SharePoint緊急パッチとGitHubサプライチェーン攻撃、国家間サイバー戦の激化
Microsoft SharePointの重大RCE脆弱性(CVE-2026-45659)とCISAによるDrupal緊急パッチ命令、GitHubを狙うMegalodonマルウェアの大規模感染、さらにリトアニア国家データ漏洩とMuddyWaterの国際的スパイ活動。エンタープライズインフラと国家機関を同時に狙う2026年5月のサイバー脅威情勢を分析。
今日のハイライト
本日のセキュリティニュースは、エンタープライズ向け基盤ソフトウェア(SharePoint、Drupal)の重大脆弱性と、国家間のサイバー攻撃(リトアニア政府機関、MuddyWaterの国際スパイ活動)が同時に表面化した構成となっています。さらに、GitHubリポジトリを狙った「Megalodon」による大規模サプライチェーン攻撃は、開発者認証情報の管理とCI/CDパイプラインのセキュリティに対する新たな警鐘を鳴らしています。
1. Microsoft SharePoint RCE脆弱性(CVE-2026-45659)緊急パッチ
概要
MicrosoftはSharePoint Serverに存在するリモートコード実行(RCE)脆弱性CVE-2026-45659に対するセキュリティアップデートを公開しました。CVSSスコア8.8(High)を記録する本脆弱性は、特別な前提条件や複雑な攻撃チェーンを必要とせず、悪用が可能な点が特徴です。SharePointはエンタープライズ環境で広く利用されるコラボレーションプラットフォームであり、多くの組織に対して深刻なリスクをもたらします。
考察
即座のパッチ適用が不可欠: SharePointは組織の内部文書、ナレッジベース、業務プロセスの中核を担うことが多く、RCE脆弱性が悪用されると内部ネットワークへの侵入口となり得ます。特に「特別な条件不要」で悪用可能とのことなので、公開されている概念実証(PoC)が出回る前にパッチを適用すべきです。
攻撃ベクトルの分析: SharePointのようなWebアプリケーションのRCEは、通常ファイルアップロード機能やデシリアライゼーションの不備を狙ったものが多いです。今回の脆弱性もおそらくSharePointのドキュメント処理やワークフロー機能に関わるものと推測され、攻撃者は巧妙に細工されたSharePointパッケージやリクエストを送信するだけでコード実行可能だった可能性があります。
防御策:
- まずWAF(Web Application Firewall)でSharePointへの異常なPOSTリクエストやファイルアップロードを監視・制限
- SharePoint ServerがDMZや内部ネットワークの境界に配置されている場合は、一時的にアクセス元IPを制限する検討も
- パッチ適用後、SharePointのログで不審なファイルアクセスやPowerShell実行の痕跡を確認
参照元
2. 'Megalodon'マルウェアによるGitHubリポジトリ大規模感染
概要
「Megalodon」と名付けられたマルウェアキャンペーンが、わずか6時間で5,500以上のGitHubリポジトリに悪意のあるコミットを注入しました。本攻撃は開発者の認証情報、シークレット(APIキー、トークン)、およびリポジトリ内の機密データを窃取することを目的としており、ソフトウェアサプライチェーン全体に波及リスクをもたらしています。
考察
サプライチェーン攻撃の新たなフェーズ: 従来のnpmやPyPIなどのパッケージリポジトリの汚染に対し、今回はソースコードそのもの(GitHubリポジトリ)が直接的に標的となりました。これは「開発者の認証情報を窃取→リポジトリに書き込み→そのコードを利用する下流の開発者・組織が感染」という二次被害の連鎖を狙った高度な戦術です。
認証情報管理の根本的見直し: 5,500リポジトリという規模は、単一の組織の侵害ではなく、開発者個人の認証情報の漏洩や、GitHub Actionsのトークンの不適切な管理が広範に発生していることを示唆しています。個人開発者が使用しているパーソナルアクセストークン(PAT)や、組織のデプロイキーが流出した可能性が高いでしょう。
実務的対策:
- シークレットローテーション: 即座に全GitHubトークン、SSHキー、デプロイキーを失効・再発行
