人気のビデオ会議ソフトウェアである**TrueConf**の脆弱性が積極的に悪用されており、米国政府による緊急の対応を促しています。 ### CISAの指示 **CISA**は、すべての連邦機関に対し、4月16日までに**CVE-2026-3502**のパッチ適用を義務付ける指示を発令しました。**TrueConf**におけるこの脆弱性は、10点満点中7.8という深刻度スコアを持っており、重大なリスクを示しています。 ### 「TrueChaos」キャンペーン この緊急性は、**Check Point**の研究者による、中国の攻撃者によって行われたとされるハッキングキャンペーン「TrueChaos」の詳細を記した報告書を受けています。このキャンペーンは、東南アジアの政府を標的にしており、**CVE-2026-3502**の脆弱性を悪用していると報告されています。 **Check Point**によると、この悪用は2026年初頭に開始され、一般的に**Havoc**ペネトレーションテストツールが使用されていました。このツールは、過去1年間で中国の脅威アクターによって繰り返し使用されています。 ### 脆弱性の詳細 **Check Point**によると、この脆弱性はアプリケーションのアップデーター検証メカニズム内に存在します。オンプレミスの**TrueConf**サーバーの制御を奪取した攻撃者は、この脆弱性を悪用して、接続されたエンドポイント全体に任意のファイルを配布および実行することができます。これは、悪意のあるアップデートが疑いを持たないクライアントにプッシュされる、信頼されたアップデートチャネルを通じて達成されます。 ### 広範な影響 **TrueConf**は、アジア、ヨーロッパ、アメリカの様々な組織で広く使用されており、世界中で約100,000の組織にサービスを提供しています。その主なユーザーには、政府、軍、重要インフラセクターが含まれており、特にセキュアまたはリモート環境において、データプライバシーと通信の自律性を確保する能力が高く評価されています。 **Check Point**は、インターネット接続が限られている、または全くない地域、あるいは自然災害発生時における**TrueConf**の有用性を強調し、不可欠な連携を促進しています。サーバーを内部ハードウェアでホストできるため、すべての音声、ビデオ、チャットトラフィックはオンサイトに限定され、完全にエアギャップされたシステムでもオフラインアクティベーションが可能です。 ### 感染経路 初期感染は通常、被害者に送信されたリンクから始まり、**TrueConf**クライアントの新しいバージョンへのアップデートを促します。しかし、攻撃者はすでにオンプレミスサーバー上のアップデートパッケージを武器化されたバージョンに置き換えており、アップデートプロセス中にクライアントが悪意のあるファイルを取得することを保証しています。 ある事例では、政府のIT部門が運営する侵害された**TrueConf**オンプレミスサーバーが、多数の政府機関のビデオ会議プラットフォームとして機能しました。これらの機関はすべて、同じ悪意のあるアップデートを受け取りました。 ### 中国の攻撃者への帰属 **Check Point**は、観察された戦術、技術、手順（TTPs）、および**Alibaba Cloud**と**Tencent**のホスティングツールの使用に基づいて、「TrueChaos」キャンペーンを中国の攻撃者に帰属させています。さらに、同じ被害者は、中国の脅威アクターと関連付けられている既知のツールである**ShadowPad**マルウェアの標的にもなっています。