🔥 この日の重要情報
2026-05-10 更新

📋 本日の目次 (7件)

A
今日中悪用が確認されている深刻な問題
2件
B
今週中急ぎではないが早めに対応
4件
C
月内に計画的に対応すれば良い
1件
A
今日中

Security Affairsのニュースレター第576回では、複数の重大な脅威が報告されています

脆弱性🌐 英語ソース
🖥️ 製品WindowsiOSAndroid
🔢 CVECVE-2026-0073CVE-2026-23918CVE-2026-41940+2件
📅 Sun, 10 Ma📰 secaffairs
📌 一言でいうと
Security Affairsのニュースレター第576回では、複数の重大な脅威が報告されています。ステルス性と永続性を備えたLinux向けファイルレスインプラント「Quasar Linux RAT (QLNX)」や、Linuxの権限昇格脆弱性「Dirty Frag」の悪用が確認されました。また、Palo Alto PAN-OSのゼロデイ脆弱性を悪用した国家主導の攻撃や、Ivanti EPMMの脆弱性がCISAの既知の悪用済み脆弱性カタログに追加されたことが報じられています。
🔍該当判定
  • Palo Alto社の製品で『PAN-OS』を搭載したネットワーク機器を利用している
  • Ivanti社の『Endpoint Manager Mobile (EPMM)』を利用して端末管理をしている
  • Linuxサーバーを運用しており、特権昇格(権限奪取)の脆弱性対策が未完了である
  • Cisco社製のネットワーク機器を利用しており、最新のセキュリティパッチを適用していない
上記いずれにも該当しない → 静観でOK
該当時の対応
Linuxシステムの権限昇格脆弱性の監視、Palo Alto PAN-OSおよびIvanti EPMMの最新パッチ適用、サードパーティ製ソフトウェアのサプライチェーンリスク評価の実施。
📧注意喚起メール例
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Palo Alto PAN-OSおよびIvanti EPMM等の脆弱性対応について

お疲れさまです。複数の重要製品における脆弱性と脅威に関する情報共有です。

■ 概要
- Palo Alto PAN-OSにおいて、国家主導のアクターによるゼロデイ脆弱性の悪用が数週間にわたり確認されています。
- Ivanti Endpoint Manager Mobile (EPMM) の脆弱性がCISAのKnown Exploited Vulnerabilities (KEV) カタログに追加されました。
- Linux向けファイルレスRAT「Quasar Linux RAT (QLNX)」および権限昇格脆弱性「Dirty Frag」が報告されています。

■ 影響範囲
- Palo Alto PAN-OS 搭載デバイス
- Ivanti Endpoint Manager Mobile (EPMM)
- Linux OS サーバー

■ 対応手順
1. Palo AltoおよびIvantiの最新セキュリティパッチを適用し、バージョンを確認してください。
2. Linuxサーバーにおいて、不審なプロセスや権限昇格の兆候がないかログを確認してください。
3. CISA KEVカタログに基づき、優先的にパッチ適用を完了させてください。

■ 参考情報
- CISA Known Exploited Vulnerabilities Catalog
- 各ベンダー公式アドバイザリ

対応優先度: 高
対応期限: 速やかに
Subject: [Technical Alert] Vulnerabilities in Palo Alto PAN-OS, Ivanti EPMM, and Linux Systems

Dear Security Team,

This is a technical update regarding several critical vulnerabilities and threats reported in the latest security intelligence.

■ Overview
- Nation-state actors have been exploiting a zero-day vulnerability in Palo Alto PAN-OS for several weeks.
- A flaw in Ivanti Endpoint Manager Mobile (EPMM) has been added to CISA's Known Exploited Vulnerabilities (KEV) catalog.
- New Linux threats have emerged, including the 'Quasar Linux RAT (QLNX)' fileless implant and the 'Dirty Frag' privilege escalation vulnerability.

■ Scope
- Palo Alto PAN-OS devices
- Ivanti Endpoint Manager Mobile (EPMM)
- Linux-based server environments

■ Action Plan
1. Immediately apply the latest security patches for Palo Alto PAN-OS and Ivanti EPMM.
2. Audit Linux systems for signs of privilege escalation or unauthorized fileless implants.
3. Prioritize remediation based on the CISA KEV catalog guidelines.

