🔥 この日の重要情報
2026-05-10 更新

📋 本日の目次 (7件)

B
今週中急ぎではないが早めに対応
5件
C
月内に計画的に対応すれば良い
2件
B
今週中

Security Affairsのニュースレター第576回では、複数の重大な脅威が報告されています

脆弱性🌐 英語ソース📰 2記事🌐 1 country
🇮🇹 Italy (2)
📅 2026-05-10📰 secaffairs
📌 一言でいうと
Security Affairsのニュースレター第576回では、複数の重大な脅威が報告されています。ステルス性と永続性を備えたLinux向けファイルレスインプラント「Quasar Linux RAT (QLNX)」や、Linuxの権限昇格脆弱性「Dirty Frag」の悪用が確認されました。また、Palo Alto PAN-OSのゼロデイ脆弱性を悪用した国家主導の攻撃や、Ivanti EPMMの脆弱性がCISAの既知の悪用済み脆弱性カタログに追加されたことが報じられています。
🔍該当判定
  • Palo Alto社の製品で『PAN-OS』を搭載したネットワーク機器を利用している
  • Ivanti社の『Endpoint Manager Mobile (EPMM)』を利用して端末管理をしている
  • Linuxサーバーを運用しており、特権昇格(権限奪取)の脆弱性対策が未完了である
  • Cisco社製のネットワーク機器を利用しており、最新のセキュリティパッチを適用していない
上記いずれにも該当しない → 静観でOK
該当時の対応
Linuxシステムの権限昇格脆弱性の監視、Palo Alto PAN-OSおよびIvanti EPMMの最新パッチ適用、サードパーティ製ソフトウェアのサプライチェーンリスク評価の実施。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Palo Alto PAN-OSおよびIvanti EPMM等の脆弱性対応について

お疲れさまです。複数の重要製品における脆弱性と脅威に関する情報共有です。

■ 概要
- Palo Alto PAN-OSにおいて、国家主導のアクターによるゼロデイ脆弱性の悪用が数週間にわたり確認されています。
- Ivanti Endpoint Manager Mobile (EPMM) の脆弱性がCISAのKnown Exploited Vulnerabilities (KEV) カタログに追加されました。
- Linux向けファイルレスRAT「Quasar Linux RAT (QLNX)」および権限昇格脆弱性「Dirty Frag」が報告されています。

■ 影響範囲
- Palo Alto PAN-OS 搭載デバイス
- Ivanti Endpoint Manager Mobile (EPMM)
- Linux OS サーバー

■ 対応手順
1. Palo AltoおよびIvantiの最新セキュリティパッチを適用し、バージョンを確認してください。
2. Linuxサーバーにおいて、不審なプロセスや権限昇格の兆候がないかログを確認してください。
3. CISA KEVカタログに基づき、優先的にパッチ適用を完了させてください。

■ 参考情報
- CISA Known Exploited Vulnerabilities Catalog
- 各ベンダー公式アドバイザリ

対応優先度: 高
対応期限: 速やかに
Subject: [Technical Alert] Vulnerabilities in Palo Alto PAN-OS, Ivanti EPMM, and Linux Systems

Dear Security Team,

This is a technical update regarding several critical vulnerabilities and threats reported in the latest security intelligence.

■ Overview
- Nation-state actors have been exploiting a zero-day vulnerability in Palo Alto PAN-OS for several weeks.
- A flaw in Ivanti Endpoint Manager Mobile (EPMM) has been added to CISA's Known Exploited Vulnerabilities (KEV) catalog.
- New Linux threats have emerged, including the 'Quasar Linux RAT (QLNX)' fileless implant and the 'Dirty Frag' privilege escalation vulnerability.

■ Scope
- Palo Alto PAN-OS devices
- Ivanti Endpoint Manager Mobile (EPMM)
- Linux-based server environments

■ Action Plan
1. Immediately apply the latest security patches for Palo Alto PAN-OS and Ivanti EPMM.
2. Audit Linux systems for signs of privilege escalation or unauthorized fileless implants.
3. Prioritize remediation based on the CISA KEV catalog guidelines.