- ブランチ保護の強化: main/masterブランチへの直接プッシュを禁止し、必ずプルリクエスト経由とし、承認プロセスを厳格化
- GitHub Advanced Securityの有効化: シークレットスキャン(Secret Scanning)を有効にし、過去のコミット履歴からも機密情報を検出・削除
- サプライチェーン監査: 自社製品が今回の被害リポジトリを依存関係として含んでいないか、SBOM(Software Bill of Materials)を用いて緊急確認
参照元
3. リトアニア国家データレジスター60万件漏洩、外国関与を疑視
概要
リトアニアの国家機関であるCentre of Registersで、不動産登記および法人登記データベースから60万件以上のエントリーが漏洩しました。同国検察は「外国(おそらくロシア)の関与」を疑っており、これは国家レベルのハイブリッド戦争の一環として位置づけられています。同機関の長は責任を取って辞任しました。
考察
ハイブリッド戦争の現実: リトアニアは人口290万人の小国でありながら、ロシアにとってNATO東翼の重要な拠点です。今回の漏洩は単なる金銭目的のランサムウェアではなく、情報戦・諜報活動の可能性が高いです。特に「軍事情報員、軍人、外交官、政治家の住所」が含まれていたとの指摘は、物理的な脅威(尾行、脅迫、暗殺の可能性)に繋がる深刻な事態です。
インサイダー脅威とアクセス管理: 漏洩は「認証情報を持つ機関のアカウント」を悪用したもので、外部からの脆弱性悪用ではなく、おそらく認証情報の窃取または悪意のある内部者(または買収された内部者)によるアクセスと推測されます。国家機関間のデータ共有には必ずしもMFAが義務付けられていないケースが多く、こうした隙間を突いた攻撃と見られます。
地政学的示唆: 欧州全体を見渡すと、近年、鉄道信号システムの破壊、大使館への放火、海底ケーブルの損傷など、ロシアによるとされる「灰色地帯」の攻撃が増加しています。今回のデータ漏洩は、これらの物理的破壊活動と連携した「標的選定」のための情報収集フェーズである可能性を示唆しており、欧州各国の国家安全保障上の重大な懸念材料となります。
参照元
4. MuddyWater(イランAPT)によるDLL Side-Loadingスパイ活動
概要
イランの国家支援型APTグループ「MuddyWater」が、2026年第1四半期に4大陸9カ国の組織を標的とした新たなスパイキャンペーンを展開していることが確認されました。標的は産業・電子機器製造、教育機関、公共部門、金融機関と広範囲にわたり、攻撃手法としてDLL Side-Loading(DLLサイドローディング)が使用されています。
考察
DLL Side-Loadingの技術的特徴: これは正当なWindows実行ファイル(EXE)が悪意のあるDLLを読み込んでしまう手法で、WindowsのDLL検索順序(Search Order Hijacking)を悪用します。特にMicrosoftの信頼できる署名が付いたバイナリ(例:OneDrive、Teams、Outlookなど)を利用することで、EDR(エンドポイント検出応答)製品の回避と信頼済みプロセスとしての振る舞いが可能になります。
標的選定の戦略性: 産業・電子機器製造はイランにとって技術移転や制裁回避のための重要な標的です。また教育・公共部門は長期間の潜伏と情報収集に適しており、金融機関は資金洗浄や制裁回避のための踏み台となり得ます。9カ国にまたがる広範な標的は、イランの戦略的利害が多様であることを示しています。
検出と防御のポイント:
- DLL読み込みの監視: 正当なEXEから不審なパス(一時フォルダ、AppDataなど)のDLLが読み込まれることを検出
- Known DLLsの保護: システムのKnownDLLsレジストリキーを適切に設定し、DLLハイジャックの難易度を上げる
- アプリケーションコントロール: AppLockerやWindows Defender Application Control(WDAC)を使用し、信頼済みパス以外のDLL実行を禁止
参照元
5. CISA、Drupal SQLインジェクション脆弱性に対し連邦機関に緊急パッチ命令
概要
