CrowdStrike、Google、Shadowserver Foundationの3者が共同で、ソフトウェア開発者を標的にしたボットネット「Glassworm」のテイクダウンに成功した。PC Watchが2026年5月29日に報じた内容をもとに、その技術的な全容を紹介する。
Glasswormとは何か
PC Watchの報道によると、Glasswormは2025年初頭から活動が確認されているボットネットで、ソフトウェア開発者を主な標的としている。Visual Studio Codeの拡張機能などを装って感染し、認証情報の収集、情報窃取、リモートアクセスツールのインストールを実行する。
さらに深刻なのは、感染後にnpmやPythonパッケージを改ざんする点だ。単一マシンの侵害にとどまらず、そのエンジニアが開発に関わるソフトウェアサプライチェーン全体への波及を狙う高度な設計となっている。
4つのC2チャネルという巧妙な仕組み
PC Watchが詳しく伝えているのが、Glasswormが備える4系統の冗長C2(Command and Control)チャネルだ。
- 従来型 ― サーバーへの直接接続
- Solanaブロックチェーン ― 分散型台帳を悪用した追跡困難な通信
- BitTorrent DHT(P2P) ― 分散ハッシュテーブルを利用した検出回避
- Googleカレンダー ― 正規のWebサービスを隠れ蓑として使用
この設計の狙いは明確だ。1チャネルが封鎖されても残る3チャネルが生き続け、攻撃者が被害マシンへの制御を維持できる。特にGoogleカレンダーを通信路に使う手口は、正規サービスの通信を遮断できない企業ネットワークの盲点をついた高度な回避技術といえる。
協調テイクダウンの成功
CrowdStrikeのCounter Adversary Operationsチームは、GoogleおよびShadowserver Foundationと連携し、4チャネルを同時に断ち切ることに成功した。1チャネルずつ対処していては攻撃者に別ルートから復旧される恐れがあるため、同時制圧が必須条件だった。
なお、感染済みマシンはCrowdStrikeが運用する無害なIPアドレスに定期的にビーコンを送信するため、このアドレスへの接続ログを確認することで感染検知が可能だという。
日本市場での注目点
日本の開発現場でもVS Code拡張機能やnpm/PyPIパッケージは日常的に利用されており、Glasswormのような攻撃は対岸の火事ではない。
今すぐ確認すべきポイント:
- インストール済みVS Code拡張機能の発行元・評価数の再確認(Verified発行元を優先)
- npm/PyPIパッケージの依存関係監査(
npm audit、pip-audit等の活用) - 企業ネットワークでのGoogleカレンダーAPIへの異常な通信パターンの監視
テイクダウン後も感染済みマシンは残存するため、CrowdStrikeが公開したビーコン先IPへの接続ログを確認することが推奨される。
筆者の見解
今回のGlassworm事案が改めて示したのは、「開発環境そのものが攻撃の起点になる時代」の深刻さだ。
エンジニアは信頼の出発点になる。マシンが侵害されれば、そのエンジニアが書くコード・公開するパッケージ・コミットするリポジトリすべてが汚染の媒体になりうる。これはCrowdStrikeが指摘する「現代のコンピューティングにおいて最も重大な攻撃対象領域の1つ」という認識と一致する。
技術的に注目すべきはBlockchainやP2Pといった分散技術をC2に悪用している点だ。これらは本来「止めにくい」技術として設計されているがゆえに攻撃に転用される。従来のファイアウォールルールの延長では対処しきれない課題として、セキュリティ担当者は認識しておく必要がある。
開発者として今できることは明確だ:拡張機能はVerified(公式認定)のものか評価数が充分に多いものに絞る、依存パッケージは定期監査する、CI/CDパイプラインに静的解析・依存関係スキャンを組み込む。情報を追い続けるより、こうした「仕組みを入れること」に時間を使う方が、長期的な防御力につながる。
業界横断での協調テイクダウンが成功した点は評価できる。ただしGlasswormはすでに1年以上活動していた。発見から封鎖までのタイムラインを短縮していく継続的な取り組みこそが、サプライチェーン攻撃への本質的な答えになるだろう。
出典: この記事は 開発者を狙うボットネット「Glassworm」、CrowdStrike・Googleらが共同でテイクダウン の内容をもとに、筆者の見解を加えて独自に執筆したものです。