■ Reference
- CISA KEV Catalog
- Official Vendor Advisories

Priority: High
Deadline: Immediate
📰 関連する 1 件の記事
secaffairs本レポートは、最新のマルウェア動向をまとめたニュースレターです
🔗 元の記事を読む
B
今週中

OllamaのGGUFモデルローダーに、リモートの未認証攻撃者がプロセスメモリを漏洩させることができるヒープ境界外読み取りの脆弱性(Bleeding…

脆弱性🌐 英語ソース🏢 他社事案
🔢 CVECVE-2026-7482
📅 2026-05-10📰 hackernews
📌 一言でいうと
OllamaのGGUFモデルローダーに、リモートの未認証攻撃者がプロセスメモリを漏洩させることができるヒープ境界外読み取りの脆弱性(Bleeding Llama)が発見されました。この脆弱性はCVE-2026-7482として追跡され、CVSSスコアは9.1と非常に高く評価されています。攻撃者は細工したGGUFファイルを/api/createエンドポイントに送信することで、サーバーのメモリ内容を読み取ることが可能です。バージョン0.17.1以降へのアップデートで修正されます。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🔍該当判定
  • 自社サーバーやPCで「Ollama」をインストールして利用している
  • Ollamaのバージョンが 0.17.1 より古い
  • Ollamaを外部(インターネット)からアクセス可能な状態で公開している
上記いずれにも該当しない → 静観でOK
該当時の対応
Ollamaを最新バージョン(0.17.1以降)にアップデートしてください。また、信頼できないソースからのモデルファイルのアップロードを制限するネットワーク制限を検討してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Ollama CVE-2026-7482 (Bleeding Llama) 対応について

お疲れさまです。Ollamaの深刻な脆弱性に関する情報共有です。

■ 概要
OllamaのGGUFモデルローダーにおいて、ヒープ境界外読み取りの脆弱性が発見されました(CVE-2026-7482)。リモートの未認証攻撃者が細工したGGUFファイルを送信することで、プロセスメモリの内容を漏洩させることが可能です。CVSSスコアは9.1と極めて高く、機密情報の流出リスクがあります。

■ 影響範囲
- 対象製品: Ollama
- 対象バージョン: 0.17.1 未満

■ 対応手順
1. 稼働中のOllamaサーバーのバージョンを確認してください。
2. 最新バージョン(0.17.1以降)へ速やかにアップデートを適用してください。
3. 外部から /api/create エンドポイントへのアクセスが制限されているか確認してください。

■ 参考情報
- CVE-2026-7482
- Cyera (Bleeding Llama)

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Ollama CVE-2026-7482 (Bleeding Llama) Mitigation

Dear IT/Security Team,

We are sharing critical information regarding a vulnerability in Ollama.

■ Overview
A heap out-of-bounds read vulnerability, codenamed 'Bleeding Llama' (CVE-2026-7482), has been identified in the GGUF model loader. This flaw allows a remote, unauthenticated attacker to leak process memory by sending a malicious GGUF file to the /api/create endpoint. The CVSS score is 9.1, indicating a critical risk of data exposure.

■ Scope
- Product: Ollama
- Affected Versions: Prior to 0.17.1

■ Mitigation Steps
1. Verify the current version of Ollama running in your environment.
2. Immediately update to version 0.17.1 or later.
3. Review network access controls to ensure the /api/create endpoint is not exposed to untrusted sources.

■ Reference
- CVE-2026-7482
- Cyera (Bleeding Llama)

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

cPanel & WHMにおいて、任意のファイル読み取り、リモートコード実行(RCE)、および権限昇格を可能にする3つの脆弱性が修正されました

脆弱性🌐 英語ソース
🔢 CVECVE-2026-29201CVE-2026-29202CVE-2026-29203
📅 2026-05-10📰 secaffairs
📌 一言でいうと
cPanel & WHMにおいて、任意のファイル読み取り、リモートコード実行(RCE)、および権限昇格を可能にする3つの脆弱性が修正されました。特にCVE-2026-29202とCVE-2026-29203はCVSSスコア8.8と高く、認証済み攻撃者がPerlコードを実行したり、不適切なシンボリックリンク処理を通じてファイル権限を変更したりすることが可能です。現時点で悪用の報告はありませんが、迅速なアップデートが推奨されます。
🔍該当判定
  • 自社で「cPanel」または「WHM」をサーバー管理ツールとして導入している
  • レンタルサーバー等で「cPanel」の管理画面を利用している
  • サーバー上のユーザー管理に「cPanel」のAPI(create_user等)を利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
cPanel & WHMの最新セキュリティアップデートを適用し、脆弱性を修正してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】cPanel & WHM 脆弱性(CVE-2026-29201, 29202, 29203)対応について

