TrueConfゼロデイ脆弱性から学ぶアップデート配信を悪用するサプライチェーン攻撃の脅威

2026年4月8日

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。

「ソフトウェアのアップデートが安全じゃないなんてことがあるの？」
「ビデオ会議ツールから社内ネットワークに侵入されるリスクって？」

チップス

ボス！ビデオ会議ソフトの正規アップデートにマルウェアが混ざってたって！
アップデートしたら逆に感染するなんて、もう何を信じればいいんでしゅか！

ボス

TrueConfのゼロデイ脆弱性（CVE-2026-3502）だな。
正規のアップデート経路を乗っ取って、マルウェアを配信する手口だ。
中国系の攻撃者が東南アジアの政府機関に対して使っている。

ビデオ会議ソフトTrueConfのアップデート機能にゼロデイ脆弱性が発見され、国家支援型の攻撃に悪用されていることが明らかになりました。
「信頼されたアップデート」を武器に変える、サプライチェーン攻撃の新たな手口を解説します。

正規アップデートを悪用するサプライチェーン攻撃への備え方がわかります。

オススメ案件

TrueConfゼロデイ攻撃の仕組み

CVE-2026-3502は、TrueConfクライアントのアップデート機能に整合性チェックが欠けていたことに起因します。

攻撃者は、オンプレミスのTrueConfサーバーとクライアント間の信頼関係を悪用しました。
正規のアップデートを改ざんしたものに差し替え、クライアントに自動配信させる手口です。
攻撃の流れは以下の通りです。

Check Pointはこのキャンペーンを「Operation TrueChaos」と命名しています。
中国系の攻撃者による国家支援型のサイバースパイ活動と見られています。

チップス

アップデートが来たらインストールするのが当たり前だと思ってたでしゅ……。
それ自体が攻撃になるなんて。

ボス

アップデートの「出元」が侵害されていれば、正規の手順を踏んでも感染する。
ソフトウェアの信頼性は、配信経路の安全性にかかっているんだ。

CISAは2026年4月2日にCVE-2026-3502をKEVカタログに登録し、4月16日までの修正を求めています。

TrueConfを利用している場合は即座にパッチを適用してください。
加えて、アップデート経路を悪用する攻撃に備えた対策も必要です。

TrueConfに限らず、オンプレミスで運用するソフトウェアのアップデート配信経路は、攻撃対象になり得ます。
アップデート配信サーバーのセキュリティ強化も検討してください。

TrueConfのゼロデイ脆弱性は、「信頼されたアップデート」さえも攻撃の入り口になり得ることを突きつけました。
国家支援型の攻撃者が正規の配信経路を乗っ取る手口は、今後さらに増加が見込まれます。
v8.5.3へのパッチ適用を最優先で実施し、アップデート配信の整合性検証を運用に組み込んでください。

よかったらシェアしてね！

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。