チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「自分のノートPCがウィルスに感染すると、ソースコードまで盗まれてしまうの?」
「Linuxは安全だと思っていたけど、本当にそうなの?」
チップスボス!うちの開発チームがみんなUbuntu使ってるんでしゅ。
Linuxを狙う新型RATが出たって聞いて、急に不安になってきたでしゅ…
ボス「QLNX」と呼ばれる新種だな。Trend Microが2026年5月8日に解析結果を公開した。
npm・PyPI・GitHub・AWS・Kubernetes…開発者なら必ず持っているクレデンシャルを根こそぎ抜く設計になっている。
Linux RATは長らくニッチな脅威でしたが、開発者を標的にした「QLNX」の登場で景色が変わりました。
本記事では、QLNXの構造と、開発者・DevOps現場が実装すべき防御策を整理します。
「開発者1人の感染」が、その先のサプライチェーン全体に波及する仕組みを見ていきましょう。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
QLNXはWindows向けRATで有名なQuasar系の派生で、ターゲットをLinuxに振り切ったマルウェアです。
Trend Microの分析によれば、感染後にC2(指令サーバ)と通信し、58種類のコマンドを実行可能。
開発者の手元PCやビルドサーバを一度握ると、長期にわたって居座る設計です。
QLNXが特に欲しがるのは、開発作業中に手元に置いてある認証情報です。
下記のような場所を片っ端から探して抜き取り、C2へ送信する仕組みになっています。
| 窃取対象 | 具体例 |
|---|---|
| パッケージ公開トークン | npm、PyPIの認証情報 |
| クラウド認証情報 | AWS、Vault、Terraformの設定 |
| コンテナ/オーケストレーション | Docker、Kubernetes設定 |
| SCM関連 | git config、GitHub CLIトークン |
| 環境変数 | .env、.bashrcの埋め込みシークレット |
チップスこれ、開発者のホームディレクトリ丸ごとさらわれるレベルでしゅね…
ボスそういう設計だ。しかも7種類の永続化手法(systemd、crontab、.bashrc注入など)で居着く。
削除するつもりが、別の経路で復活する厄介者だな。
QLNXがやろうとしているのは、開発者1人を起点にしたサプライチェーン汚染です。
npm/PyPIの公開トークンを得れば、攻撃者は自分が管理する偽更新を「正規アップデート」として全世界に配布できます。
多くの組織は本番サーバの監視を強化していますが、開発者のローカル端末は手薄なままです。
QLNXはeBPFを使ってカーネルレベルで活動するため、通常のEDRでも見えにくく、ファイルレスでメモリだけで動きます。
「自分のPCには重要なものは無い」という思い込みが最大のリスク要因です。
原則は「長期保管されたシークレットを減らす」「実行環境を分離する」の2点に尽きます。
パッケージ公開やクラウド操作は、専用のCI/CDから一時的なクレデンシャルで動かす運用に寄せましょう。
個人PCには本番権限を残さないルール作りが効きます。
実装したい対策は以下の通りです。
チップス「Trusted Publishing」って何でしゅか?聞いたことないでしゅ。
ボスnpmやPyPIが提供するOIDC連携の公開機能だ。
長期トークンを発行せずに、CI上で短命トークンを得て公開する仕組み。
キーが盗まれても再利用できないから、QLNX的な攻撃に強い。
詳細はThe Hacker Newsの解析記事を参照してください。
クラウド時代の本番権限は、本番サーバではなく開発者のPCに集約されつつあります。
QLNXのようなマルウェアは、その構造変化を狙い撃ちにしてきました。
「個人PCの保護」が、企業全体のサプライチェーン防御に直結します。
チップスうちの会社、開発者PCには大して対策入れてないでしゅ…これ、まずいでしゅよね。
ボス「動かすPCより、開発するPCの方が危ない」時代だ。
EDR・MDM・シークレットスキャンを開発者にも展開していけ。
Linux向けEDR導入やトークン運用の見直しには、専門人材の支援があると進めやすくなります。
社内リソースが薄い場合は、セキュリティフリーランスの活用も検討してみてください。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