■ Reference
- CISA KEV Catalog
- Official Vendor Advisories

Priority: High
Deadline: Immediate
🔗 元の記事を読む
A
今日中

OllamaのGGUFモデルローダーに、リモートの未認証攻撃者がプロセスメモリを漏洩させることができるヒープ境界外読み取りの脆弱性(Bleeding…

脆弱性🌐 英語ソース🏢 他社事案
🖥️ 製品WindowsmacOSAndroid
🔢 CVECVE-2026-23918CVE-2026-42248CVE-2026-42249+1件
📅 Sun, 10 Ma📰 hackernews
📌 一言でいうと
OllamaのGGUFモデルローダーに、リモートの未認証攻撃者がプロセスメモリを漏洩させることができるヒープ境界外読み取りの脆弱性(Bleeding Llama)が発見されました。この脆弱性はCVE-2026-7482として追跡され、CVSSスコアは9.1と非常に高く評価されています。攻撃者は細工したGGUFファイルを/api/createエンドポイントに送信することで、サーバーのメモリ内容を読み取ることが可能です。バージョン0.17.1以降へのアップデートで修正されます。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🔍該当判定
  • 自社サーバーやPCで「Ollama」をインストールして利用している
  • Ollamaのバージョンが 0.17.1 より古い
  • Ollamaを外部(インターネット)からアクセス可能な状態で公開している
上記いずれにも該当しない → 静観でOK
該当時の対応
Ollamaを最新バージョン(0.17.1以降)にアップデートしてください。また、信頼できないソースからのモデルファイルのアップロードを制限するネットワーク制限を検討してください。
📧注意喚起メール例
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Ollama CVE-2026-7482 (Bleeding Llama) 対応について

お疲れさまです。Ollamaの深刻な脆弱性に関する情報共有です。

■ 概要
OllamaのGGUFモデルローダーにおいて、ヒープ境界外読み取りの脆弱性が発見されました(CVE-2026-7482)。リモートの未認証攻撃者が細工したGGUFファイルを送信することで、プロセスメモリの内容を漏洩させることが可能です。CVSSスコアは9.1と極めて高く、機密情報の流出リスクがあります。

■ 影響範囲
- 対象製品: Ollama
- 対象バージョン: 0.17.1 未満

■ 対応手順
1. 稼働中のOllamaサーバーのバージョンを確認してください。
2. 最新バージョン(0.17.1以降)へ速やかにアップデートを適用してください。
3. 外部から /api/create エンドポイントへのアクセスが制限されているか確認してください。

■ 参考情報
- CVE-2026-7482
- Cyera (Bleeding Llama)

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Ollama CVE-2026-7482 (Bleeding Llama) Mitigation

Dear IT/Security Team,

We are sharing critical information regarding a vulnerability in Ollama.

■ Overview
A heap out-of-bounds read vulnerability, codenamed 'Bleeding Llama' (CVE-2026-7482), has been identified in the GGUF model loader. This flaw allows a remote, unauthenticated attacker to leak process memory by sending a malicious GGUF file to the /api/create endpoint. The CVSS score is 9.1, indicating a critical risk of data exposure.

■ Scope
- Product: Ollama
- Affected Versions: Prior to 0.17.1

■ Mitigation Steps
1. Verify the current version of Ollama running in your environment.
2. Immediately update to version 0.17.1 or later.
3. Review network access controls to ensure the /api/create endpoint is not exposed to untrusted sources.

■ Reference
- CVE-2026-7482
- Cyera (Bleeding Llama)

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

cPanel & WHMにおいて、任意のファイル読み取り、リモートコード実行(RCE)、および権限昇格を可能にする3つの脆弱性が修正されました

脆弱性🌐 英語ソース
🖥️ 製品WindowsCentOSASA
🔢 CVECVE-2026-29201CVE-2026-29202CVE-2026-29203+1件
📅 Sun, 10 Ma📰 secaffairs
📌 一言でいうと
cPanel & WHMにおいて、任意のファイル読み取り、リモートコード実行(RCE)、および権限昇格を可能にする3つの脆弱性が修正されました。特にCVE-2026-29202とCVE-2026-29203はCVSSスコア8.8と高く、認証済み攻撃者がPerlコードを実行したり、不適切なシンボリックリンク処理を通じてファイル権限を変更したりすることが可能です。現時点で悪用の報告はありませんが、迅速なアップデートが推奨されます。
🔍該当判定
  • 自社で「cPanel」または「WHM」をサーバー管理ツールとして導入している
  • レンタルサーバー等で「cPanel」の管理画面を利用している
  • サーバー上のユーザー管理に「cPanel」のAPI(create_user等)を利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
cPanel & WHMの最新セキュリティアップデートを適用し、脆弱性を修正してください。
📧注意喚起メール例
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】cPanel & WHM 脆弱性(CVE-2026-29201, 29202, 29203)対応について

