protobuf.js大規模RCE脆弱性とMirai亜種NexcoriumのIoT侵攻：認証基盤からライブラリまで広がる攻撃面

今日のハイライト

本日のニュースは、サプライチェーンにおける人気ライブラリの臨界脆弱性から、IoTデバイスを踏み台としたボットネット、そしてクラウド環境の「見えない認証情報」に至るまで、攻撃面の多様化を象徴する。特に週間5000万DLを誇るprotobuf.jsのRCE脆弱性は、JavaScriptエコシステム全体に緊急のパッチ適用を要求する事態であり、同時に従来の人間中心のIAMでは把握しきれない非人間アイデンティティ（NHI）のリスクがクラウド侵害の68%を占めるという統計は、Identity Securityの新たなパラダイムシフトを示唆している。

1. Mirai亜種「Nexcorium」によるTBK DVR標的攻撃

概要

新たなMiraiボットネット亜種「Nexcorium」が、TBK DVRおよびサポート終了（EOL）したTP-Link Wi-Fiルーターの脆弱性（CVE-2024-3721）を悪用してDDoS攻撃用のボットネットを構築している。FortinetおよびPalo Alto Networksにより確認され、監視カメラシステムや産業用DVRが標的となっている。

考察

• 実務対策: まずEOLデバイスの棚卸しとネットワークセグメンテーションを緊急実施すべき。産業用DVRは多くの場合、IT資産管理の外に置かれがちだが、これらはボットネットの「踏み台」として最も価値のある標的となる。可能な限りファームウェアを更新し、インターネット直接接続を遮断してVLAN分離し、 east-westトラフィックの監視を強化する必要がある。
• 技術的背景: Mirai系ボットネットは2016年以来進化を続けており、特定のデバイスに依存せず「脆弱性のあるIoTデバイス全般」を標的とする戦略は不変だ。CVE-2024-3721の悪用は、IoTデバイスのセキュリティパッチサイクルの長期化と、EOL後も現場で使用され続ける「技術的負債」が生む構造的脆弱性を突いている。
• 業界トレンド: DDoS-as-a-Serviceの需要は高まる一方で、攻撃基盤となるボットネットの構築コストを抑えるため、IoTデバイスは依然として「安価で効率的な攻撃リソース」として位置づけられている。OT（運用技術）とITの境界が曖昧になる中、産業用DVRのような「見落とされがちなデバイス」が組織全体のセキュリティポスチャを損なうリスクが増大している。

参照元

• Mirai Variant Nexcorium Exploits CVE-2024-3721 to Hijack TBK DVRs for DDoS Botnet

2. protobuf.jsの重大なRCE脆弱性（GHSA-xq3m-2v4x-88gg）

概要

Google Protocol BuffersのJavaScript実装である「protobuf.js」に、リモートコード実行（RCE）可能な重大な脆弱性が発見された。npmレジストリで週間約5000万ダウンロードを記録する広く使用されているライブラリで、現在GitHub Advisory DatabaseでGHSA-xq3m-2v4x-88ggとして追跡されている（CVE未付番）。Proof-of-Concept（PoC）が既に公開されており、8.0.1および7.5.5でのパッチが適用されている。

考察

• 実務対策: 即座にprotobuf.js 8.0.1（8.x系）または7.5.5（7.x系）へアップデートすることが最優先。ただし、npmエコシステムにおける「transitive dependencies（推移的依存関係）」の性質上、直接依存していない場合も間接的に影響を受ける可能性が高いため、SBOM（Software Bill of Materials）の見直しとnpm auditやDependabotなどの自動脆弱性スキャンを緊急実行すべき。また、本番環境では動的スキーマ読み込みを避け、事前コンパイルされた静的スキーマの使用を推奨する。
• 技術的背景: 本脆弱性は、protobufスキーマからJavaScript関数を動的生成する際にFunction()コンストラクタを使用し、スキーマ由来の識別子（メッセージ名など）の検証を欠いていたことに起因する。攻撃者が細工したスキーマを注入することで、任意のJavaScriptコードが実行され、サーバー上では環境変数や認証情報の窃取、データベースアクセス、横断移動（lateral movement）が可能となる。開発者マシンでの悪用も懸念される。
• 業界トレンド: 本脆弱性は、人気ライブラリにおける「動的コード評価（evalやFunctionコンストラクタ）」の危険性を再認識させる事例となった。近年、サプライチェーン攻撃の標的として人気npmパッケージが頻繁に狙われる傾向があり、本件はその中でも特に影響範囲が広大（週間5000万DL）かつPoC公開による即時悪用リスクが高い。DevSecOpsパイプラインにおける依存関係の厳格な管理と、動的コード生成パターンのセキュリティレビューが急務である。

参照元

• Critical flaw in Protobuf library enables JavaScript code execution

3. 「Ghost Identities」：非人間アイデンティティが引き起こすクラウド侵害

概要

2024年のクラウド侵害の68%が、サービスアカウント、APIキー、ワークロード認証情報など「非人間アイデンティティ（NHI：Non-Human Identities）」の管理不全が原因であったという調査結果が示された。従業員1人あたり40-50個の自動化認証情報が存在する現状において、これら「Ghost Identities（孤立したアイデンティティ）」の可視化と削除が喫緊の課題となっている。