お疲れさまです。cPanel & WHMの脆弱性に関する情報共有です。

■ 概要
cPanel & WHMにおいて、ファイル読み取り、リモートコード実行(RCE)、および権限昇格を可能にする3つの脆弱性が公開されました。特にRCEおよび権限昇格に関する2件はCVSS 8.8と極めて高いリスクとなっています。

- CVE-2026-29201 (CVSS 4.3): 任意のファイル読み取り
- CVE-2026-29202 (CVSS 8.8): 認証済みユーザーによるPerlコードの実行
- CVE-2026-29203 (CVSS 8.8): 不適切なシンボリックリンク処理によるファイル権限変更

■ 影響範囲
- cPanel & WHM

■ 対応手順
1. cPanel & WHMの管理画面またはコマンドラインから最新バージョンへのアップデートを確認してください。
2. 最新のセキュリティパッチを適用し、サーバーを再起動して設定を反映させてください。

■ 参考情報
- cPanel公式セキュリティアドバイザリ

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] cPanel & WHM Vulnerabilities (CVE-2026-29201, 29202, 29203)

Hi team,

This is a notification regarding critical vulnerabilities discovered in cPanel & WHM.

■ Overview
Three vulnerabilities have been patched that could allow arbitrary file access, remote code execution (RCE), and privilege escalation. Two of these flaws carry a high CVSS score of 8.8.

- CVE-2026-29201 (CVSS 4.3): Arbitrary file read via input validation issue.
- CVE-2026-29202 (CVSS 8.8): RCE via improper validation of the plugin parameter in create_user API.
- CVE-2026-29203 (CVSS 8.8): Privilege escalation/DoS via unsafe symlink handling.

■ Scope
- cPanel & WHM

■ Mitigation Steps
1. Check for the latest security updates via the cPanel & WHM administrative interface or CLI.
2. Apply the latest patches immediately to mitigate the risk of exploitation.

■ Reference
- Official cPanel Security Advisory

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

Linuxカーネルにおける致命的なローカル権限昇格(LPE)脆弱性「Dirty Frag」

脆弱性🌐 英語ソース
📅 2026-05-10📰 freebuf
📌 一言でいうと
Linuxカーネルにおける致命的なローカル権限昇格(LPE)脆弱性「Dirty Frag」が公開されました。この脆弱性は、xfrm-ESPおよびRxRPCモジュールの不備を利用して読み取り専用ファイルのページキャッシュを改ざんし、root権限を奪取するものです。ほぼ全ての主要なLinuxディストリビューションが影響を受け、PoCが公開されているため、攻撃成功率が非常に高いとされています。
🔍該当判定
  • 社内で Linux サーバー(Ubuntu, CentOS, Debian 等)を運用している
  • Linux サーバーに、管理者以外の一般ユーザーアカウントを作成して利用させている
  • 外部の人間がログイン可能な Linux サーバー(踏み台サーバーや開発環境など)を公開している
上記いずれにも該当しない(Windowsのみ利用、またはLinuxをroot権限のみで運用し一般ユーザーを一切作成していない) → 静観でOK
該当時の対応
公式パッチがリリースされるまで、不要な場合は xfrm-ESP および RxRPC カーネルモジュールを無効化することを検討してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Linuxカーネルにおける致命的な権限昇格脆弱性「Dirty Frag」への対応について

お疲れさまです。Linuxカーネルに影響する深刻な権限昇格脆弱性「Dirty Frag」に関する情報共有です。

■ 概要
Linuxカーネルのネットワークバッファ(sk_buff)管理の不備を突き、読み取り専用ファイルのページキャッシュを改ざんすることで、一般ユーザーからroot権限へ昇格させる脆弱性です。競争状態(Race Condition)を必要とせず、成功率が極めて高いのが特徴です。

■ 影響範囲
- ほぼ全ての主要なLinuxディストリビューション(Ubuntu等を含む)
- 影響を受けるモジュール: xfrm-ESP (esp4/esp6), RxRPC

■ 対応手順
1. 公式のCVE番号およびベンダーパッチのリリースを監視してください。
2. 暫定的な緩和策として、不要な環境では以下のカーネルモジュールのロードを禁止することを検討してください。
- modprobe -r xfrm_user (環境により異なる)
- RxRPC 関連モジュールの無効化

■ 参考情報
- 脆弱性名称: Dirty Frag
- 発見者: Hyunwoo Kim (@v4bel)

対応優先度: 高
対応期限: パッチ適用まで至急の監視を推奨
Subject: [Urgent] Critical Linux Kernel LPE Vulnerability "Dirty Frag"

Dear IT Security Team,

We are sharing information regarding a critical local privilege escalation (LPE) vulnerability chain discovered in the Linux kernel, dubbed "Dirty Frag."

