TrueConf のゼロデイ脆弱性を悪用した攻撃キャンペーン「TrueChaos」が発覚
ビデオ会議プラットフォーム「TrueConf」のサーバーを標的とするゼロデイ攻撃キャンペーンが、セキュリティ企業 Check Point の調査で明らかになった。攻撃者はオンプレミス版の TrueConf サーバーを掌握することで、接続しているすべてのクライアント端末に任意の実行ファイルを偽アップデートとして配布できる。
脆弱性の概要(CVE-2026-3502)
今回悪用された脆弱性は CVE-2026-3502 として追跡されており、深刻度は「中(Medium)」に分類される。原因はソフトウェアのアップデート機構における整合性チェックの欠如だ。クライアントがサーバーから提供されるアップデートパッケージを無検証で信頼するため、攻撃者がサーバーを制御できれば正規アップデートを悪意あるファイルに差し替えて全クライアントに展開できてしまう。
影響を受けるバージョンは 8.1.0〜8.5.2。ベンダーは Check Point の報告を受けて 2026年3月に バージョン 8.5.3 で修正を公開しており、同バージョンへの更新が推奨される。
TrueConf は自己ホスト型(オンプレミス)でも運用できるビデオ会議基盤で、クラウド非接続の閉域環境向けにも設計されている。ベンダーによると、新型コロナウイルスのパンデミック期間中に10万社以上が導入し、軍・政府機関・石油ガス企業・航空管制機関などセキュリティ要求の高い組織が多数含まれる。
攻撃キャンペーン「TrueChaos」の実態
Check Point が「TrueChaos」と命名したこのキャンペーンは、2026年初頭から東南アジアの政府機関を標的に展開されている。攻撃者は政府が一元管理する TrueConf サーバーへのアクセスを確保した後、偽アップデートを通じて複数の政府機関にマルウェアを一斉配布した。
感染チェーンには以下の手法が組み合わされている:
- DLL サイドローディングによる初期侵入
tasklist・tracertなどの偵察ツールの実行iscicpl.exeを悪用した UAC バイパスによる権限昇格- 永続化機構の確立
最終ペイロードの回収には至らなかったが、ネットワークトラフィックの解析から Havoc C2 フレームワークが使用された可能性が高いとされる。Havoc はオープンソースの C2 フレームワークで、コマンド実行・プロセス管理・Windows トークン操作・シェルコード実行など多彩な機能を持ち、過去に中国系脅威クラスター「Amaranth Dragon」も類似の標的に対して利用している。
攻撃者帰属の分析
Check Point は TTPs(戦術・技術・手順)の類似性、および C2 インフラに Alibaba Cloud と Tencent Cloud が使用されていること、標的の属性などを根拠に、**中国系の脅威アクターが関与している可能性が中程度(moderate confidence)**あると判断している。
侵害の痕跡(IoC)
感染の強い指標として、以下のファイルやアーティファクトが確認された場合は直ちに調査が必要だ:
poweriso.exeまたは7z-x64.dllの存在%AppData%\Roaming\Adobe\update.7ziscsiexe.dll
対策
TrueConf をオンプレミスで運用している組織は、早急に バージョン 8.5.3 へのアップデートを適用することが強く推奨される。特に政府機関・重要インフラ事業者においては、C2 通信の監視や上記 IoC の有無の確認も併せて実施すべきだろう。
元記事: Hackers exploit TrueConf zero-day to push malicious software updates