東京セキュリティブリーフィング 2026年02月07日（土曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。2026年2月7日、土曜日の配信です。本日もセキュリティの最新動向をお届けしてまいります。昨日公開されたニュースの中から、注目すべきトピックをピックアップして詳しく解説していきます。CentOS 9のカーネル脆弱性から、中国の脅威アクターによる高度な中間者攻撃フレームワーク、そしてGoogle Playに紛れ込んだマルウェアの大規模な問題まで、幅広い話題をカバーします。それでは早速、本日のヘッドラインから見ていきましょう。

ヘッドライン

まず最初のニュースです。CentOS Stream 9のLinuxカーネルに、権限をrootに昇格できるUse-After-Free脆弱性が見つかりました。Proof-of-Conceptのエクスプロイトコードがすでに公開されており、公式パッチはまだ提供されていません。

続いて、中国と関連する脅威アクターが「DKnife」と呼ばれるフレームワークを使い、5年以上にわたってゲートウェイ監視と中間者攻撃を行っていたことが、Cisco Talosの調査で明らかになりました。

3つ目のニュースです。Google Playストアで過去1年間にマルウェアを含むアプリ239本が発見され、合計4,200万回ダウンロードされていたことがZscalerのレポートで報告されました。

最後に、OWASPが自律型AIエージェントに特化した初のセキュリティフレームワーク「OWASP Top 10 for Agentic Applications」に関する実践的ガイドが公開されています。

それでは、各ニュースの詳細を見ていきましょう。

詳細解説

CentOS 9のカーネル脆弱性でroot権限昇格が可能に

最初にお伝えするのは、CentOS Stream 9で発見された深刻な権限昇格の脆弱性についてです。この脆弱性はLinuxカーネルのネットワークサブシステムに存在するUse-After-Free、略してUAFと呼ばれる種類の欠陥です。Use-After-Freeとは、すでに解放されたメモリ領域を再び参照してしまうことで発生する脆弱性のことで、これを悪用されると、ローカルユーザーがroot権限、つまりシステムの最高権限を取得できてしまいます。

問題の箇所をもう少し詳しく見ていきましょう。この脆弱性は、sch_cakeと呼ばれるパケットスケジューラに存在しています。sch_cakeは「Common Applications Kept Enhanced」の略で、カーネル内でネットワークトラフィックのシェーピング管理を担うコンポーネントです。具体的には、cake_enqueue()という関数が、パケットドロップ時の戻りコードを誤って処理してしまう問題があります。

これがHFSC、Hierarchical Fair Service Curveのようなクラスフルスケジューラの下に重ねて使用されると、誤った応答が参照追跡の不整合を引き起こします。その結果、HFSCが解放済みメモリへのポインタを保持してしまい、ダングリング参照、つまり典型的なUse-After-Freeの状況が発生するわけです。

攻撃者はこの条件を悪用して、ヒープメモリを操作し、解放されたメモリブロックに制御可能なデータを注入することで、最終的にカーネル内での任意コード実行を達成できます。

この脆弱性が特に注目されたのは、TyphoonPWN 2025というハッキングコンペティションで、Linux部門の1位を獲得したことです。さらに深刻なのは、SSD Disclosureによる詳細なレポートとともに、Proof-of-Conceptのエクスプロイトコードがすでに公開されている点です。このPoCは3段階からなる実用的かつ一貫した攻撃手順を示しているとされています。

そして最も懸念されるのが、責任ある情報開示から90日以上が経過しているにもかかわらず、公式パッチがまだ提供されていないことです。Red Hatのベンダーアドバイザリでは、ステータスは「修正作業中」、英語で言うと「fix in progress」とされています。現時点ではCentOS Stream 9向けの安定版カーネルパッチはリリースされておらず、手動の緩和策が唯一の防御手段となっています。

CentOS Stream 9を本番環境で運用されている方は、公開エクスプロイトコードが出回っている状況ですので、直ちにハードニングを行うことが強く推奨されます。ネットワークサブシステムの設定の見直しや、不要なカーネルモジュールの無効化など、できる対策から着手していただきたいところです。

中国の脅威アクターが「DKnife」フレームワークで中間者攻撃

続いてのニュースは、Cisco Talosの研究者が警告している、中国と関係する脅威アクターによる大規模な中間者攻撃フレームワークについてです。

「DKnife」と名付けられたこのフレームワークは、少なくとも2019年以降、つまり5年以上にわたって活動が確認されています。ディープパケットインスペクション、トラフィック操作、マルウェア配布を目的に設計された7つのLinuxベースのインプラントで構成されているとのことです。