CISA(米国サイバーセキュリティ・インフラセキュリティ庁)は、Drupal CMSのSQLインジェクション脆弱性(CVE-2026-9082)が既に悪用されていることを受け、連邦民事執行機関(FCEB)に対し5月27日(水)までのパッチ適用を命令しました(BOD 22-01)。PostgreSQLを使用するDrupalサイトが対象で、認証不要での攻撃が可能です。Impervaによると、既に65カ国の6,000サイト以上で15,000回以上の攻撃試行が確認されています。
考察
CISA Binding Operational Directiveの重み: BOD 22-01は連邦機関に対してKEV(Known Exploited Vulnerabilities)カタログ掲載の脆弱性を厳格な期限までに修復することを義務付けるものです。今回の「水曜日まで」という短い期限は、脆弱性の深刻度(SQLiによるデータ漏洩、権限昇格、RCEの可能性)と、政府機関への攻撃の活発化を示しています。
PostgreSQL固有のリスク: DrupalはMySQL/MariaDBとPostgreSQLの両方をサポートしますが、今回の脆弱性はPostgreSQLサイトに限定されます。これはデータベース抽象化API(PDO)のPostgreSQLドライバー固有の問題と推測されます。PostgreSQLを使用する大規模教育機関や研究機関、政府機関は特に注意が必要です。
攻撃の実態: ゲーミング業界と金融サービス業界が標的の50%を占めるとのことですが、これは金銭目的の攻撃グループ(ランサムウェアアフィリエイトやデータ窃取グループ)が既にこの脆弱性を「武器化」していることを示唆しています。政府機関への攻撃は、おそらく国家支援型グループによるものと考えられます。
対策の優先順位:
- 即座のパッチ適用: Drupal 10.3.x、10.4.x、11.xの最新セキュリティリリースへ更新
- WAFルールの緊急適用: もしパッチ適用が遅延する場合は、SQLiを検出・ブロックする仮想パッチ(Virtual Patching)をImpervaなどのWAFで適用
- データベース監査: PostgreSQLのログで不審なクエリ(UNION SELECT、information_schemaへのアクセスなど)を確認
参照元
まとめ
本日のニュースは「エンタープライズ基盤の脆弱性管理」と「地政学的サイバー脅威」の二軸が交錯する典型的な1日でした。
即座の対応が必要な事項:
- SharePoint ServerとDrupal(PostgreSQL版)のパッチ適用は、週末を待たず即座に実施すべきです。特にDrupalは既に大規模スキャンと悪用が確認されています。
- GitHubリポジトリを利用する組織は、直近のコミット履歴とシークレットの漏洩有無を緊急確認し、必要に応じてトークンを全面的に刷新してください。
中長期的な注視ポイント:
- DLL Side-LoadingのようなLOTL(Living Off The Land)技術を用いたAPT攻撃は、従来の署名ベースの検出を容易に回避します。EDRの挙動監視と、PowerShell・WMIなどのネイティブツールの異常使用検出能力の強化が必要です。
- 国家間のハイブリッド戦争(リトアニア、MuddyWaterの活動)は、サイバー領域が単なる情報窃取にとどまらず、物理的破壊・諜報・影響力操作の複合的な手段として活用されていることを示しています。重要インフラや政府機関との連携を持つ企業は、地政学的リスクをセキュリティ戦略に組み込む必要があります。
今週はパッチ適用の「集中週間」となるでしょう。優先順位を付けて、外部公開されているSharePointとDrupalから順次対応を進めてください。
参照元
- Microsoft Patches SharePoint RCE Flaw CVE-2026-45659 Across Server Versions →
- Feeding Frenzy: 'Megalodon' Malware Infects Thousands of GitHub Repos →
- Lithuania Suspects Foreign Involvement in Data Leak of Over 600,000 National Register Entries →
- MuddyWater Uses DLL Side-Loading in Espionage Campaign Targeting 9 Countries →
- CISA orders feds to patch actively exploited Drupal vulnerability →