チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「ブロックチェーンを使ったC2って、もはやSF映画みたいでしゅが、本当に実用化されてたんでしゅか?」
「開発者が狙われるサプライチェーン攻撃って、自社にも影響あるんでしゅか?」
チップスボス、Glasswormっていうボットネットが制圧されたんでしゅよね?聞いただけで何やら高度な構造を持ってる感じが…。
ボスそうだな。Solanaブロックチェーン、BitTorrent DHT、Googleカレンダー、直接VPSという4経路のC2を同時に使う高度な構造だ。CrowdStrike・Google・Shadowserver Foundationが連携し、5月26日にすべての経路を一斉解体した。
2026年5月27日、開発者を標的にしたボットネット「Glassworm」が、CrowdStrike、Google、Shadowserver Foundationの連携により解体されたと公表されました。
本記事では、攻撃の仕組み、C2インフラの構造、そして開発組織が学ぶべき教訓を整理していきます。
Glasswormは3月のキャンペーンで400超のソフトウェア成果物に影響を与えた、現代的なサプライチェーン型ボットネットです。
事件の概要、4経路C2の仕組み、そして開発組織が取るべき対策の順に深掘りしていきます。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
Glasswormは正規のマーケットプレイス経由で広がり、開発者の認証情報・暗号通貨ウォレットを狙いました。
従来型のドメイン・IPベースのC2と異なり、解体耐性を意識した分散型構成が採られていました。
4経路の役割を以下の表に整理しました。
| チャネル | 使い方 |
|---|---|
| Solanaブロックチェーン | 取引メモ欄にC2サーバアドレスをエンコード |
| BitTorrent DHT | ハードコード公開鍵に紐付けて設定データを格納 |
| Googleカレンダー | イベントタイトルにBase64でC2パスを埋込 |
| 直接VPS接続 | ペイロード配布用の従来型ホスティング |
チップス4つも経路があったら、1つ閉じても別の経路で復活できるってことでしゅか?それを同時に潰すのって大変でしゅよね…。
ボスその通りだ。だから今回はCrowdStrike・Google・Shadowserverの3組織が情報共有しながら同時に解体する必要があった。単独組織の対応では追いつかない時代に入っているということだぞ。
Glasswormは正規拡張機能や公開リポジトリを侵害経路にしたため、開発者本人の油断は不要でした。
開発者の手元から認証情報・トークンが流出すると、組織全体のCI/CDパイプラインまで侵害される連鎖が起こります。
典型的な被害は以下の通りです。
チップス開発者のPCが、組織への侵入ポイントになっちゃうんでしゅね。怖いんでしゅけど…。
ボスそうだ。開発端末の権限と、本番環境への接続経路は分離するのが鉄則だ。さらに、IDE拡張機能のレビューとマーケットプレイスの提供元検証を、組織のルールとして明文化しておくべきだ。
BleepingComputerの報道と研究者公開のYARAルールを活用し、対応の優先度は以下の通りです。
Glasswormの事例は、ブロックチェーンや分散プロトコルを悪用するボットネットが現実の脅威であることを示しました。
単独企業の対応では限界がある時代に、情報共有・YARAルール活用・開発エコシステム全体での検知体制が一層重要になります。
ボス解体に成功したからといって安心はできない。同じ手法を真似する後継ボットネットが必ず現れる。組織横断の情報共有こそが、現代の最大の防御策だぞ。
チップスうちの開発チームのIDE拡張機能も、今週中に総点検してみるでしゅ!
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