お疲れさまです。cPanel & WHMの脆弱性に関する情報共有です。

■ 概要
cPanel & WHMにおいて、ファイル読み取り、リモートコード実行(RCE)、および権限昇格を可能にする3つの脆弱性が公開されました。特にRCEおよび権限昇格に関する2件はCVSS 8.8と極めて高いリスクとなっています。

- CVE-2026-29201 (CVSS 4.3): 任意のファイル読み取り
- CVE-2026-29202 (CVSS 8.8): 認証済みユーザーによるPerlコードの実行
- CVE-2026-29203 (CVSS 8.8): 不適切なシンボリックリンク処理によるファイル権限変更

■ 影響範囲
- cPanel & WHM

■ 対応手順
1. cPanel & WHMの管理画面またはコマンドラインから最新バージョンへのアップデートを確認してください。
2. 最新のセキュリティパッチを適用し、サーバーを再起動して設定を反映させてください。

■ 参考情報
- cPanel公式セキュリティアドバイザリ

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] cPanel & WHM Vulnerabilities (CVE-2026-29201, 29202, 29203)

Hi team,

This is a notification regarding critical vulnerabilities discovered in cPanel & WHM.

■ Overview
Three vulnerabilities have been patched that could allow arbitrary file access, remote code execution (RCE), and privilege escalation. Two of these flaws carry a high CVSS score of 8.8.

- CVE-2026-29201 (CVSS 4.3): Arbitrary file read via input validation issue.
- CVE-2026-29202 (CVSS 8.8): RCE via improper validation of the plugin parameter in create_user API.
- CVE-2026-29203 (CVSS 8.8): Privilege escalation/DoS via unsafe symlink handling.

■ Scope
- cPanel & WHM

■ Mitigation Steps
1. Check for the latest security updates via the cPanel & WHM administrative interface or CLI.
2. Apply the latest patches immediately to mitigate the risk of exploitation.

■ Reference
- Official cPanel Security Advisory

Priority: High
Deadline: Immediate
🔗 元の記事を読む
B
今週中

ドイツ当局が、犯罪マーケットプレイス「Crimenetwork」の再起動版を閉鎖し、管理者を逮捕しました

事案🌐 英語ソース
🖥️ 製品OperaOfficeLINE
📅 Sun, 10 Ma📰 bleeping
📌 一言でいうと
ドイツ当局が、犯罪マーケットプレイス「Crimenetwork」の再起動版を閉鎖し、管理者を逮捕しました。このプラットフォームは2012年から運営されており、盗まれたデータや違法サービスの販売が行われていました。一度は閉鎖されましたが、すぐに新インフラで再開されたため、スペインで35歳のドイツ人男性が逮捕されました。
🔍該当判定
  • Crimenetworkという名称のサイトやサービスを利用したことがある
  • ダークウェブ上のマーケットプレイスからデータやツールを購入したことがある
  • 自社の機密情報や顧客名簿が、Crimenetworkなどの犯罪市場で販売されていた形跡がある
上記いずれにも該当しない → 静観でOK
該当時の対応
ダークウェブ上のデータ漏洩状況を継続的に監視し、漏洩した認証情報がないか確認することを推奨します。
📧注意喚起メール例
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】犯罪マーケットプレイス「Crimenetwork」閉鎖について

お疲れさまです。Crimenetworkの閉鎖に関する情報共有です。

■ 概要
ドイツ当局が、盗まれたデータや違法サービスの取引プラットフォームである「Crimenetwork」の再起動版を閉鎖し、管理者を逮捕しました。本プラットフォームは10万人以上のユーザーを抱えていた大規模なマーケットプレイスです。

■ 影響範囲
- ダークウェブ上のデータ取引エコシステム
- 漏洩データが販売されていた可能性のある組織

■ 対応手順
1. 自社に関連する機密情報や認証情報がダークウェブ上で流通していないか、監視サービスのログを確認してください。
2. 漏洩が疑われる場合は、速やかにパスワードリセット等の対応を実施してください。

■ 参考情報
- BleepingComputer 記事

対応優先度: 低
対応期限: 随時
Subject: [Info] Shutdown of Crimenetwork Criminal Marketplace

Dear team,

This is an information share regarding the shutdown of the 'Crimenetwork' marketplace.

