cPanel4万台侵害とDigiCert証明書失効：認証バイパス脆弱性の集中爆発

今日のハイライト

本日はWebホスティング基盤のcPanelにおいて4万台以上のサーバーがゼロデイ攻撃により侵害されるという史上最大級のインシデントが発覚。また、世界最大級の認証局であるDigiCertのサポートポータルが侵害され、EVコード署名証明書が不正に発行される事態も発生しました。認証バイパスを狙った攻撃がcPanel、MOVEit、Linuxカーネルと同時多発的に出現し、インフラ層の信頼性が広範に揺らいでいます。

1. cPanelゼロデイによる4万台以上のサーバー侵害

概要

cPanel & WebHost Manager（WHM）の認証バイパス脆弱性（CVE-2026-41940）を悪用した攻撃キャンペーンにより、政府機関・軍事機関およびMSP（マネージドサービスプロバイダー）を含む40,000以上のサーバーが侵害されました。この脆弱性は認証ヘッダー内の特殊文字を利用してセッションファイルに管理者権限のパラメータを書き込み、リロードをトリガーすることで認証をバイパスします。2月下旬からゼロデイとして悪用されており、4月28日の公開後にShadowserver Foundationのハニーポットで44,000のユニークIPからの攻撃を検出。CISAはKEVカタログに追加し、連邦機関に対し4日以内のパッチ適用を指示しています。

考察

即座の対応が必須な理由： cPanelは共有ホスティングからエンタープライズまで広く利用されており、1つのインスタンスが侵害されると、その上で動作する全てのWebサイト、データベース、設定ファイルが攻撃者の支配下に入ります。特にMSPが標的とされた点は、サプライチェーン攻撃として顧客環境に波及するリスクを示唆しています。

技術的深堀り： 認証バイパスの手法（セッションファイルの汚染とリロード）は、近年のWebアプリケーション攻撃で頻繁に見られるパターンですが、cPanelのような高権限管理インターフェースでこのような基本的な入力検証の欠落が存在したことは驚くべきことです。実務では、バージョン11.136.0.5などの修正版への即時アップデートに加え、既存のバックドアや不正な管理者アカウントの有無を確認するフォレンジック調査が必要です。特に、侵害されたサーバー上の全てのWebアプリケーションの改ざんチェック（index.phpや設定ファイルのハッシュ検証）を並行して実施すべきです。

参照元

• Over 40,000 Servers Compromised in Ongoing cPanel Exploitation

2. Linux「Copy Fail」脆弱性によるroot権限取得

概要

Linuxカーネルのalgif_aead暗号化アルゴリズムインターフェースに存在するCVE-2026-31431（Copy Fail）が、Theori研究者によるPoC公開翌日から実際の悪用が確認されました。この脆弱性により、非特権ローカルユーザーがページキャッシュへの4バイトの書き込み操作を通じてroot権限を取得可能です。2017年以降にビルドされたカーネルを持つUbuntu 24.04 LTS、Amazon Linux 2023、RHEL 10.1、SUSE 16など、主要なディストリビューションが全て対象となります。CISAは5月15日までのパッチ適用を連邦機関に義務付けています。

考察

コンテナ環境への影響： この脆弱性はローカル権限昇格（LPE）ですが、コンテナ環境でホストのカーネルを共有している場合、コンテナ内からホストのroot権限を奪取される可能性があります。マルチテナント環境やCI/CDパイプラインでのビルドコンテナなど、一般的なユーザーアクセスが許容されるLinux環境では、即座のカーネルアップデートが必要不可欠です。

攻撃者の迅速化： PoC公開から24時間以内に実際の悪用が確認されたことは、攻撃者の武器化能力の向上を示しています。Theoriが公開した「100% reliable」とされるPythonスクリプトがそのまま悪用ツールとして流通している可能性が高く、脅威インテリジェンスフィードでのIoC監視と、エンドポイント検出レスポンス（EDR）による異常なプロセス生成（特に/bin/bashのroot権限昇格）のアラート設定を推奨します。

参照元

• CISA says 'Copy Fail' flaw now exploited to root Linux systems

3. DigiCertサポートポータル侵害による証明書失効

概要

世界最大級の認証局（CA）であるDigiCertが、4月2日に発生したサポートポータルへの不正アクセスを公表しました。攻撃者は顧客チャット経由でスクリーンショットを装ったマルウェアを配布し、2つのエンドポイントを感染させました。セキュリティソリューションの誤動作により2台目の検出が遅れ、その間に攻撃者は内部サポートポータルに横展開し、EV（Extended Validation）コード署名証明書の初期化コードを取得しました。結果として60件の証明書が失効され、そのうち11件は「Zhong Stealer」マルウェアに署名に使用されていました。

