チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「KnowledgeDeliverってeラーニングで使われてる日本製LMSでしゅよね?うちの研修でも入れてるんでしゅが大丈夫でしゅか?」
「ViewState deserializationって聞き慣れない名前でしゅが、何が起きるんでしゅか?」
チップスボス、KnowledgeDeliverのCVE-2026-5426が悪用されてGodzillaウェブシェルやCobalt Strikeまで仕込まれたって、かなり深刻でしゅよね?
ボス深刻だ。ベンダーが配布したweb.configにASP.NETのmachineKeyがハードコードされていた。攻撃者は同じ鍵で署名・暗号化されたViewStateを作るだけで認証不要のRCEを成立させたわけだ。
2026年5月、日本企業・教育機関で広く利用されるDigital KnowledgeのLMS「KnowledgeDeliver」にゼロデイ脆弱性CVE-2026-5426の悪用が公表されました。
本記事では攻撃の仕組み、被害の広がり、対象組織が今すぐ取るべき対策を整理していきます。
日本企業向けLMSが標的型攻撃の入口となった事例として極めて重要なケースです。
事件の概要、攻撃手口の詳細、利用組織が押さえる対策の順にひもといていきます。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
Google Cloud(Mandiant)の調査でGodzillaウェブシェル展開とCobalt Strike投下が確認されました。
原因はベンダー提供のweb.configに含まれていたmachineKeyの共通利用です。
判明している事実は以下の通りです。
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-5426(CVSS 7.5) |
| 対象 | 2026年2月24日以前にデプロイされたKnowledgeDeliver |
| 原因 | ベンダー配布のweb.configでハードコードされたASP.NET machineKey |
| 攻撃手口 | ViewState deserializationによる認証不要のRCE |
| 確認された後続攻撃 | Godzilla(BLUEBEAM)ウェブシェル、Cobalt Strike BEACON |
チップスmachineKeyってベンダーが配ってる設定ファイルに、そのまま入っていたんでしゅか?それは導入企業のせいじゃなくない…でしゅか?
ボス仕様としてリスクが高い設計だ。ただし攻撃に晒されたのは導入側のシステムだから、運用責任は免れない。鍵を更新し、不要な機能を無効化する事後対応が必須になる。
ViewState deserializationは、署名検証の仕組みを逆手に取り任意コードを実行させる古典的手法です。
攻撃者はmachineKeyで署名した不正なViewStateを送り、サーバー側のデシリアライズ処理を悪用します。
確認された攻撃の流れは以下の通りです。
パッチ適用に加え、既に侵害を受けている前提での点検を進めると安全です。
推奨される対策は以下の通りです。
チップスパッチを当てるだけでなく、すでに踏まれている前提でログ確認まで必要なんでしゅね。
ボスふふふ、ゼロデイの常套手段だ。Mandiantの観測ではAPT41やUNC215に近いTTPだ。重要システムなら侵害前提の調査を必ず行え。
KnowledgeDeliverのCVE-2026-5426は、ベンダー提供のweb.config設計に起因する深刻なゼロデイ脆弱性です。
同じ鍵を共有する全インスタンスが攻撃可能であり、Godzillaウェブシェルや Cobalt Strikeまで観測されている以上、単なるパッチでは不十分です。
該当バージョンを利用してきた組織は、machineKeyの再生成、ASPX設置物の確認、EDRログの横断調査までセットで実施しましょう。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
