日本で広く利用されている学習管理システム(LMS)「KnowledgeDeliver」において、深刻なセキュリティ脆弱性(CVE-2026-5426)がゼロデイ攻撃に悪用され、攻撃者がGodzillaウェブシェルとCobalt Strike Beaconを展開していたことが明らかになりました。この事態は、多くの日本企業や教育機関が利用するシステムに潜在的な脅威をもたらし、迅速な対策が求められています。
日本で普及するLMS「KnowledgeDeliver」に深刻な脆弱性
今回標的となったのは、株式会社デジタル・ナレッジが提供する学習管理システム「KnowledgeDeliver」です。このシステムは、企業研修や大学のオンライン授業など、幅広い分野で活用されており、その脆弱性悪用は広範な影響を及ぼす可能性があります。
脆弱性(CVE-2026-5426)は、CVSSスコア7.5の高危険度と評価されており、認証なしでリモートからコードを実行される恐れがありました。この問題は、2026年2月24日以前にデプロイされたKnowledgeDeliverのバージョンに影響を与え、すでに修正パッチが提供されています。
脆弱性の根本原因:ハードコードされたASP.NETマシンキー
この脆弱性の核心は、KnowledgeDeliverのインストール時に使用されるweb.configファイルに、ハードコードされたASP.NETマシンキーが含まれていた点にあります。ASP.NETフレームワークは、ViewStateペイロードなどのデータを暗号化および署名するためにマシンキーを利用します。通常、このキーは各デプロイメントで一意であるべきですが、共通のキーが使われていたため、一つの環境からキーが漏洩すると、インターネットに公開されている他のKnowledgeDeliverインスタンスも同様に危険に晒されることになります。
Googleの脅威インテリジェンスグループ(GTIG)およびMandiantの報告によると、攻撃者はこの共通のマシンキーを悪用し、悪意のあるコードをLMSプラットフォームに注入して、サイトを訪れるユーザーを感染させることを目論んでいました。
攻撃の手口:ViewStateデシリアライゼーションからGodzilla、そしてCobalt Strikeへ
今回の攻撃は、ViewStateデシリアライゼーションという手法を悪用したものです。この攻撃は、ASP.NETアプリケーションの基本的な機能と、ハードコードされたマシンキーの組み合わせによって可能となりました。
ViewStateデシリアライゼーション攻撃の仕組み
ASP.NETのViewStateは、ウェブページのポストバック(ユーザーがフォームを送信するなどしてページがサーバーに再送信されること)間でページの状態を維持するために使用されるメカニズムです。ViewStateデータは通常、ページ内に隠しフィールドとして埋め込まれ、サーバー側でシリアライズ(データ構造をバイト列に変換)され、クライアント側でデシリアライズ(バイト列をデータ構造に戻す)されます。このプロセスには、マシンキーによる暗号化と署名が施され、データの整合性と機密性が保たれるはずです。
しかし、攻撃者が共通のマシンキーを知っている場合、彼らは悪意のあるViewStateペイロードを独自に作成できます。この不正なペイロードをHTTPリクエストの「__VIEWSTATE」パラメーターとして送信すると、サーバーはそれを正規のデータとして認識し、デシリアライズを試みます。このデシリアライゼーションの過程で、攻撃者が仕込んだ悪意のあるコードがサーバー上で実行されてしまうのです。
Godzillaウェブシェルの展開と権限昇格
CVE-2026-5426の悪用が確認された事例では、攻撃者はまずGodzilla(別名BLUEBEAM)ウェブシェルを展開しました。ウェブシェルとは、ウェブサーバーにアップロードされる悪意のあるスクリプトで、攻撃者にリモートからサーバーを操作する能力を与えます。Godzillaウェブシェルが導入されると、攻撃者はサーバー上で任意のコマンドを実行したり、追加のマルウェアを投下したりできるようになります。
実際に実行されたコマンドの中には、ウェブサーバーのファイルシステムに対する制御を強化する指示が含まれていました。具体的には、ウェブアプリケーションディレクトリに対して「Everyone」に完全なアクセス権を付与する操作が行われたと報じられています。これにより、攻撃者はサーバー内のファイルを自由に改変・操作できる状態を作り出しました。
偽のセキュリティ警告とCobalt Strikeの感染
ウェブサーバーへの完全なアクセス権を得た攻撃者は、次にアプリケーションのJavaScriptファイルを改ざんしました。この改ざんされたJavaScriptは、KnowledgeDeliverのサイトを訪れたユーザーに対して、偽のセキュリティ警告を表示するように仕向けられました。警告は、ユーザーに「セキュリティ認証プラグイン」のインストールを促すものでした。
これと並行して、攻撃者は不正なスクリプトを攻撃者自身が管理するドメインから密かにロードするように仕込みました。このスクリプトは、ユーザーに偽のインストーラーをダウンロードさせ、最終的にそのユーザーのコンピューターをCobalt Strike Beaconに感染させることを目的としていました。
Googleの分析によると、このペイロードは侵害された組織の名前を使って暗号化されており、攻撃者が特定の組織を標的として入念に準備していた可能性が示唆されています。Cobalt Strike Beaconは、高度な偵察、横展開、データ窃取、さらにはランサムウェア展開など、様々な後続攻撃に利用される強力なツールです。
過去の事例と共通の教訓:共有シークレットの危険性