考察

PKI信頼の根幹を揺るがす事態： コード署名証明書はソフトウェアの正当性を保証する最後の砦です。攻撃者が正当な証明書を用いてマルウェアに署名することは、Windows DefenderやSmartScreenなどの信頼モデルを完全に無力化します。今回の侵害は「サポートアナリストが顧客アカウントにプロキシ接続できる」という運用設計の脆弱性を突いたものであり、技術的制御だけでなく、特権アクセス管理（PAM）と業務プロセスの見直しが必要です。

サプライチェーンへの波及： 失効された証明書に署名されたソフトウェアが既に流通している場合、これらのバイナリが突然「信頼できない」としてブロックされる可能性があります。企業はDigiCertからの失効リスト（CRL）とOCSPレスポンスを監視し、自社環境で使用しているDigiCert発行のEV証明書が影響を受けていないか確認する必要があります。また、今後はコード署名キーのHSM（Hardware Security Module）による厳格な管理と、サポートスタッフのアクセス分離を要求すべきです。

参照元

• DigiCert Revokes Certificates After Support Portal Hack

4. MOVEit Automationの認証バイパス脆弱性

概要

Progress Softwareが、企業向けマネージドファイル転送（MFT）ソリューションであるMOVEit Automationの認証バイパス脆弱性を修正したことを発表しました。2023年にMOVEit Transferで大規模なClopランサムウェア攻撃が発生した同製品ファミリーにおいて、再び認証関連の重大な脆弱性が発見されたことで、企業ユーザーの間で警戒感が高まっています。

考察

MFTソリューションのリスク： MFTは企業の機密データ（PII、財務データ、知的財産）が内外を行き来する重要なゲートウェイです。認証バイパスが可能となると、データの窃取だけでなく、転送プロセスの改ざんによるサプライチェーン攻撃も可能になります。過去のMOVEit Transferの事例から学ぶべく、今回のパッチは「仮に脆弱性の詳細が不明でも、即座に適用すべき」です。

ゼロトラストアーキテクチャの必要性： MFTサーバーは従来、内部ネットワークの「信頼されたゾーン」に配置されることが多いですが、今回のような認証バイパス脆弱性を考慮すると、ネットワークセグメンテーションとMFTサーバーへの多要素認証（MFA）の強制、そして転送ログの詳細な監視と異常検知（DLPソリューションとの連携）が不可欠です。

参照元

• Progress Patches Critical MOVEit Automation Bug Enabling Authentication Bypass

5. 合法的RMMツールを悪用した「VENOMOUS#HELPER」フィッシング

概要

「VENOMOUS#HELPER」と命名された攻撃キャンペーンにより、80以上の組織がフィッシング攻撃の被害を受けました。この攻撃では、SimpleHelpとScreenConnectといった合法的なリモートモニタリング・マネジメント（RMM）ツールが悪用され、攻撃者は検出を回避しながら永続的なリモートアクセスを確立しました。

考察

生きたオフ・ザ・ランド（LotL）手法： 攻撃者がCobalt Strikeなどの悪意あるツールではなく、正当なRMMソフトウェアを利用することで、EDRやネットワーク監視システムに「正規のITサポート活動」として検出されにくくなります。特にScreenConnectは以前から攻撃者に悪用されており、認証情報が漏洩したり、古いバージョンの脆弱性が悪用されたりするケースが散見されます。

対策の現実味： 実務では、RMMツールの使用を厳格に制限し、許可リスト（ホワイトリスト）方式で管理することが重要です。また、RMMツールからの通信が通常の業務時間外に発生した場合や、地理的に不審なIPからのアクセスが検出された場合のアラート設定、そしてRMMツールのインストール自体を特権操作として監査ログに記録することが推奨されます。ユーザー教育においても「ITサポートを装った電話やメールに応じてソフトウェアをインストールしない」という啓発を再度徹底すべき時期に来ています。

参照元

• Phishing Campaign Hits 80+ Orgs Using SimpleHelp and ScreenConnect RMM Tools

まとめ

2026年5月5日のセキュリティニュースは、認証バイパスという共通のテーマを持つインフラ層への攻撃が集中した一日でした。cPanelの4万台侵害はWebホスティングの信頼性を、DigiCertの侵害はコード署名というソフトウェアサプライチェーンの信頼性を、そしてLinuxカーネルの脆弱性はオペレーティングシステムの根本的な信頼性を揺るがしています。

特に注目すべきは、これらの脆弱性が公開後（あるいは公開前）極めて短時間で大規模に悪用されている点です。CISAのKEVカタログへの迅速な追加と、連邦機関に対する短納期（4日〜2週間）のパッチ適用指示は、全ての組織にとって緊急性の指標となります。今後の注視ポイントとしては、侵害されたcPanelサーバーからの二次攻撃（マルウェア配布やフィッシングサイトのホスティング）、およびDigiCert失効証明書を用いた署名済みマルウェアの流通状況の監視が挙げられます。インフラの信頼を守るためには、パッチ管理の自動化と、仮想パッチ（WAFやIPSによる攻撃パターンのブロック）の併用による多層防御の構築が急務です。