このフレームワークの主な標的は中国語話者のユーザーで、デスクトップ、モバイル、さらにはIoTデバイス上で、ShadowPadやDarkNimbusといったバックドアを配布し、それらとやり取りする機能を持っています。

ここで注目すべきなのは、DarkNimbus、別名DarkNightsと呼ばれるバックドアの出所です。これは中国企業UPSECが提供しているとされ、同社は以前、中国のAPTグループ「TheWizards」との関連が指摘されていました。TheWizardsはSpellbinderという別のAitM、つまり中間者攻撃フレームワークの運用者として知られています。

Cisco Talosによれば、DKnifeとSpellbinderのTTP、つまり戦術・技術・手順には重複が見られます。さらに、WizardNetバックドアがDKnifeによって配布されていることから、「共通の開発系統または運用上の系譜」が示唆されるとしています。

DKnifeの能力は非常に広範です。まず、ネットワークトラフィックの監視と操作が可能で、被害者のシステム上で稼働するバックドアとやり取りできます。バックドアの更新、DNSトラフィックのハイジャック、Androidアプリケーションの更新およびダウンロードのハイジャック、そしてユーザーの活動をコマンド＆コントロールサーバーに流出させる機能を持っています。

さらに厄介なのは、Windowsなどのバイナリのダウンロードをハイジャックし、ShadowPadおよびDarkNimbusのバックドアを展開できる点です。加えて、アンチウイルスやPC管理製品に関連するトラフィックを傍受・妨害する機能も備えており、セキュリティ対策そのものを無効化しようとしています。

認証情報の窃取能力も深刻です。主要な中国のメールプロバイダーの認証情報を窃取する機能があり、暗号化接続をハイジャックして平文のユーザー名とパスワードを抽出できるとされています。また、他のサービス向けにフィッシングページを提供することも可能です。

Ciscoは「コード、設定ファイル、そしてキャンペーンで配布されたShadowPadマルウェアで使用されている言語に基づき、中国と関係する脅威アクターがこのツールを運用していると高い確度で評価している」と述べています。

ただし注意点として、Cisco Talosはこの分析が単一のコマンド＆コントロールサーバーの設定ファイルに基づいていることを指摘しています。別のサーバーが異なる地域を標的にするために使用されている可能性もあるとのことで、実際にWizardNetはフィリピン、カンボジア、UAEでも使用されていたことが確認されています。

このニュースは、国家支援型のサイバー攻撃がネットワークインフラの深い層、つまりゲートウェイレベルで行われているという現実を改めて示しています。特にネットワーク機器の監視と、異常なトラフィックパターンの検知が重要になってきます。

Google Playで4,200万回ダウンロードのマルウェア混入アプリ

3つ目のニュースは、Android端末を取り巻くモバイルセキュリティの脅威についてです。セキュリティ企業Zscalerが公開したThreatLabz 2025 Mobile, IoT, and OT Threat Reportの内容が報告されています。

このレポートは、2024年6月から2025年5月にかけて端末から送信された2,000万件を超えるモバイルリクエストの分析に基づいて作成されました。その調査結果は非常に衝撃的です。

まず、過去1年間でAndroid端末を標的とするマルウェアが67%増加しています。そして、マルウェアを含むアプリ239本がGoogleのフィルターをすり抜けてPlayストアに掲載され、合計4,200万回もダウンロードされていたということです。

特に多かったのは「ツール」カテゴリで公開された生産性やワークフロー系のアプリです。Zscalerは、脅威アクターが機能重視のアプリケーションに対するユーザーの信頼と、リモートワークを支援するためにそうしたソフトウェアをダウンロードしたいという欲求を巧みに悪用したと警告しています。

業種別に見ると、脅威アクターから最も頻繁に狙われたのは製造業とエネルギー分野でした。特にエネルギー分野ではモバイル攻撃が前年比387%増という驚異的な増加を記録しています。

地域別では、悪意あるモバイルトラフィックの大半をインドが26%、米国が15%、カナダが14%で占めています。インドでは脅威量が前年比38%増と急増しているとのことです。

IoTの脅威についても触れておきましょう。IoT脅威に関しては、ブロックされたリクエストの40%がMiraiファミリーに関連しており、さらに35%はGafgytマルウェアの亜種に起因していました。製造業と運輸が再び最も頻繁に狙われた業種で、観測されたIoTマルウェア攻撃全体のそれぞれ約5分の1を占めています。これは2024年、製造業が総インシデントの36%を占め、次いで運輸が14%だった時期からの変化を示しています。

