2026/02/10 0:11

スリーパー・シェル：攻撃者がIvanti EPMMに休眠バックドアを埋め込む

RSS: https://news.ycombinator.com/rss

要約▶

日本語訳:

概要
Ivanti Endpoint Manager Mobile（EPMM）は、2026年2月4日に開始された高度に洗練された休眠型悪用キャンペーンの標的となっています。攻撃者はBase64でエンコードされたJavaクラス（

base.Info

）をデプロイし、隠れたHTTPパラメータ経由で第二段階ペイロードを読み込み、ディスクにファイルを書き込まずに実行します。このため従来のウェブシェルスキャナーでは検知が難しく、インプットベースのウェブシェルは発見されませんでした。
Ivantiはすでに認証バイパスとリモートコード実行を可能にする2つの重大CVEs（CVE‑2026‑1281およびCVE‑2026‑1340）のパッチを公開しています。現在のローダーは、他の高度な永続的脅威オペレーションで使用される初期アクセスブローカーの戦術と同様です。休眠状態のローダーが後にアクティベートされると、システムを完全に乗っ取り、被害者のアカウントを他の対立勢力へ渡す可能性があります。

EPMMを使用している企業は直ちにパッチ適用し、影響を受けたサーバーを再起動し、以下の指標（

/mifs/403.jsp

リクエスト、Base64パラメータが

yv66vg

で始まるもの、パラメータ名

k0f53cf964d387

、レスポンスマーカー

3cd3d/e60537

）を積極的に追跡調査する必要があります。行動しないと静かなるデータ漏洩、システム乗っ取り、および業界全体への拡散リスクが高まります。

ネットワークIOCs（分析から抽出）は以下のIPアドレスです：

Datacamp Limited (AS212238)
AT&T Enterprises (AS7018)
NTT America (AS2914)
HOSTINGFOREX S.A. (AS265645)
UK Dedicated Servers Ltd (AS42831)
T‑Mobile USA (AS21928)
LeaseWeb Netherlands B.V. (AS60781)
SPCom s.r.o. (AS204383)
Hydra Communications Ltd (AS25369)
Liberty Global Europe Holding B.V. (AS6830)

base.Info

クラスはVirusTotal の Nextron Systems THOR APT Scanner によって汎用JSPウェブシェルとしてフラグ付けされましたが、従来のAVエンジンはそのインメモリ特性により大部分を検出できませんでした。このキャンペーンは、未公開JSPパスと休眠型インメモリローダーを用いた高度な事後悪用技術を示し、検知を回避する静かなる侵害の危険性を強調しています。

Ivanti EPMM を稼働させている組織は、能動的な悪用が起きるまで待つべきではありません。パッチ適用・再起動・積極的な指標追跡調査を実施し、潜在的なIABハンドオフのリスクを軽減する必要があります。

本文

Ivanti Endpoint Manager Mobile（EPMM）の脆弱性公開以降、悪用は継続的に行われている

これは必ずしも新しい情報ではありません。政府機関を含む主要な組織はすでにこのベクトルで侵害されており、我々はさらに進化する新たな攻撃波を追跡しています。

2026年2月4日、以前の大量悪用とは異なるパターンで、テレメトリ全体にわたり調整されたキャンペーンが開始されました。
従来想定される「掴み取ってすぐに離れる」手法（既存のウェブシェルを落とし、ReconやEnumerationコマンドを実行する）ではなく、このオペレーターはより計画的な動きを取りました。具体的にはペイロードをアップロードし、それが正しく受け取られたことを確認した後に離脱しました。コマンドの実行は一切行われず、インプラントはそのまま残されていました。

重要ポイント

このキャンペーンでは、非アクティブな in‑memory Java クラスローダーを /mifs/403.jsp にデプロイしました。これはあまり一般的でないウェブシェルパスです。このインプラントは特定のトリガーパラメータでのみ起動し、まだフォローアップ攻撃は観測されていません。初期アクセス仲介者（IAB）による典型的な取引術を示唆しています：まず足場を築き、後から販売または譲渡します。