■ Overview
Dirty Frag allows a local user to gain root privileges by exploiting the page cache management of sk_buff fragments in the xfrm-ESP and RxRPC modules. Unlike many LPEs, it does not rely on race conditions, resulting in a near 100% success rate.

■ Scope
- Nearly all major Linux distributions.
- Affected components: xfrm-ESP (esp4/esp6) and RxRPC modules.

■ Mitigation Steps
1. Monitor official vendor advisories for CVE assignments and security patches.
2. As a temporary workaround, consider disabling the affected kernel modules if they are not required for your operations.

■ Reference
- Vulnerability Name: Dirty Frag
- Researcher: Hyunwoo Kim (@v4bel)

Priority: High
Deadline: Immediate monitoring and patching upon release.
🔗 元の記事を読む
B
今週中

Google広告とClaude.aiの共有チャットを悪用し、macOS向けマルウェアを配布するキャンペーン

脆弱性🌐 英語ソース
📅 2026-05-10📰 bleeping
📌 一言でいうと
Google広告とClaude.aiの共有チャットを悪用し、macOS向けマルウェアを配布するキャンペーンが確認されました。攻撃者は「Claude mac download」などの検索結果に偽の広告を表示させ、ユーザーを偽のインストールガイド(共有チャット)へ誘導します。そこではターミナルにコマンドを貼り付けるよう指示され、実行するとマルウェアがサイレントにインストールされます。
🔍該当判定
  • 社内でMac(Apple製PC)を利用している
  • Google検索で「Claude」などのAIツールを検索し、広告枠からソフトをインストールしようとした
  • Claude.aiの「共有チャット」に記載された手順に従い、Macのターミナルにコマンドを貼り付けて実行した
上記いずれにも該当しない → 静観でOK
該当時の対応
公式ウェブサイト以外からソフトウェアをダウンロードしないこと。特に、ターミナルに不明なコマンドを貼り付けて実行する指示に従わないよう徹底してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】偽のClaude(AIツール)インストール広告にご注意ください

お疲れさまです。情報システム担当です。
現在、Google検索の広告を利用して、Mac向けにウイルスを感染させる偽の案内サイトが出回っています。

ご協力をお願いしたいこと:
1. ソフトウェアを導入する際は、必ず公式サイトから直接ダウンロードしてください。検索結果の「広告」と表示されているリンクは避けてください。
2. 画面の指示に従って、ターミナル(黒い画面)に不明なコマンドをコピー&ペーストして実行しないでください。

対応期限: 本日中
Subject: [Security Alert] Beware of Fake Claude AI Installation Ads

Hi everyone,

We have been alerted to a malicious campaign using Google Ads to trick Mac users into installing malware under the guise of a 'Claude' AI tool installation.

What you need to do:
1. Always download software directly from official websites. Avoid clicking on 'Sponsored' search results when looking for software downloads.
2. Never copy and paste unknown commands into your Terminal application based on instructions from a website or chat.

Deadline: Immediate
件名: 【共有】Google広告およびClaude.ai共有チャットを悪用したmacOSマルウェア配布について

お疲れさまです。標的型攻撃に関する情報共有です。

■ 概要
Google Adsの検索広告とClaude.aiの共有チャット機能を悪用したマルウェア配布キャンペーンが確認されました。攻撃者は「Claude Code on Mac」などの偽ガイドを用いて、ユーザーにターミナル経由で悪意のあるコマンドを実行させ、マルウェアをインストールさせます。

■ 影響範囲
- macOSを利用している全ユーザー

■ 対応手順
1. 従業員に対し、検索広告経由のソフトウェア導入およびターミナルへの不明なコマンド実行の危険性を周知してください。
2. EDR等のログを確認し、不審なcurl/wgetコマンドによる外部スクリプトの実行がないか監視を強化してください。

■ 参考情報
- BleepingComputer 記事

対応優先度: 高
対応期限: 2026/05/10
Subject: [Threat Intel] macOS Malware Distribution via Google Ads and Claude.ai Shared Chats

Hi team,

This is a notification regarding a current malvertising campaign targeting macOS users.

