チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「ブロックチェーンを使ったC2って、もはやSF映画みたいでしゅが、本当に実用化されてたんでしゅか?」
「開発者が狙われるサプライチェーン攻撃って、自社にも影響あるんでしゅか?」
チップスボス、Glasswormっていうボットネットが制圧されたんでしゅよね?聞いただけで何やら高度な構造を持ってる感じが…。
ボスそうだな。Solanaブロックチェーン、BitTorrent DHT、Googleカレンダー、直接VPSという4経路のC2を同時に使う高度な構造だ。CrowdStrike・Google・Shadowserver Foundationが連携し、5月26日にすべての経路を一斉解体した。
2026年5月27日、開発者を標的にしたボットネット「Glassworm」が、CrowdStrike、Google、Shadowserver Foundationの連携により解体されたと公表されました。
本記事では、攻撃の仕組み、C2インフラの構造、そして開発組織が学ぶべき教訓を整理していきます。
Glasswormは3月のキャンペーンで400超のソフトウェア成果物に影響を与えた、現代的なサプライチェーン型ボットネットです。
事件の概要、4経路C2の仕組み、そして開発組織が取るべき対策の順に深掘りしていきます。
オススメ案件
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
Glasswormは正規のマーケットプレイス経由で広がり、開発者の認証情報・暗号通貨ウォレットを狙いました。
従来型のドメイン・IPベースのC2と異なり、解体耐性を意識した分散型構成が採られていました。
4経路の役割を以下の表に整理しました。
| チャネル | 使い方 |
|---|---|
| Solanaブロックチェーン | 取引メモ欄にC2サーバアドレスをエンコード |
| BitTorrent DHT | ハードコード公開鍵に紐付けて設定データを格納 |
| Googleカレンダー | イベントタイトルにBase64でC2パスを埋込 |
| 直接VPS接続 | ペイロード配布用の従来型ホスティング |
チップス4つも経路があったら、1つ閉じても別の経路で復活できるってことでしゅか?それを同時に潰すのって大変でしゅよね…。
ボスその通りだ。だから今回はCrowdStrike・Google・Shadowserverの3組織が情報共有しながら同時に解体する必要があった。単独組織の対応では追いつかない時代に入っているということだぞ。
Glasswormは正規拡張機能や公開リポジトリを侵害経路にしたため、開発者本人の油断は不要でした。
開発者の手元から認証情報・トークンが流出すると、組織全体のCI/CDパイプラインまで侵害される連鎖が起こります。
典型的な被害は以下の通りです。
チップス開発者のPCが、組織への侵入ポイントになっちゃうんでしゅね。怖いんでしゅけど…。
ボスそうだ。開発端末の権限と、本番環境への接続経路は分離するのが鉄則だ。さらに、IDE拡張機能のレビューとマーケットプレイスの提供元検証を、組織のルールとして明文化しておくべきだ。
BleepingComputerの報道と研究者公開のYARAルールを活用し、対応の優先度は以下の通りです。
Glasswormの事例は、ブロックチェーンや分散プロトコルを悪用するボットネットが現実の脅威であることを示しました。
単独企業の対応では限界がある時代に、情報共有・YARAルール活用・開発エコシステム全体での検知体制が一層重要になります。
ボス解体に成功したからといって安心はできない。同じ手法を真似する後継ボットネットが必ず現れる。組織横断の情報共有こそが、現代の最大の防御策だぞ。
チップスうちの開発チームのIDE拡張機能も、今週中に総点検してみるでしゅ!
オススメ案件
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
