Security News Daily

Ghost CMS・GitHub大規模侵害とMFA回避型Phishing:サプライチェーン攻撃の集中発生

Ghost CMSの重大脆弱性により700以上の著名サイトが侵害され、GitHubでは5,500リポジトリがMegalodon攻撃に感染。さらにnpm/PyPI/Crates.ioを横断するTrapDoor攻撃や、北朝鮮LazarusのファイルレスRAT、MFAを回避するKali365 PhaaSなど、開発者エコシステムを狙った攻撃が同時多発している。

サプライチェーン攻撃Ghost CMSGitHub ActionsLazarusPhishing-as-a-Service

今日のハイライト

本日は開発者エコシステムを狙ったサプライチェーン攻撃が集中発生している。Ghost CMSの重大脆弱性を悪用した700サイト以上の侵害、GitHubの5,500リポジトリに蔓延するMegalodon攻撃、さらにnpm・PyPI・Crates.ioを横断するTrapDoor攻撃が同時期に観測された。一方で、北朝鮮Lazarusグループの高度なファイルレスRATや、MFAを回避する新世代のPhishing-as-a-Service「Kali365」の出現も確認されており、国家支援攻撃者とサイバー犯罪者が同時に開発インフラとクラウド認証を標的としている状況が浮き彫りになっている。

1. Ghost CMS CVE-2026-26980 Exploited to Hijack 700+ Sites for ClickFix Attacks

概要

Ghost CMS(オープンソースのヘッドレスCMS)に存在するSQLインジェクション脆弱性(CVE-2026-26980、CVSS 9.4)が積極的に悪用され、ハーバード大学、オックスフォード大学、DuckDuckGoなどの著名サイトを含む700以上のサイトが侵害された。攻撃者はこれらの信頼できるドメインを悪用し、「ClickFix」攻撃(偽のCAPTCHAやシステム警告を表示して悪意あるPowerShellコマンドの実行を誘導する手法)の踏み台として利用している。

考察

  • 実務対策: Ghost CMSを使用している組織は、直ちに最新バージョンへアップデートし、WAFでSQLインジェクションパターンをブロックする必要がある。さらに、ClickFix攻撃の特徴である「PowerShellコマンドのコピー&ペースト」を防ぐため、エンドポイントでのPowerShell実行ポリシーの厳格化(Constrained Language ModeやAppLockerの適用)と、ユーザー教育(ブラウザに表示されるシステム警告の真偽確認)が急務である。
  • 技術的背景: 高信頼ドメインを悪用したマルウェア配布は、従来のURL評価型のフィルタリングを迂回する効果が高い。SQLiからのサイト改ざんは、CMSの管理者権限奪取後、テンプレートや記事コンテンツに悪意あるJavaScriptを注入することで実現している。
  • 業界トレンド: オープンソースCMSの脆弱性悪用による「水飲み場攻撃」が再燃しており、特に教育機関やオープンソースプロジェクトのインフラが標的となっている。これらの組織はリソース制約からセキュリティパッチの適用が遅れがちであり、攻撃者はその時間差を狙っている。

参照元

2. Lazarus Deploys RemotePE Memory-Only RAT Against Financial and Crypto Firms

概要

北朝鮮の国家支援攻撃グループLazarusが、金融機関および暗号資産企業を標的に新しいマルウェア「RemotePE」を展開していることが確認された。本マルウェアはファイルレス(メモリのみで動作)のRAT(Remote Access Trojan)であり、ディスクに痕跡を残さないことから検知回避性が極めて高い。