■ Overview
Attackers are leveraging Google Ads and weaponized Claude.ai shared chats to distribute malware. The attack chain involves tricking users into executing malicious shell commands via the Terminal, impersonating official Apple or Claude support.

■ Scope
- All macOS endpoints

■ Mitigation Steps
1. Issue a security advisory to employees warning against downloading software via sponsored search results and executing unknown Terminal commands.
2. Enhance monitoring for suspicious process executions (e.g., curl/wget piping to sh/bash) on macOS endpoints via EDR.

■ Reference
- BleepingComputer report

Priority: High
Deadline: 2026-05-10
🔗 元の記事を読む
C
月内に

2026年5月6日から7日にかけて、JDownloaderの公式サイトが改ざんされ、WindowsおよびLinux向けにマルウェアが配布されました

事案🌐 英語ソース
🖥️ 製品Windows
📅 2026-05-10📰 secaffairs
📌 一言でいうと
2026年5月6日から7日にかけて、JDownloaderの公式サイトが改ざんされ、WindowsおよびLinux向けにマルウェアが配布されました。攻撃者は正規のインストーラーをPythonベースのリモートアクセストロイジャン(RAT)に置き換えており、感染したシステムを遠隔操作することが可能です。特にWindowsの「Alternative Installer」およびLinuxのシェルインストーラーを利用したユーザーが標的となりました。
🔍該当判定
  • 5月6日から5月7日の間に、公式サイトからJDownloaderをインストールした
  • Windows版の「Alternative Installer」を上記期間にダウンロードして実行した
  • Linux版のシェルインストーラーを上記期間にダウンロードして実行した
上記いずれにも該当しない → 静観でOK
該当時の対応
当該期間(5月6日〜7日)にJDownloaderをインストールまたは更新した端末の隔離とフルスキャンを実施してください。公式サイトの安全性が確認されるまで、不審なインストーラーの実行を避けてください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】JDownloader利用に関する重要なお知らせ

お疲れさまです。情報システム担当です。
ファイルダウンロード管理ソフト「JDownloader」の公式サイトが一時的に改ざんされ、ウイルスが含まれたファイルが配布されていたことが判明しました。

ご協力をお願いしたいこと:
1. 5月6日〜7日の間にJDownloaderをインストール、または更新した方は、すぐに情報システム担当まで報告してください。
2. 会社支給のPCに許可なく外部ソフトをインストールしないよう、改めて徹底をお願いします。

対応期限: 本日中
Subject: [Security Alert] Important Notice Regarding JDownloader Usage

Dear employees,

It has been reported that the official website of the download manager "JDownloader" was temporarily compromised, distributing malware-infected installers.

Requested Actions:
1. If you installed or updated JDownloader between May 6th and 7th, please report it to the IT department immediately.
2. We remind all staff to refrain from installing unauthorized third-party software on company-issued devices.

Deadline: End of day today
件名: 【共有】JDownloader 公式サイト改ざんによるサプライチェーン攻撃への対応について

お疲れさまです。JDownloaderの公式サイトにおけるマルウェア配布に関する情報共有です。

■ 概要
2026年5月6日〜7日にかけて、JDownloader公式サイトが改ざんされ、Windows(Alternative Installer)およびLinux(shell installer)向けにPythonベースのRATが配布されました。これにより、感染端末の遠隔操作を許すリスクがあります。

■ 影響範囲
- 対象製品: JDownloader (Windows Alternative Installer, Linux shell installer)
- 影響期間: 2026年5月6日 〜 5月7日

■ 対応手順
1. ネットワークログを確認し、当該期間にJDownloader公式サイトからバイナリをダウンロードした端末を特定する。
2. 特定した端末をネットワークから隔離し、EDR/アンチウイルスソフトによるフルスキャンおよび不審なプロセスの調査を実施する。
3. 侵害が確認された場合は、インシデントレスポンス計画に基づき対応する。

■ 参考情報
- secaffairs 記事

対応優先度: 高
対応期限: 2026年5月15日
Subject: [Technical Alert] Supply Chain Attack via JDownloader Official Website

Dear Security Team,

This is a technical alert regarding a supply chain attack targeting JDownloader users.

■ Overview
Between May 6 and May 7, 2026, the official JDownloader website was compromised. Attackers replaced legitimate installers for Windows (Alternative Installer) and Linux (shell installer) with a Python-based Remote Access Trojan (RAT), enabling remote system control.