Ivanti が公開した脆弱性 CVE-2026‑1281 と CVE-2026‑1340 はともに認証バイパスとリモートコード実行を含み、異なるパッケージ（

aftstore

と

appstore

）に影響します。実際の結果は同じで、アプリケーションレベルのエンドポイントへの未認証アクセスです。Ivanti はセキュリティアドバイザリを通じてパッチ情報を公開し、野外ではすぐに悪用が始まりました。

初期段階の活動はほぼ予測可能でした：機会的スキャン、大量悪用、および標準ウェブシェルの落下です。

403.jsp キャンペーン

このキャンペーンのすべてのエクスプロイトは、パス /mifs/403.jsp にウェブシェルを落としました。
このパス自体は新しいものではなく、以前にIvantiやMobileIronインフラが標的になった際に同様のJSPベースウェブシェルとともに観測されていました。

本当に注目すべきはペイロードが配置された場所ではなく、そこに到達した後に何を行うかです。従来型のウェブシェルを展開してインタラクティブなコマンド実行を提供する代わりに、オペレーターはHTTPパラメータ経由でBase64エンコードされたJavaクラスファイルを配信しました。このペイロードは

CAFEBABE

ヘッダーで識別される有効なJavaバイトコードで、非アクティブな in‑memory クラスローダーとして機能します。すぐに利用可能なバックドアではありません。

Inside base.Info – In‑Memory ローダー

ペイロードはコンパイル済みの Java クラス

base.Info

（ソースファイル

Info.java

）です。従来のウェブシェルとは異なり、コマンド実行やファイルアクセスなどのインタラクティブ機能はありません。これはステージローダーであり、後から HTTP 経由で配信される第二段階 Java クラスを受け取り、ロードし、実行することだけが目的です。

動作原理

```
equals(Object)
```
をエントリポイントとして使用します。標準の Servlet ハンドラメソッド（
```
doGet
```
,
```
doPost
```
）はセキュリティツールにフラグされやすいため、意図的にこの方法を採用しています。
```
parseObj
```
メソッドは引数から
```
HttpServletRequest
```
と
```
HttpServletResponse
```
を抽出し、
```
PageContext
```
オブジェクトや各種 Servlet ラッパー/ファサードパターンにも対応できるようフォールバックロジックを実装しています。これにより、異なるコンテナ環境でもポータブルです。
実行時に
```
k0f53cf964d387
```
という名前の HTTP パラメータがあるか確認します。存在すれば値から2文字のプレフィックスを削除し、残りを Base64 デコードして生バイト列に変換します。その後、反射呼び出し
```
ClassLoader#defineClass
```
を介してメモリ上に Java クラスとしてロードします。ディスクへの書き込みは一切行いません。
生成されたクラスはホスト情報を含む文字列引数でインスタンス化され、その
```
toString()
```
出力が HTTP 応答として返されます。応答本文は固定デリミタ（
```
3cd3d
```
/
```
e60537
```
）で囲まれ、テキスト/HTML として配信されるため、自動化ツールが簡単に解析できます。
Base64 処理には Java 8+ の
```
java.util.Base64
```
と旧版 JVM 用の
```
sun.misc.BASE64Decoder
```
両方をサポートし、古い JVM と新しい JVM で互換性があります。

ホストフィンガープリンティング

第二段階クラスを呼び出す前に、ローダーは環境情報（作業ディレクトリ

user.dir

、ファイルシステムのルートパス（Windows のドライブ文字、Unix では

）、OS 名、実行ユーザー名）を取得し、第二段階クラスへのコンストラクタ引数として渡します。これは後でオペレーターがターゲット環境に適応する際に役立ちます。

観測できなかった点

防御上最も重要なのはここです。観測されたすべてのテレメトリでは、ローダーはデプロイされ機能確認済みでしたが、第二段階クラスをトリガーパラメータに供給するフォローアップ要求は一切見られませんでした。アクセスは確立した後で休止状態になっています。これは初期アクセス仲介者（IAB）活動と一致します。