考察

• 実務対策: 従来の「従業員の入退社管理」に加え、サービスアカウントのライフサイクル管理（作成、使用、廃棄）を厳格化する必要がある。CIEM（Cloud Infrastructure Entitlement Management）ツールの導入により、未使用または過剰権限を持つNHIの自動検出と削除を実施すべき。また、APIキーの定期的なローテーションと、短期間有効な一時認証情報（Temporary Credentials）の使用を徹底する。
• 技術的背景: クラウドネイティブアーキテクチャの進化に伴い、マイクロサービス間通信、CI/CDパイプライン、サーバーレス関数などで使用されるNHIが爆発的に増加している。従来の人間中心のIAM（Identity and Access Management）では、これらマシン間認証の複雑な依存関係を追跡できず、結果として「誰も管理していない」 orphaned credentials（孤児認証情報）が侵害の足がかりとなる。
• 業界トレンド: Zero Trustアーキテクチャの文脈で、「人間にもマシンにも疑念を持つ」姿勢が重要視されている。NHIの管理は、フィッシングや弱いパスワードよりも大きな脅威となっており、IDセキュリティの「次なるフロンティア」として業界全体の注視を集めている。特にマルチクラウド環境では、異なるプロバイダー間でのNHIの可視性確保が最大の課題となっている。

参照元

• [Webinar] Eliminate Ghost Identities Before They Expose Your Enterprise Data

4. Tycoon 2FAの衰退とMFAバイパス攻撃の継続

概要

多要素認証（MFA）をバイパスする機能で知られるフィッシングキット「Tycoon 2FA」はプラットフォームが崩壊したが、その後もツール群が他のフィッシングキット（Astaroth、FlowerStormなど）に再利用されることで、MFAバイパス攻撃が継続している。これらのキットはAdversary-in-the-Middle（AiTM）手法を用い、リアルタイムで認証セッションを傍受する。

考察

• 実務対策: SMSやTOTP（Time-based One-Time Password）に代わり、FIDO2/WebAuthnに準拠したフィッシング耐性のある認証（Phishing-Resistant MFA）への移行が急務である。また、リアルタイムのセッション監視と異常検知（Impossible Travelやデバイスフィンガープリントの変化検出）を導入し、AiTMプロキシによる中間者攻撃を早期発見する仕組みが必要。
• 技術的背景: Tycoon 2FAのようなMFAバイパスキットは、オープンソース化・モジュール化により、技術的な知識が乏しい攻撃者でも利用可能な「Phishing-as-a-Service」として進化している。プラットフォームが倒れてもコードが流通することで、攻撃の「遺伝子」が他のキットに継承されるため、一時的な摘発では効果が限定的だ。
• 業界トレンド: MFAの普及に伴い、それを迂回する攻撃手法が常態化しつつある。これは「MFAが万能ではない」という現実を示しており、認証フロー全体のセキュリティ（デバイス信頼性、コンテキスト認証、継続的認証）を見直す必要がある。特に、Microsoft 365や企業VPNを標的としたBEC（Business Email Compromise）攻撃において、MFAバイパスは標準的な手法となりつつある。

参照元

• Tycoon 2FA Loses Phishing Kit Crown Amid Surge in Attacks

5. 制裁対象暗号通貨取引所Grinexへの1374万ドルハック

概要

英米両国の制裁対象となっているキルギス法人の暗号通貨取引所「Grinex」が、1374万ドル（約20億円）相当のハッキング被害を受け、業務を停止した。同社はWestern（欧米）情報機関による攻撃であると主張しており、地政学的緊張の中でのサイバー攻撃事例として注目を集めている。

考察

• 実務対策: 金融機関や暗号通貨関連事業者は、制裁対象リスト（SDN List等）との取引を厳格に管理するコンプライアンス体制に加え、国家レベルのAPT（Advanced Persistent Threat）を想定した防御戦略が必要。ネットワークセグメンテーション、コールドウォレットの厳格な管理、およびインシデントレスポンス計画の定期的な更新が不可欠である。
• 技術的背景: 本件は、国家間のサイバー攻撃と組織犯罪の境界が曖昧になる現代のサイバー脅威環境を示す。制裁対象組織への攻撃が「正当化」される地政学的文脈の中で、攻撃の帰属（attribution）が困難になりつつある。暗号通貨インフラは、資金洗浄や制裁回避の手段として国家機関の関心を集めやすい。
• 業界トレンド: 金融インフラへの攻撃が、単なる金銭的動機だけでなく地政学的・情報戦略的な「メッセージング」として利用される事例が増加している。サイバー攻撃が「 kinetic action（物理的武力行使）」の代替手段として位置づけられる中、金融システムのサイバー防衛は国家安全保障の一環として再定義される必要がある。

参照元

• $13.74M Hack Shuts Down Sanctioned Grinex Exchange After Intelligence Claims

まとめ

本日のニュースは、現代のサイバー防御が直面する「多層的な複雑性」を浮き彫りにしている。protobuf.jsのような基盤ライブラリの脆弱性は、サプライチェーン全体に波及するリスクを示し、NexcoriumによるIoT攻撃は「見落とされたデバイス」がいかに重大な脅威となるかを示している。同時に、NHIの管理不全とMFAバイパスキットの継続的な進化は、Identityがセキュリティの最前線であり続けることを、そしてその防御戦略の進化を迫られていることを物語っている。

今後の注視ポイントとしては、protobuf.jsの脆弱性を悪用した実際の攻撃（in-the-wild exploitation）の有無、およびGhost Identities管理のベストプラクティスとしてCIEM市場の動向が挙げられる。技術者は、個別の脆弱性対応にとどまらず、ライブラリ依存関係の可視化、IoT/OTデバイスのライフサイクル管理、そしてフィッシング耐性のある認証基盤への移行という、構造的なセキュリティ強化を優先すべき時期にある。