考察

  • 実務対策: 金融・暗号資産業界の組織は、従来の署名ベースのAVに加え、EDR(Endpoint Detection and Response)によるメモリスキャンと、PowerShellやWMIなどのLoLBin(Living off the Land Binary)の異常なプロセス注入の監視を強化すべきである。ネットワーク分離と、暗号資産ウォレットのオフライン保管(コールドストレージ)も有効な防御策となる。
  • 技術的背景: ファイルレス攻撃は、OSの既存機能(PowerShell、.NET、WMIなど)を悪用することで、従来のマルウェア対策を回避する。Lazarusグループは資金獲得を目的としており、SWIFTシステムや暗号資産取引所の内部ネットワークへの潜伏を目指していると考えられる。
  • 業界トレンド: 国家支援攻撃者のツールセットが、APT(高度持続的脅威)から金融犯罪へと転用される「デュアルユース」傾向が強まっている。RemotePEのようなメモリオンリーのペイロードは、今後他の犯罪グループにも模倣される可能性が高い。

参照元

3. TrapDoor Supply Chain Attack Spreads Credential-Stealing Malware via npm, PyPI, and CratesIO

概要

「TrapDoor」と名付けられた新たなサプライチェーン攻撃が、npm、PyPI、Crates.ioという3大パッケージマネージャーを同時に標的としている。攻撃者は34の悪意あるパッケージ(384バージョン以上)を公開し、開発者のマシンに資格情報窃取マルウェアを感染させている。これは複数のエコシステムを横断する協調的な攻撃キャンペーンとして極めて異例である。

考察

  • 実務対策: 開発組織は、SCA(Software Composition Analysis)ツールによる依存関係の継続的な監査と、プライベートレジストリの使用を検討すべきである。特に、パッケージインストール時に実行される「post-install」スクリプトの無効化や、コンテナ/サンドボックス環境でのビルドプロセスの分離が効果的である。また、開発者マシンに保存されているAWS/GCP/Azureの認証情報は、常に一時的なトークン(STSなど)を使用し、長期有効なアクセスキーは禁止すべきである。
  • 技術的背景: 複数の言語エコシステムを同時に攻撃することで、攻撃者は特定の組織の技術スタックに依存せずに広範な被害を狙っている。悪意あるパッケージは、通常の機能を装いつつ、インストール時に開発者の~/.aws/credentials~/.ssh/id_rsaなどを収集し、外部C2サーバーに送信する。
  • 業界トレンド: サプライチェーン攻撃が「プラットフォーム化」し、特定のエコシステムに依存しない「マルチエコシステム」攻撃が増加している。開発者のマシンは高い権限を持つことが多く、CI/CDパイプラインへの侵入経路として価値が高い。

参照元

4. FBI warns of Kali365 phishing service targeting Microsoft 365 accounts

概要

FBIが、Microsoft 365アカウントを標的とする新たなPhishing-as-a-Service(PhaaS)プラットフォーム「Kali365」について正式に警告を発した。本サービスは、OAuth 2.0のデバイスコード認証フローを悪用し、多要素認証(MFA)を回避してセッショントークンを窃取する。2026年4月に出現し、Telegramを通じて低スキルの攻撃者にも提供されている。

考察

  • 実務対策: 組織はMicrosoft Entra ID(Azure AD)で「デバイスコードフロー」を無効化するか、Conditional Access Policyで信頼できるデバイスや場所からのみ許可する設定を検討すべきである。さらに、セッショントークンの有効期間を短縮し、継続的なアクセス評価(Continuous Access Evaluation)を有効化することで、トークン窃取後の影響を最小化できる。エンドユーザーには、「microsoft.com/devicelogin」へのコード入力を指示するメールや電話は決して応じないよう教育が必要である。
  • 技術的背景: デバイスコードフローは、スマートTVやIoTデバイスなど入力手段に制限のあるデバイス向けに設計された正規の認証メカニズムである。攻撃者は自らコードを生成し、標的に「このコードを入力してください」と指示することで、標的がMFAを完了した時点でアクセストークンを取得する。これは「MFA fatigue」やOTP傍受とは異なる、MFAそのものを迂回する攻撃ベクトルである。
  • 業界トレンド: PhaaSの民主化により、技術的な知識を持たない攻撃者でもAI生成のフィッシングメールやリアルタイムダッシュボードを利用して高度な攻撃を実行できる。特に、OAuthフローのような「正規の認証プロセス」を悪用する攻撃は、従来のフィッシング対策(URLチェックなど)では検知が困難である。