ツールは汎用的かつコンテナ非依存で設計されており、特定のポストエクスプロイトタスクを実行するわけではありません。オペレーターは大量にデプロイし、機能確認後に離脱しました。目的は、確立されたアクセスを別の当事者へハンドオフまたは販売するためにパッケージ化することです。その結果、初期侵入と実際の使用との間にギャップが生じ、テレメトリ上では静寂になります。

検出すべきポイント

Ivanti EPMM を運用している場合、以下のいずれかの活動を検知したら、侵害または試みの証拠として扱うべきです。フォローアップ攻撃がなくても警戒が必要です。

直ちに取るべき行動

Ivanti のベンダー指示に従い、EPMM をすぐにパッチ適用してください。
インプラントはディスクに触れないため、影響を受けたアプリケーションサーバーを再起動して in‑memory インジェクトをクリアします。
以下のインジケータでアクセスログを精査してください。

ログインジケータ

指標	説明
`/mifs/403.jsp` へのリクエスト	このパスに対する全てのリクエスト
`yv66vg` で始まる Base64 パラメータ	`CAFEBABE` の Java マジックバイトを Base64 エンコードしたもの
`k0f53cf964d387` というパラメータ名	ローダーが使用するトリガーパラメータ
応答本文に含まれる `3cd3d` または `e60537`	ローダーの応答デリミタ
`ERROR://` を含むレスポンス	エラー形式のローダー出力

インジケータ・オブ・コンプロマイズ（IOCs）

アーティファクト
- フィールド: 値 – クラス名
```
base.Info
```
  , ソースファイル
```
Info.java
```
  , SHA‑256
```
097b051c9c9138ada0d2a9fb4dfe463d358299d4bd0e81a1db2f69f32578747a
```

ネットワーク IOCs

IP アドレス	組織	ASN	国
104.219.171.96	Datacamp Limited	AS212238	🇺🇸
108.64.229.100	AT&T Enterprises, LLC	AS7018	🇺🇸
115.167.65.16	NTT America, Inc.	AS2914	🇺🇸
138.36.92.162	HOSTINGFOREX S.A.	AS265645	🇺🇸
146.103.53.35	Datacamp Limited	AS212238	🇺🇸
148.135.183.63	Datacamp Limited	AS212238	🇺🇸
151.247.221.59	Datacamp Limited	AS212238	🇺🇸
166.0.83.171	UK Dedicated Servers Limited	AS42831	🇬🇧
172.59.92.152	T-Mobile USA, Inc.	AS21928	🇺🇸
185.240.120.91	Datacamp Limited	AS212238	🇺🇸
185.239.140.40	Datacamp Limited	AS212238	🇪🇸
194.35.226.128	LeaseWeb Netherlands B.V.	AS60781	🇳🇱
193.41.68.58	LeaseWeb Netherlands B.V.	AS60781	🇳🇱
77.78.79.243	SPCom s.r.o.	AS204383	🇨🇿
62.84.168.208	Hydra Communications Ltd	AS25369	🇬🇧
45.66.95.235	Hydra Communications Ltd	AS25369	🇬🇧
46.34.44.66	Liberty Global Europe Holding B.V.	AS6830	🇳🇱

（追加 IOCs は Defused テレメトリにて入手可能です）

第三者検知

base.Info

クラスは VirusTotal に提出され、Nextron Systems の THOR APT Scanner から一般的な JSP ウェブシェル特性規則でヒットしました。従来の AV エンジンはディスクに触れないためほとんど検知できませんが、ヒューリスティックエンジンは in‑memory クラスローダーとしての挙動を正しく識別します。VirusTotal のエントリーはこちらで確認できます。

