2026年2月第1週のサイバーセキュリティ週報が公開され、大きな見出しこそないものの、今後の攻撃の形を静かに変えていく21件のシグナルが報告されました。開発者ワークフロー、リモートツール、クラウドアクセス、IDパスなど、日常的な場所から始まる侵入が追跡されています。攻撃の入口はますます見えにくくなり、影響はより深刻になっています。
この記事のポイント
- GitHub Codespacesに複数のRCE脆弱性が発見され、悪意あるリポジトリを開くだけで任意コード実行が可能
- AWS環境がわずか8分で侵害され、LLM支援による偵察・コード生成・リアルタイム意思決定が確認された
- サイバー犯罪のインフラが「産業化」し、共有基盤・再利用可能なツールキット・アフィリエイトエコシステムが拡大
GitHub Codespacesにおける複数のRCEベクトル
GitHub Codespacesに、悪意あるリポジトリを開くだけでトリガーされる複数のリモートコード実行(RCE)脆弱性が発見されました。具体的な攻撃ベクトルは以下の3つです。
.vscode/settings.jsonを悪用したPROMPT_COMMANDインジェクション.devcontainer/devcontainer.jsonのpostCreateCommandインジェクション.vscode/tasks.jsonのfolderOpen自動実行タスク
攻撃者はこれらを通じて「任意のコマンドを実行し、GitHubトークンやシークレットを窃取」できるほか、隠れたCopilot APIを悪用することも可能です。注目すべきは、Microsoftがこの動作を「意図された挙動」として分類した点です。開発者は信頼できないリポジトリを開く際に十分な注意が必要です。
AI活用によるクラウド侵入の高速化
AWS環境がわずか8分以内に侵害されるインシデントが報告されました。攻撃者はLLM(大規模言語モデル)を活用した偵察、コード生成、リアルタイムの意思決定を行い、S3認証情報の発見からLambdaインジェクション、19のAWSプリンシパルにまたがるラテラルムーブメント、そしてAmazon Bedrockを経由したモデルトレーニング用GPUインスタンスの不正利用まで到達しました。「速度が設計思想」となっている攻撃の典型例です。
共有サイバー犯罪インフラの産業化
ShadowSyndicateと呼ばれるオペレーターが、Cl0p、BlackCat、Ryuk、Black Bastaなど複数の脅威クラスターが利用する数十台のサーバーを管理していることが判明しました。インフラはSSHマーカーを通じてローテーションされ、Cobalt Strike、Metasploit、Havoc、Mythic、Sliver、AsyncRAT、Brute Ratelなどのツールキットを搭載しています。サーバーはSSHクラスター間で合法的な資産のように移転されるため、テイクダウンが困難になっています。
BYOVD攻撃とドライバー悪用の深刻化
攻撃者が失効済みのGuidance Software EnCaseカーネルドライバー(EnPortv.sys)を悪用し、カーネルモードから59のセキュリティツールを無効化する手法が確認されました。このドライバーの証明書は2010年に失効していますが、Windowsは依然としてロードしてしまう「ドライバー署名強制」のギャップが存在します。BYOVD(Bring Your Own Vulnerable Driver)攻撃の危険性がさらに高まっています。
AsyncRAT C2基盤の実態
2026年1月時点で、公開インターネット上に57のアクティブなAsyncRAT C2ホストが追跡されています。2019年にリリースされたAsyncRATは、不正アクセスと侵害後の制御を可能にします。主にAPVERSA(13%)、Contabo(11%)、AS-COLOCROSSING(5.5%)といった悪用に寛容なプロバイダーでホストされており、大手クラウドではない点が特徴的です。
ランサムウェアの意外な弱点と脅威拡大
CISAは2025年に積極的に悪用された59の脆弱性をランサムウェア関連として指定しました(Microsoft 16件、Ivanti 6件、Fortinet 5件、Palo Alto Networks 3件、Zimbra 3件)。一方、Nitrogenランサムウェアには暗号化時に誤った公開鍵を使用するコーディングエラーが含まれており、すべてのファイルが不可逆的に破損します。攻撃者自身も復号できないため、身代金の支払いは完全に無意味です。
その他の注目すべき脅威
- Sandboxie脆弱性(CVE-2025-64721、CVSS 9.9):サンドボックス化されたプロセスがSYSTEM権限でコード実行可能。バージョン1.16.7で修正済み
- ClickFix攻撃拡大:2024年12月以降、3,800以上のハッキングされたWordPressサイトでNetSupport RATを配布
- 中国系APTの重複:Violet TyphoonとVolt Typhoonがゼロデイ悪用、Living-off-the-Land手法、ORBネットワークなど共通の戦術を共有
- TLS 1.0/1.1のサポート終了:MicrosoftがAzure Blob Storageで2026年2月3日にサポート終了、TLS 1.2への移行が必須
知っておくと便利なTips
- GitHub Codespacesやdevcontainerを使用する際は、信頼できないリポジトリの
.vscode/や.devcontainer/設定ファイルを必ず確認してから開くこと - AWS環境ではS3バケットの認証情報管理を見直し、Lambda関数のIAMポリシーを最小権限に設定すること
- ドライバー署名ポリシーを強化し、失効済み証明書のドライバーがロードされないよう監査すること
- TLS 1.0/1.1に依存するシステムがないか棚卸しし、早急にTLS 1.2以上に移行すること
まとめ
今週のセキュリティ動向は、単一の大事件ではなく、攻撃の「産業化」と「高速化」を示す多数のシグナルで構成されています。開発者ワークフローへのRCE、8分でのクラウド侵害、共有犯罪インフラ、ドライバー悪用によるセキュリティ無効化など、いずれも日常的なツールや信頼された統合を悪用する手法です。防御側に求められるのは、未知の脅威ではなく「既知だが放置された脆弱性」への対処です。レガシー設定の見直し、信頼された統合の再評価、後回しにしていたパッチの適用が急務となっています。
📎 元記事: https://thehackernews.com/2026/02/threatsday-bulletin-codespaces-rce.html
コメント