■ Overview
German authorities have dismantled a rebooted version of the Crimenetwork marketplace and arrested its operator. The platform was a major hub for selling stolen data and illegal services, with over 100,000 registered users.

■ Scope
- Dark web data trading ecosystem
- Organizations whose data may have been traded on the platform

■ Action Items
1. Review dark web monitoring logs to ensure no corporate credentials or sensitive data have been leaked via this marketplace.
2. Initiate password resets or credential rotations if any leaks are identified.

■ Reference
- BleepingComputer article

Priority: Low
Deadline: Ongoing
🔗 元の記事を読む
B
今週中

JDownloaderの公式サイトが改ざんされ、WindowsおよびLinux向けの悪意あるインストーラーが配布されていました

脆弱性🌐 英語ソース📰 4記事
🖥️ 製品WindowsmacOSiOS
📅 Sat, 09 Ma📰 bleeping
📌 一言でいうと
JDownloaderの公式サイトが改ざんされ、WindowsおよびLinux向けの悪意あるインストーラーが配布されていました。2026年5月6日から7日の間に、公式サイトの「Download Alternative Installer」またはLinuxシェルインストーラーを利用したユーザーが影響を受けます。Windows版のペイロードにはPythonベースのリモートアクセストロイ(RAT)が含まれており、攻撃者がシステムを遠隔操作する可能性があります。
🔍該当判定
  • 2026年5月6日〜7日の間に、JDownloaderの公式サイトからWindows用インストーラーをダウンロードした
  • 2026年5月6日〜7日の間に、JDownloaderの公式サイトからLinux用シェルインストーラーをダウンロードした
  • 社内でJDownloader(ダウンロード管理ソフト)を業務利用しているPCがある
上記いずれにも該当しない → 静観でOK
該当時の対応
2026年5月6日から7日の間にJDownloaderをインストールまたは更新したユーザーは、直ちにアンインストールし、フルスキャンを実施してください。正規のインストーラーは公式サイトの安全が確認された後に再取得してください。
📧注意喚起メール例
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ダウンロード管理ソフト「JDownloader」の不正利用について

お疲れさまです。情報システム担当です。
人気のダウンロード管理ソフト「JDownloader」の公式サイトが一時的に改ざんされ、ウイルスが含まれたファイルが配布されていたことが判明しました。

ご協力をお願いしたいこと:
1. 5月6日〜7日の間にJDownloaderをインストール、または更新した方は、すぐにソフトをアンインストールしてください。
2. ウイルス対策ソフトでPCのフルスキャンを実行してください。
3. 業務外のソフトウェアを社内PCにインストールすることは原則禁止されています。必要な場合は必ず申請してください。

対応期限: 本日中
Subject: [Security Alert] Malicious Installers on JDownloader Website

Hi everyone,
It has been reported that the official website for the JDownloader download manager was compromised, distributing malware-infected installers.

What you need to do:
1. If you installed or updated JDownloader between May 6 and May 7, please uninstall the software immediately.
2. Run a full system scan using your antivirus software.
3. Please remember that installing unauthorized software on company devices is prohibited. Always request approval via the IT portal.

Deadline: Immediate
件名: 【共有】JDownloader 公式サイト改ざんによるサプライチェーン攻撃への対応について

お疲れさまです。JDownloaderの公式サイトにおけるサプライチェーン攻撃に関する情報共有です。

■ 概要
JDownloaderの公式サイトが改ざんされ、2026年5月6日〜7日の期間、WindowsおよびLinux向けにPythonベースのRAT(Remote Access Trojan)を含む悪意あるインストーラーが配布されていました。攻撃者は公式サイトのダウンロードリンクを第三者の悪意あるサーバーへリダイレクトさせていました。

■ 影響範囲
- 対象製品: JDownloader (Windows Alternative Installer, Linux shell installer)
- 影響期間: 2026年5月6日 〜 5月7日

■ 対応手順
1. ネットワークログを確認し、当該期間中にJDownloaderの配布サーバーへアクセスした端末を特定する。
2. 該当端末において、不審なPythonプロセスの動作や外部C2通信がないか確認する。
3. 感染が疑われる場合は、端末を隔離し、フォレンジック調査およびクリーンインストールを実施する。

■ 参考情報
- BleepingComputer 記事

対応優先度: 高
対応期限: 2026年5月12日
Subject: [Technical Alert] Supply Chain Attack via JDownloader Official Website

Dear Security Team,

This is a notification regarding a supply chain attack targeting JDownloader users.

