クラウドファーストのLinuxマルウェアフレームワーク VoidLink ほか [Scan PREMIUM Monthly Executive Summary 2026年1月度] | ScanNetSecurity
2026.02.12(木)

クラウドファーストのLinuxマルウェアフレームワーク VoidLink ほか [Scan PREMIUM Monthly Executive Summary 2026年1月度]

 1 月の脅威動向でもう一つ押さえるべきは、エンドポイント中心の侵入ではなく、クラウド基盤そのもの( Linux、コンテナ、Kubernetes )を長期支配するためのマルウェアフレームワーク「 VoidLink 」が報告された点です。チェック・ポイント・リサーチは「クラウドファーストの Linux マルウェア・フレームワーク」と位置づけ、ローダー、インプラント、ルートキット、30 超のプラグインから構成される高いモジュール性を報告しています。

脆弱性と脅威 脅威動向
62 views
facebookLINE
https://research.checkpoint.com/2026/voidlink-the-cloud-native-malware-framework/
https://research.checkpoint.com/2026/voidlink-the-cloud-native-malware-framework/ 全 1 枚 拡大写真

 Scan PREMIUM Monthly Executive Summary は、大企業やグローバル企業、金融、社会インフラ、中央官公庁、ITプラットフォーマなどの組織で、情報システム部門や CSIRT、SOC、経営企画部門などで現場の運用管理にたずさわる方々や、事業部長、執行役員、取締役、経営管理、セキュリティコンサルタントやリサーチャーに向けて毎月上旬に配信しています。

 前月に起こったセキュリティ重要事象のふり返りを行う際の参考資料として活用いただくことを目的としており、分析を行うのは株式会社サイント代表取締役 兼 脅威分析統括責任者 岩井 博樹 氏です。Monthly Executive Summary の全文は昨日朝 6 時 1 分に配信した Scan PREMIUM 会員向けメールマガジンに掲載しています。

>>Scan PREMIUM Monthly Executive Summary 執筆者に聞く内容と執筆方針
>>岩井氏 インタビュー記事「軍隊のない国家ニッポンに立ち上げるサイバー脅威インテリジェンスサービス」

【1】前月総括

 2026 年 1 月のサイバー空間は、「安全保障と密接に関連した事案」と「注目事案に便乗する諜報・犯罪活動」との距離が、かつてなく近づいていることを改めて示した月でした。象徴的なのは、米国によるベネズエラ大統領拘束作戦という国際政治上の出来事に呼応する形で、対米の情報収集を狙うとされるキャンペーンが観測された点です。同時に、エネルギーなどの基幹分野では、侵入の成否そのものよりも、「運用セキュリティ上の隙」が攻撃の影響範囲を決めてしまう現実も浮き彫りになりました。

 さらに国家安全保障の名の下に、国家が特定国のセキュリティ製品を排除する動きも報じられています。ブルームバーグは、中国当局が米国・イスラエル系を含む複数社のサイバーセキュリティ製品について、使用を禁じる政府通達を入手したと伝えました。同趣旨の内容はロイターも報じています。国家安全保障(データ流出懸念など)を理由とした製品排除が進めば、調達や標準をめぐる政治的駆け引きが一段と強まり、市場やエコシステムの分断を加速させる懸念があります。

 1 月の脅威動向でもう一つ押さえるべきは、エンドポイント中心の侵入ではなく、クラウド基盤そのもの( Linux、コンテナ、Kubernetes )を長期支配するためのマルウェアフレームワーク「 VoidLink 」が報告された点です。チェック・ポイント・リサーチは、2025 年 12 月に発見したマルウェアフレームワーク「 VoidLink 」を「クラウドファーストの Linux マルウェア・フレームワーク」と位置づけ、ローダー、インプラント、ルートキット、30 超のプラグインから構成される高いモジュール性を報告しています。