参照元

5. Over 5,500 GitHub Repositories Infected in ‘Megalodon’ Supply Chain Attack

概要

「Megalodon」と名付けられた大規模サプライチェーン攻撃により、5,500以上のGitHubリポジトリが悪意あるコードに感染した。攻撃者は「build-bot」を名乗り、6時間のウィンドウで5,700件以上の悪意あるコミットを自動的にプッシュし、GitHub Actionsワークフローにペイロードを注入した。これによりCI/CD環境の認証情報、AWS/GCP/Azureのクレデンシャル、SSH秘密鍵、APIキーなどが窃取される。

考察

  • 実務対策: まず、GitHub Actionsの「forkされたリポジトリからのプルリクエストワークフロー実行」を制限し、承認プロセスを設ける必要がある。既存のワークフローが改竄されていないか、コミット署名(GPG/SSH署名)の検証を自動化する仕組みを導入すべきである。CI/CDパイプライン内のシークレットは、GitHub Secretsのような暗号化ストレージに厳格に管理し、環境変数としての平文露出を避ける。さらに、OIDC(OpenID Connect)を使用した短期的なトークンによるクラウド認証への移行が推奨される。
  • 技術的背景: 攻撃者はworkflow_dispatchイベントをトリガーとして使用し、GitHub API経由で後日発火可能な休眠型バックドアを作成した。これはGitHubの再帰防止ルール(トークンによるワークフロー起動の制限)を迂回する巧妙な手法である。Tiledeskパッケージの事例のように、メンテナーが感染したソースコードからそのままNPMに公開することで、サプライチェーン全体に悪意あるコードが拡散した。
  • 業界トレンド: CI/CDパイプラインは「ビルド時のセキュリティ」が軽視されがちだが、実際には本番環境よりも高い権限を持つことが多いため、攻撃者にとって極めて価値の高い標的となっている。自動化されたコミットとワークフロー注入を組み合わせた「Megalodon」型の攻撃は、今後標準的なサプライチェーン攻撃手法となる可能性がある。

参照元

まとめ

2026年5月26日のセキュリティニュースは、開発者ツールチェーンとクラウド認証基盤に対する攻撃の「同時多発」という危機的な状況を示している。Ghost CMSやGitHub、npm/PyPI/Crates.ioといった開発インフラの信頼性が崩壊すると、現代のソフトウェアサプライチェーン全体に波及被害が及ぶ。

特に注視すべきは以下の3点である:

  1. 開発パイプラインのゼロトラスト化: MegalodonやTrapDoorの事例は、CI/CD環境が攻撃者にとっての「宝の山」であることを示している。開発者認証情報の管理と、ビルドプロセスの分離・監視は、今後のセキュリティ投資の最優先事項となる。

  2. MFA回避技術への対応: Kali365が示すように、従来のMFA(OTPやPush通知)を迂回する認証フロー攻撃が一般化している。デバイスコードフローの無効化や、フィッシング耐性のある認証(FIDO2/WebAuthn)への移行が急務である。

  3. ファイルレス攻撃と国家支援脅威の監視: LazarusのRemotePEのようなメモリオンリー型RATは、従来の防御境界を容易に突破する。金融・暗号資産業界に限らず、全組織がEDRによる振る舞い検知と、PowerShell等のスクリプト実行の厳格な監査を行う必要がある。

今後は、セキュリティチームがアプリケーションコードだけでなく、使用しているOSSコンポーネント、ビルドパイプライン、開発者の認証フロー全体を「攻撃表面」として再評価し、DevSecOpsの実践的な強化が不可欠となる。

参照元