■ Overview
The official JDownloader website was compromised between May 6 and May 7, 2026. Attackers replaced legitimate download links for the Windows "Alternative Installer" and Linux shell installer with malicious payloads. The Windows payload deploys a Python-based Remote Access Trojan (RAT).

■ Scope
- Affected Software: JDownloader
- Affected Versions: Installers downloaded between May 6 and May 7, 2026

■ Mitigation Steps
1. Review proxy/DNS logs to identify endpoints that downloaded installers from JDownloader domains during the affected window.
2. Inspect identified endpoints for unauthorized Python processes or suspicious outbound network connections.
3. Isolate infected hosts and perform a full remediation/re-image.

■ Reference
- BleepingComputer report

Priority: High
Deadline: 2026-05-12
🔗 元の記事を読む
B
今週中

Linuxカーネルにおける致命的なローカル権限昇格(LPE)脆弱性「Dirty Frag」

脆弱性🌐 英語ソース
🖥️ 製品UbuntuRHELCentOS
📅 Fri, 08 Ma📰 freebuf
📌 一言でいうと
Linuxカーネルにおける致命的なローカル権限昇格(LPE)脆弱性「Dirty Frag」が公開されました。この脆弱性は、xfrm-ESPおよびRxRPCモジュールの不備を利用して読み取り専用ファイルのページキャッシュを改ざんし、root権限を奪取するものです。ほぼ全ての主要なLinuxディストリビューションが影響を受け、PoCが公開されているため、攻撃成功率が非常に高いとされています。
🔍該当判定
  • 社内で Linux サーバー(Ubuntu, CentOS, Debian 等)を運用している
  • Linux サーバーに、管理者以外の一般ユーザーアカウントを作成して利用させている
  • 外部の人間がログイン可能な Linux サーバー(踏み台サーバーや開発環境など)を公開している
上記いずれにも該当しない(Windowsのみ利用、またはLinuxをroot権限のみで運用し一般ユーザーを一切作成していない) → 静観でOK
該当時の対応
公式パッチがリリースされるまで、不要な場合は xfrm-ESP および RxRPC カーネルモジュールを無効化することを検討してください。
📧注意喚起メール例
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Linuxカーネルにおける致命的な権限昇格脆弱性「Dirty Frag」への対応について

お疲れさまです。Linuxカーネルに影響する深刻な権限昇格脆弱性「Dirty Frag」に関する情報共有です。

■ 概要
Linuxカーネルのネットワークバッファ(sk_buff)管理の不備を突き、読み取り専用ファイルのページキャッシュを改ざんすることで、一般ユーザーからroot権限へ昇格させる脆弱性です。競争状態(Race Condition)を必要とせず、成功率が極めて高いのが特徴です。

■ 影響範囲
- ほぼ全ての主要なLinuxディストリビューション(Ubuntu等を含む)
- 影響を受けるモジュール: xfrm-ESP (esp4/esp6), RxRPC

■ 対応手順
1. 公式のCVE番号およびベンダーパッチのリリースを監視してください。
2. 暫定的な緩和策として、不要な環境では以下のカーネルモジュールのロードを禁止することを検討してください。
- modprobe -r xfrm_user (環境により異なる)
- RxRPC 関連モジュールの無効化

■ 参考情報
- 脆弱性名称: Dirty Frag
- 発見者: Hyunwoo Kim (@v4bel)

対応優先度: 高
対応期限: パッチ適用まで至急の監視を推奨
Subject: [Urgent] Critical Linux Kernel LPE Vulnerability "Dirty Frag"

Dear IT Security Team,

We are sharing information regarding a critical local privilege escalation (LPE) vulnerability chain discovered in the Linux kernel, dubbed "Dirty Frag."

■ Overview
Dirty Frag allows a local user to gain root privileges by exploiting the page cache management of sk_buff fragments in the xfrm-ESP and RxRPC modules. Unlike many LPEs, it does not rely on race conditions, resulting in a near 100% success rate.