静かな攻撃こそ最悪

インシデントレスポンスでは、ランサムウェア発火や大量データ流出、横方向移動の嵐といった「騒がしい」侵害を優先しがちです。しかし、このキャンペーンは何も起きていない（まだ）最も危険な侵入例であることを思い出させます。未公開 JSP パス、in‑memory Java ローダー、および休止状態の実行トリガーは、エンタープライズモビリティインフラに対するポストエクスプロイト手法として大きな進化を示しています。オペレーターが即時破壊ではなく在庫作りを目的とする場合、通常の緊急サインは消え、実際に危険なのはその静寂です。

Ivanti EPMM を運用しているなら、第二幕を待つ必要はありません。パッチ適用・再起動・ハンティングを徹底してください。ローダーは忍耐強く待っていますが、あなたもそうする必要はありません。

上記の技術分析の一部は AI が支援しています。

同じ日のほかのニュース

一覧に戻る →

2026/02/09 23:37

ディスコードは、来月から完全な利用権を得るために顔スキャンまたは本人確認書類（ID）の提出を求めるようになるそうです。

## Japanese Translation: Discord は、すべてのアカウントを「ティーン向け」設定にデフォルト化し、ユーザーが成人であることを証明しない限りは実行される世界規模の年齢確認システムを導入しています。未確認メンバーは、年齢制限付きサーバーへの参加や閲覧、ステージチャネルでの発言、グラフィックコンテンツの表示ができません。これらのサーバーは確認までブラックスクリーンとして表示され、新規加入時にも同じチェックが行われます。不明なユーザーからのフレンドリクエストには警告が出力され、見知らぬ連絡先からのプライベートメッセージは別の受信箱に振り分けられます。 Discord の以前の英国／オーストラリアでの試験では、フォトモードハックが検知され、1 週間以内に修正されました。10 月には旧ベンダーからデータ漏洩事件が発生しました。新システムは、生体認証や個人情報を保存しない別のサードパーティプロバイダーと提携しています。AI 年齢推定手法はデバイス上でローカルに実行され、データはオフデバイスへ送信されず、誤分類があった場合はユーザーがアピールしたり ID 写真をアップロードしてすぐに削除することができます。さらに Discord は「年齢推論」モデルを使用し、ゲーム種別・活動パターン・勤務時間シグナルなどのユーザーメタデータを解析して追加手順なしで成人を自動承認します。 Discord は回避策を防止するために広範なバグテストを行い、一部離脱が見込まれるものの、離れたユーザーを再度引き戻すことを目指しています。このイニシアチブは、世界的な児童安全規制によって推進される年齢確認義務化への業界全体の動きと整合性があります。ほとんどのユーザーは日常使用に大きな変化を感じませんが、主な影響は明示的またはグラフィックな成人コンテンツへのアクセス制限の強化です

2026/02/10 1:26

**プロジェクト概要** Walmart の 3.88 インチアナログ時計を、ESP‑8266 ベースの Wi‑Fi 時計に変換します。 --- ### 必要な材料 - Walmart の 3.88″ アナログ時計　1 個 - ESP‑8266 NodeMCU または Wemos D1 Mini　1 個 - DS3231 リアルタイムクロックモジュール（オプション、オフライン時の時間保持用）　1 個 - 10 kΩ プルアップ抵抗（I²C 用）　1 本 - ジャンパー線 - はんだごて＆はんだ - ケースまたは取り付けハードウェア ### 配線図 ``` ESP8266 時計 D2 ----> CLK (クロック信号) D4 ----> DT (データ信号) GND <---- GND VIN <---- VCC（USB／AC アダプタからの5 V） ``` *DS3231 を使用する場合：* - SDA ↔ A4 - SCL ↔ A5 - VCC ↔ 3.3 V - GND ↔ GND ### ソフトウェア手順 1. **Arduino IDE の設定** - ESP8266 ボードパッケージをインストール。 2. `config.h` に Wi‑Fi 認証情報を入力。 3. ライブラリをインストール： - `ESP8266WiFi`, `NTPClient`, （必要に応じて）`TimeLib`。 4. 以下の機能を備えたスケッチをアップロード： - Wi‑Fi 接続 - NTP で時刻取得 - D2/D4 の PWM を使って時計のポテンショメータを駆動 5. 動作確認 – 時計の針がずれたらキャリブレーションを調整。 ### キャリブレーション - 12 時間ダイヤルで既知の時刻に合わせてください。 - コード内の `pwmMin` と `pwmMax` を調整し、針が正確に合うようにします。 --- #### ヒント - 時計本体の電源と ESP‑8266 の電源は分離してノイズを抑えます。 - 電子部品は安全性のためケースで覆い、ESP 部品には十分な換気を確保してください。 - 手動同期用にボタンを追加することも検討すると便利です。