■ Scope
- Affected Software: JDownloader
- Affected Versions: Windows Alternative Installer, Linux shell installer
- Incident Window: May 6 – May 7, 2026

■ Mitigation Steps
1. Analyze network traffic logs to identify endpoints that downloaded binaries from the JDownloader site during the affected window.
2. Isolate identified endpoints and perform full system scans using EDR/AV tools to detect Python-based RAT signatures.
3. Initiate incident response protocols if signs of compromise are found.

■ Reference
- secaffairs report

Priority: High
Deadline: 2026-05-15
🔗 元の記事を読む
C
月内に

開発者やDevOps環境を標的とした新型のLinux RAT「Quasar Linux RAT (QLNX)」

脆弱性🌐 英語ソース
📅 2026-05-10📰 freebuf
📌 一言でいうと
開発者やDevOps環境を標的とした新型のLinux RAT「Quasar Linux RAT (QLNX)」が発見されました。このマルウェアはメモリ上で動作するファイルレス設計であり、eBPFを用いた活動隠蔽や、gccによるrootkitおよびPAMバックドアの動的コンパイルによる永続化を行います。認証情報の窃取、キーログ、ネットワークトンネル構築などの高度な機能を備えており、サプライチェーン攻撃のリスクを高める脅威です。
🔍該当判定
  • 社内でLinux OSを搭載したサーバーやPCを運用している
  • エンジニアが開発環境やDevOps環境(CI/CDツール等)をLinuxで構築している
  • Linuxサーバー上でgcc(コンパイラ)などの開発ツールをインストールして利用している
  • LinuxサーバーでSSHによるリモートアクセスや、Firefoxなどのブラウザを利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
1. /etc/ld.so.preload の不審な変更を監視する。2. 開発環境における gcc 等のコンパイラの利用権限を制限する。3. eBPFベースの監視ツールを導入し、異常なカーネルレベルの活動を検知する。4. PAMモジュールの整合性を定期的に確認する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Linux向け新型RAT「Quasar Linux RAT (QLNX)」への対応について

お疲れさまです。Linux環境を標的とした高度なマルウェアに関する情報共有です。

■ 概要
Quasar Linux RAT (QLNX) は、開発環境を標的としたファイルレスのRATです。memfd_createによるメモリ実行、eBPFによる隠蔽、およびgccを用いたPAMバックドア/rootkitの動的コンパイルによる永続化を特徴としています。認証情報窃取やキーログ、SOCKSプロキシ機能を有しており、極めて隠蔽性が高い攻撃です。

■ 影響範囲
- Linuxベースの開発サーバー、DevOps環境、CI/CDパイプライン

■ 対応手順
1. /etc/ld.so.preload ファイルに未知の共有オブジェクトが追加されていないか確認してください。
2. 開発サーバーにおいて、不審なプロセス(例: kworker/0:0 等を装うプロセス)の挙動を監視してください。
3. PAMモジュールの整合性チェックおよび、不審なrootkitの有無を確認してください。
4. 可能な限り、特権ユーザー以外によるコンパイラ(gcc等)の実行を制限してください。

■ 参考情報
- Freebufレポート: Quasar Linux RAT (QLNX)

対応優先度: 高
対応期限: 速やかに確認
Subject: [Security Alert] Quasar Linux RAT (QLNX) targeting Linux environments

Dear Team,

We are sharing intelligence regarding a sophisticated Linux-based malware called Quasar Linux RAT (QLNX).

■ Overview
QLNX is a fileless RAT specifically targeting developers and DevOps environments. It utilizes memfd_create for memory-resident execution and eBPF for evasion. Notably, it dynamically compiles PAM backdoors and rootkits using gcc on the target host and achieves persistence via /etc/ld.so.preload. It supports credential theft, keylogging, and network tunneling.

■ Scope
- Linux development servers, DevOps environments, and CI/CD pipelines.

■ Mitigation Steps
1. Audit /etc/ld.so.preload for any unauthorized shared object entries.
2. Monitor for suspicious processes masquerading as kernel threads (e.g., [kworker/0:0]).
3. Verify the integrity of PAM modules and check for rootkit indicators.
4. Restrict the use of compilers (e.g., gcc) to authorized users only.

■ Reference
- Freebuf Report: Quasar Linux RAT (QLNX)

Priority: High
Deadline: Immediate review
🔗 元の記事を読む