に掌握されるリスクを示唆しており、DevSecOpsとゼロトラストアーキテクチャの開発環境への適用が急務である
重要インフラの運用者は、ITとOTの境界を再認識し、13年という時間軸で考えた際の技術的負債のリスクを、今週末のパッチ適用という緊急性と共に評価する必要がある。
参照元
- Iran-Linked Hackers Disrupt U.S. Critical Infrastructure by Targeting Internet-Exposed PLCs →
- CISA orders feds to patch exploited Ivanti EPMM flaw by Sunday →
- N. Korean Hackers Spread 1,700 Malicious Packages Across npm, PyPI, Go, Rust →
- 13-year-old bug in ActiveMQ lets hackers remotely execute commands →
- New Chaos Variant Targets Misconfigured Cloud Deployments, Adds SOCKS Proxy →