## Japanese Translation: ## 要約このプロジェクトは、安価なアナログ石英時計をインターネット接続型デジタル時計に変換します。WEMOS D1 Mini ESP8266 が Arduino スケッチを実行し、ステッピングモーターを駆動させます。ESP8266 は NTP サーバーから現在の UTC 時間を **15 分ごと** に取得し、時計に表示されている時間と比較します。この比較は **1 秒あたり 10 回** 行われます。もし時計が遅れていた場合、マイクロコントローラはモータコイルへ短い **(~30 ms) のバイポーラパルス**（`PULSETIME` 定数で調整可能）を送信し、秒針を前進させます。アナログの動きには位置センサがないため、システムは各針（時・分・秒）の位置を毎秒 Microchip の **47L04 Serial EERAM**（4 kbit SRAM と EEPROM バックアップ）に保存します。初回起動時、ESP8266 はウェブページを提供し、ユーザーが初期針位置を設定できるようにします。その後の再起動では、EERAM に保存されたデータから継続します。初期化後は、ステータスウェブページで SVG/Canvas またはプレーンテキストを用いて時計表面を表示できます。時計は NTP 時間取得を通じて自動的に **夏時間（DST）** を調整し、この設計は IoT コントローラがレガシー機械装置を復活させつつ、低コストで簡単に構築できることを示しています。

2026/02/10 5:49

アメリカはタングステンの供給問題に直面しています。

## 日本語訳: --- ## Revised Summary 米国は年間約10 000 tのタングステンをほぼ全て輸入しており、その80％以上が中国からで、2015年以降国内採掘は行われていないため、深刻な供給リスクに直面しています。中国による輸出管理は米国企業が必要とするライセンスを取得できなくし、サプライチェーンをさらに厳しく制限しています。保守的な成長仮定では、需要は10年で約77 %増加し、従来用途では年間15 000 t以上に達すると予測されます。もし核融合炉が稼働すれば（1基あたり約250 t、推測で200基）、総需要は年間60–70 000 tへと急増する可能性があります。この不均衡により、市場価格は既に過去最高水準に達しています。世界の生産量（年間約80 000 t）は中国が支配しており、ベトナム・ロシア・北朝鮮はわずかな割合しか占めていません。米国の過去の取り組み―軍事調達プログラムやトランプ時代にカザフスタンと結んだ取引―はギャップを埋めるには不十分でした。タングステンの米国内での重要用途は、切削・掘削工具（約60 %）、兵器（約10 %）、半導体（約5 %）、光伏（約1 %）およびその他（約24 %）です。これらの材料に依存する産業は供給制限、高コスト、特に防衛や新興核融合技術で生産ボトルネックを経験する可能性があります。重要な戦略的課題が浮上します：なぜ中国がタングステン生産を支配しているのか？米国の採掘はなぜ停止したのか？国内再供給に必要な変更点は何か？将来のブーム／バーストサイクルに耐えうるサプライチェーンを構築するにはどうすればよいか。これらの課題への対処は、予測される需要急増に対するレジリエンスを確保するために不可欠です

スリーパー・シェル：攻撃者がIvanti EPMMに休眠バックドアを埋め込む