 本フレームワークは、特定組織を標的とするというよりは、クラウド運用基盤を侵害し、横展開やサプライチェーンへ波及させる用途であると推察されます。なお、同フレームワークは C2 の起動、テストが確認されていますので、実戦投入は近いと予想されます(詳細は本文で)。

● 注目のサイバー脅威動向:安全保障と直結するサイバー攻撃

 安全保障と直結する事案事連動(じあんごとれんどう)型の攻撃キャンペーン(註)として、ベネズエラ情勢を題材に、米国の政府関連組織を狙う標的型キャンペーンが報告されました。これは、ベネズエラ情勢をテーマとした ZIP アーカイブに、バックドア( LOTUSLITE )が同梱されていたことを報告したものです。

 囮ファイルには国外移送を想起させる文言を含む時事ネタを用いており、現実のニュースを初期侵入の起点としていました。悪性ファイルおよび ZIP アーカイブのタイムスタンプはいずれも同日を示しており、報道確認後に早期に準備が行われたものと推察されるサンプルでした。なお、この攻撃は「行動ベース」の仮説として、Mustang Panda の関与が疑われています。

 ちなみに、Mustang Panda の活動に関しては、Kaspersky 社がアジアと欧州での諜報活動を継続的に観測し、政府機関が主要標的であることを報告しています。これは、CoolClient などのバックドアや複数ツール(情報窃取スクリプト、ブラウザ認証情報窃取など)を組み合わせた攻撃についての報告となります。

(編集部註:事案事連動型攻撃:現実世界で発生している特定の時事問題やニュースに即座に便乗連動して仕掛けられる攻撃)

 次に、ESET 社が昨年 12 月末に報じられたポーランドのエネルギー企業(再生エネルギー施設)を標的とした攻撃キャンペーンについて、ワイパー型マルウェア「 DynoWiper 」が用いられたことを報告しています。同報告では、通信や制御に関わる機器へのアクセスを足掛かりに、少なくとも一部の環境で破壊活動を目的とした可能性にも言及しています。

 この報告は、2025 年 12 月 29 日にポーランドで発生した 30 カ所以上の風力・太陽光発電所、熱電併給( CHP )プラントなどを標的とした大規模攻撃と関連するものです。再生エネルギーは分散化が進む一方で、遠隔監視・保守の常態化や外部接続点の増加によって、攻撃者が侵害範囲を横に広げやすい条件が生まれやすくなっていることを示す事案といえます。

 北朝鮮の脅威アクターについてですが、フィッシングやマルウェアそのものより「侵入経路の最適化」が目立ちます。韓国の Genians 社は、Konni APT に帰属するとされる「 Operation Poseidon 」について報告しています。この攻撃は、広告トラッキング・リダイレクトを悪用したスピアフィッシングにより、メール検知と利用者警戒を同時に回避した点を特徴として挙げています。

《株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹》

関連記事

この記事の写真

/

特集

関連リンク

PageTop

アクセスランキング

  1. 同僚名で会社のメルアドに「LINEグループを作ってQRコードを送ってほしい」と連絡、出先だったので指示に従ってしまった

    同僚名で会社のメルアドに「LINEグループを作ってQRコードを送ってほしい」と連絡、出先だったので指示に従ってしまった

  2. コバヤシのサーバに不正アクセス、不正に取得された情報が外部サイト上に公開

    コバヤシのサーバに不正アクセス、不正に取得された情報が外部サイト上に公開

  3. シンシアにランサムウェア攻撃、システム障害が発生

    シンシアにランサムウェア攻撃、システム障害が発生

  4. 「パスワードは復号化が極めて困難な形式で管理」不正アクセスによるメールアドレス流出

    「パスワードは復号化が極めて困難な形式で管理」不正アクセスによるメールアドレス流出

  5. STNet のネットワークに不正アクセス、企業・団体の担当者 20,846 名の個人情報が漏えいした可能性

    STNet のネットワークに不正アクセス、企業・団体の担当者 20,846 名の個人情報が漏えいした可能性

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 脅威動向 記事
TOP