■ Scope
- Nearly all major Linux distributions.
- Affected components: xfrm-ESP (esp4/esp6) and RxRPC modules.

■ Mitigation Steps
1. Monitor official vendor advisories for CVE assignments and security patches.
2. As a temporary workaround, consider disabling the affected kernel modules if they are not required for your operations.

■ Reference
- Vulnerability Name: Dirty Frag
- Researcher: Hyunwoo Kim (@v4bel)

Priority: High
Deadline: Immediate monitoring and patching upon release.
🔗 元の記事を読む
C
月内に

開発者やDevOps環境を標的とした新型のLinux RAT「Quasar Linux RAT (QLNX)」

脆弱性🌐 英語ソース📰 2記事
🖥️ 製品FirefoxsystemdASA
📅 Sat, 09 Ma📰 freebuf
📌 一言でいうと
開発者やDevOps環境を標的とした新型のLinux RAT「Quasar Linux RAT (QLNX)」が発見されました。このマルウェアはメモリ上で動作するファイルレス設計であり、eBPFを用いた活動隠蔽や、gccによるrootkitおよびPAMバックドアの動的コンパイルによる永続化を行います。認証情報の窃取、キーログ、ネットワークトンネル構築などの高度な機能を備えており、サプライチェーン攻撃のリスクを高める脅威です。
🔍該当判定
  • 社内でLinux OSを搭載したサーバーやPCを運用している
  • エンジニアが開発環境やDevOps環境(CI/CDツール等)をLinuxで構築している
  • Linuxサーバー上でgcc(コンパイラ)などの開発ツールをインストールして利用している
  • LinuxサーバーでSSHによるリモートアクセスや、Firefoxなどのブラウザを利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
1. /etc/ld.so.preload の不審な変更を監視する。2. 開発環境における gcc 等のコンパイラの利用権限を制限する。3. eBPFベースの監視ツールを導入し、異常なカーネルレベルの活動を検知する。4. PAMモジュールの整合性を定期的に確認する。
📧注意喚起メール例
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Linux向け新型RAT「Quasar Linux RAT (QLNX)」への対応について

お疲れさまです。Linux環境を標的とした高度なマルウェアに関する情報共有です。

■ 概要
Quasar Linux RAT (QLNX) は、開発環境を標的としたファイルレスのRATです。memfd_createによるメモリ実行、eBPFによる隠蔽、およびgccを用いたPAMバックドア/rootkitの動的コンパイルによる永続化を特徴としています。認証情報窃取やキーログ、SOCKSプロキシ機能を有しており、極めて隠蔽性が高い攻撃です。

■ 影響範囲
- Linuxベースの開発サーバー、DevOps環境、CI/CDパイプライン

■ 対応手順
1. /etc/ld.so.preload ファイルに未知の共有オブジェクトが追加されていないか確認してください。
2. 開発サーバーにおいて、不審なプロセス(例: kworker/0:0 等を装うプロセス)の挙動を監視してください。
3. PAMモジュールの整合性チェックおよび、不審なrootkitの有無を確認してください。
4. 可能な限り、特権ユーザー以外によるコンパイラ(gcc等)の実行を制限してください。

■ 参考情報
- Freebufレポート: Quasar Linux RAT (QLNX)

対応優先度: 高
対応期限: 速やかに確認
Subject: [Security Alert] Quasar Linux RAT (QLNX) targeting Linux environments

Dear Team,

We are sharing intelligence regarding a sophisticated Linux-based malware called Quasar Linux RAT (QLNX).

■ Overview
QLNX is a fileless RAT specifically targeting developers and DevOps environments. It utilizes memfd_create for memory-resident execution and eBPF for evasion. Notably, it dynamically compiles PAM backdoors and rootkits using gcc on the target host and achieves persistence via /etc/ld.so.preload. It supports credential theft, keylogging, and network tunneling.

■ Scope
- Linux development servers, DevOps environments, and CI/CD pipelines.

■ Mitigation Steps
1. Audit /etc/ld.so.preload for any unauthorized shared object entries.
2. Monitor for suspicious processes masquerading as kernel threads (e.g., [kworker/0:0]).
3. Verify the integrity of PAM modules and check for rootkit indicators.
4. Restrict the use of compilers (e.g., gcc) to authorized users only.

■ Reference
- Freebuf Report: Quasar Linux RAT (QLNX)

Priority: High
Deadline: Immediate review
🔗 元の記事を読む