今回のKnowledgeDeliverの脆弱性は、ASP.NETマシンキーの不適切な管理が引き起こした問題であり、過去にも同様の事例が報告されています。Microsoftは2025年2月に、脅威アクターによる公開されたASP.NETマシンキーの悪用について初めて文書化しています。また、Sitecore Experience Manager (XM) やGladinet CentreStack、TrioFoxといった他のシステムでも、同様の脆弱性が悪用されたケースが確認されています。
これらの事例が示す共通の教訓は、「共有シークレット」を使用することの危険性です。ベンダーが提供する展開テンプレートに共通のマシンキーなどのシークレットが含まれている場合、そのキーが一度でも漏洩すれば、そのキーを使用している全てのシステムが危険に晒されることになります。Googleは「単一の漏洩したキーが、インストールされているエコシステム全体を危険に晒す可能性がある」と強調し、この問題の深刻さを指摘しています。
特に、学習管理システムのような機密性の高い個人情報や学習データを取り扱うシステムにおいては、このようなセキュリティの甘さが致命的な結果を招きかねません。ユーザーの個人情報、成績、学習履歴などが漏洩するリスクだけでなく、システムが改ざんされ、マルウェア配布の温床となる可能性も考えられます。
企業が取るべき対策:ユニークなシークレットと堅牢な監視体制
今回のKnowledgeDeliverの事例は、組織がサイバーセキュリティ対策を見直す上で重要な警鐘となります。特に、ベンダーから提供されるシステムやテンプレートを利用する際には、以下の対策を徹底することが不可欠です。
- ユニークなマシンキーの設定: システム導入時には、ベンダー提供のデフォルト設定をそのまま利用せず、必ず各デプロイメントで一意となるマシンキーを設定することが最も重要です。これにより、一つの環境でキーが漏洩しても、他の環境への影響を限定できます。
- セキュリティパッチの迅速な適用: ベンダーから提供されるセキュリティパッチやアップデートは、速やかに適用することが必須です。今回の脆弱性も、パッチ適用前のシステムが狙われました。自動更新の仕組みを導入するか、定期的なパッチ適用プロセスを確立すべきです。
- 堅牢なエンドポイント監視の導入: サーバーやエンドポイントでの異常な挙動を検知するための監視システム(EDRなど)を導入し、不審なファイル作成、権限変更、外部との通信などをリアルタイムで監視することが重要です。これにより、攻撃の初期段階で異常を察知し、被害の拡大を防ぐことができます。
- ウェブアプリケーションファイアウォール(WAF)の活用: ViewStateデシリアライゼーション攻撃のようなウェブアプリケーション層の攻撃を検知・防御するために、WAFを導入することが有効です。
- 従業員へのセキュリティ教育: 偽のセキュリティ警告やフィッシング詐欺の手口に関する従業員への定期的な教育も欠かせません。不審なダウンロードやインストールの指示には従わないよう、意識を高める必要があります。
- 定期的なセキュリティ監査と脆弱性診断: 定期的にシステムのセキュリティ監査や脆弱性診断を実施し、潜在的なリスクを早期に発見・対処する体制を整えるべきです。
これらの対策を複合的に実施することで、組織はサイバー攻撃に対する防御力を高め、情報資産を保護することができます。
LMS利用企業への影響と今後の展望
KnowledgeDeliverのようなLMSは、教育コンテンツ、受講者の個人情報、学習進捗データなど、多岐にわたる機密情報を扱います。今回の脆弱性悪用は、これらの情報が攻撃者の手に渡るリスクを浮き彫りにしました。特に、標的型攻撃の可能性が示唆されていることから、特定の企業や組織が狙われた場合、その被害は甚大になる恐れがあります。
今後、LMSをはじめとするクラウドベースのサービスや、ベンダー提供のテンプレートを利用する際には、セキュリティ設定のデフォルト値に依存せず、常に最新の脅威動向を把握し、能動的なセキュリティ対策を講じることが、企業の責務として一層強く求められるでしょう。サプライチェーン全体のセキュリティ意識向上と、連携した対策が、デジタル社会における安全な運用を実現するための鍵となります。
よくある質問
KnowledgeDeliverの脆弱性(CVE-2026-5426)はすでに修正されている?
はい、この脆弱性に対する修正パッチはすでに提供されており、2026年2月24日以前のデプロイメントに影響を与えていました。利用中のシステムが最新の状態にアップデートされているか、ベンダーの指示に従って確認し、必要であれば速やかにパッチを適用することが重要です。
今回の攻撃で具体的にどのような情報が盗まれる可能性がある?
攻撃者はGodzillaウェブシェルを通じてサーバーを完全に制御し、その後Cobalt Strike Beaconをユーザーの端末に感染させています。これにより、サーバー上の学習コンテンツ、受講者の個人情報(氏名、メールアドレスなど)、学習履歴、さらにはユーザーのPC内の機密情報(認証情報、業務データなど)が窃取される可能性があります。また、システム改ざんによるマルウェア配布の踏み台にされるリスクも考えられます。
自社のKnowledgeDeliverが影響を受けているか確認する方法は?
まず、KnowledgeDeliverのバージョンが最新であり、セキュリティパッチが適用されているかを確認してください。次に、システムログやウェブサーバーのアクセスログを詳細に調査し、不審なアクセスやファイル改変の痕跡がないかを確認します。特に、web.configファイルのマシンキー設定がデフォルト値のままになっていないか、アプリケーションのJavaScriptファイルに不正なコードが注入されていないかなどを確認することが推奨されます。具体的な確認方法については、株式会社デジタル・ナレッジの公式情報を参照するか、専門のセキュリティベンダーに相談することを強くお勧めします。
