チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「ソフトウェアのアップデートが安全じゃないなんてことがあるの?」
「ビデオ会議ツールから社内ネットワークに侵入されるリスクって?」
チップスボス!ビデオ会議ソフトの正規アップデートにマルウェアが混ざってたって!
アップデートしたら逆に感染するなんて、もう何を信じればいいんでしゅか!
ボスTrueConfのゼロデイ脆弱性(CVE-2026-3502)だな。
正規のアップデート経路を乗っ取って、マルウェアを配信する手口だ。
中国系の攻撃者が東南アジアの政府機関に対して使っている。
ビデオ会議ソフトTrueConfのアップデート機能にゼロデイ脆弱性が発見され、国家支援型の攻撃に悪用されていることが明らかになりました。
「信頼されたアップデート」を武器に変える、サプライチェーン攻撃の新たな手口を解説します。
正規アップデートを悪用するサプライチェーン攻撃への備え方がわかります。
CVE-2026-3502は、TrueConfクライアントのアップデート機能に整合性チェックが欠けていたことに起因します。
攻撃者は、オンプレミスのTrueConfサーバーとクライアント間の信頼関係を悪用しました。
正規のアップデートを改ざんしたものに差し替え、クライアントに自動配信させる手口です。
攻撃の流れは以下の通りです。
Check Pointはこのキャンペーンを「Operation TrueChaos」と命名しています。
中国系の攻撃者による国家支援型のサイバースパイ活動と見られています。
チップスアップデートが来たらインストールするのが当たり前だと思ってたでしゅ……。
それ自体が攻撃になるなんて。
ボスアップデートの「出元」が侵害されていれば、正規の手順を踏んでも感染する。
ソフトウェアの信頼性は、配信経路の安全性にかかっているんだ。
CISAは2026年4月2日にCVE-2026-3502をKEVカタログに登録し、4月16日までの修正を求めています。
TrueConfを利用している場合は即座にパッチを適用してください。
加えて、アップデート経路を悪用する攻撃に備えた対策も必要です。
TrueConfに限らず、オンプレミスで運用するソフトウェアのアップデート配信経路は、攻撃対象になり得ます。
アップデート配信サーバーのセキュリティ強化も検討してください。
TrueConfのゼロデイ脆弱性は、「信頼されたアップデート」さえも攻撃の入り口になり得ることを突きつけました。
国家支援型の攻撃者が正規の配信経路を乗っ取る手口は、今後さらに増加が見込まれます。
v8.5.3へのパッチ適用を最優先で実施し、アップデート配信の整合性検証を運用に組み込んでください。