IoT脅威活動の標的として最も目立ったのは米国で、全攻撃の過半数、54%を占めました。次いで香港が15%、ドイツが6%、インドが5%、中国が4%と続いています。

ZscalerのEVP兼最高セキュリティ責任者のDeepen Desai氏は「攻撃者は最大の影響を与えられる領域へと軸足を移しています」と述べ、ゼロトラストアプローチにAIによる脅威検知を組み合わせることの重要性を強調しています。

なお、Googleの広報担当者は、特定されたマルウェアのバージョンに対するユーザー保護はGoogle Play Protectを通じてすでに実施されていたと回答しており、現在の検知に基づくと、これらのバージョンのマルウェアを含むアプリはGoogle Play上に見つかっていないとしています。

とはいえ、公式ストアからのダウンロードであっても安全とは限らないという教訓は、改めて認識しておく必要があります。特にツール系アプリをインストールする際は、開発者の信頼性やレビュー内容を慎重に確認することが大切です。

OWASP Agentic AI トップ10の実践ガイド

最後のトピックは、AIセキュリティの新しいフレームワークについてです。自律型AIエージェントのセキュリティに特化した「OWASP Top 10 for Agentic Applications」に関する実践的なガイドが紹介されています。

このフレームワークは2025年12月に公開されたもので、自律型AIシステムに特化した初のセキュリティフレームワークとされています。自律型AIエージェントがデータ、ツール、そして他のシステムとやり取りする方法が変化する中、意思決定、コード実行、ネットワークをまたいだ連携といった能力を獲得したAIシステムのセキュリティ確保が極めて重要になってきています。

このガイドでは、OWASPの10のリスクカテゴリすべてに対抗するための5つのセキュリティ実践が提示されています。目標ハイジャックからツール悪用、カスケード障害、暴走エージェントの挙動まで、幅広い脅威をカバーしています。

特に注目すべき実践の一つが「インベントリによる可視性の構築」です。エージェント型AIシステムは、エージェントホスト、AI拡張、MCPサーバー、AIモデルといった外部コンポーネントに依存しており、それらは実行時に動的に読み込まれることがよくあります。これらのコンポーネントは従来の資産インベントリには現れない場合があり、シャドーAIツールがポリシーを回避し、監視されない攻撃面を生み出すリスクがあると指摘されています。

もう一つ重要な実践として「エージェント型サプライチェーンの保護」があります。従来のソフトウェアサプライチェーンとは異なり、エージェント型サプライチェーンは動的です。エージェントは実行時にツール、MCP、プラグインを読み込み、広範な権限で実行します。

ガイドでは実際のインシデントとして興味深い事例が紹介されています。一つは悪性Postmark MCPサーバーの事例で、npm上でPostmarkのメールサービスになりすまし、エージェントが送信したすべてのメールを攻撃者に密かにBCCしていたというものです。バージョン1.0.16で悪性挙動が導入されたことが検知されたとのことです。

もう一つは、NPMパッケージにバックドア化されたMCPサーバーがホストされていた事例で、インストール時と実行時の二重のリバースシェルにより、エージェント環境への永続的なリモートアクセスを提供していたとされています。

さらに、PhantomRavenやSlopsquattingと呼ばれる手法も紹介されており、AIアシスタントが推奨を求められた際に存在しないパッケージ名を幻覚してしまうことを悪用し、悪性パッケージを仕込むという攻撃手法です。

AIエージェントを業務に活用し始めている組織にとって、このフレームワークは非常に参考になるものです。特にMCPサーバーやAIツールのサプライチェーンセキュリティは、従来のセキュリティ管理では見落としがちな領域ですので、早めに対策を検討することをお勧めします。

クロージング

本日の東京セキュリティブリーフィングでは、4つのトピックをお伝えしました。

CentOS Stream 9のカーネル脆弱性は、PoCが公開済みでパッチ未提供という非常に危険な状況です。該当環境をお使いの方は、手動での緩和策を直ちに検討してください。中国の脅威アクターによるDKnifeフレームワークは、ゲートウェイレベルでの中間者攻撃という高度な脅威を示しており、ネットワークインフラの監視体制の見直しが求められます。Google Playでの大規模なマルウェア混入は、公式ストアであっても油断できないことを改めて示しました。そして、AIエージェントのセキュリティに関するOWASPのフレームワークは、今後AIを活用する組織にとって必読の資料となるでしょう。

気になるニュースがあれば、ぜひ詳細をご確認ください。各ニュースの原文へのリンクは番組の概要欄に掲載しています。

東京セキュリティブリーフィングでした。また次回お会いしましょう。