主なポイント

✓ KnowledgeDeliver LMSの脆弱性が悪用され、Godzillaウェブシェルが展開されました。
✓ 攻撃者はCobalt Strike Beaconを配布し、ユーザーのマシンを感染させる手法を用いました。

社会的影響

! この脆弱性の悪用により、多くのユーザーが感染の危険にさらされました。
! 企業は共有された秘密を使用することのリスクを再評価する必要があります。

編集長の意見

KnowledgeDeliver LMSの脆弱性は、サイバーセキュリティの観点から非常に重要な問題を提起しています。特に、ハードコーディングされたマシンキーの使用は、攻撃者にとって非常に利用しやすいターゲットとなります。このような脆弱性が存在する場合、攻撃者は一度の成功で多くのインスタンスを危険にさらすことができるため、企業は独自の秘密を使用し、堅牢なエンドポイント監視を実施することが求められます。また、ASP.NETのViewStateのデシリアライズ攻撃は、特に注意が必要です。攻撃者は、悪意のあるViewStateペイロードを作成し、HTTPリクエストを通じてサーバーに送信することで、リモートコード実行を実現します。このような攻撃手法は、今後も進化し続ける可能性が高いため、企業は常に最新の脅威情報を把握し、適切な対策を講じる必要があります。さらに、ユーザー教育も重要です。ユーザーが偽のセキュリティアラートや不審なダウンロードに対して警戒心を持つことが、感染を防ぐための第一歩となります。今後、企業はこのような脆弱性を未然に防ぐための対策を強化し、セキュリティポリシーを見直すことが求められます。

解説

KnowledgeDeliverのmachineKey使い回し欠陥を突いたゼロデイ連鎖──Godzilla経由でCobalt Strikeまで到達する実害事例です

今日の深掘りポイント

ASP.NETのmachineKeyが製品側でハードコーディングされていたことが引き金になり、未認証のViewStateデシリアライズからRCE→Godzillaウェブシェル→Cobalt Strike Beaconという連鎖で侵入が成立しています。
一度キーが漏えいすると、同一キーを使う他インスタンスにも横展開できる「スケルトンキー型」リスクになります。パッチ適用だけでなく、キー更新（ローテーション）と事後のインシデント対応が不可欠です。
攻撃は実運用で観測され、偽のセキュリティ通知を使ったユーザー側感染も報告されています。学術・公共・企業研修といったLMS依存の現場は、影響面での取りこぼしが大きくなりがちです。
SOC視点では、IISのw3wpからの子プロセス生成、異常に肥大した__VIEWSTATE、Webルート配下の不審なASPX設置、HTTP/HTTPS型のBeacon通信といった痕跡を束で追うのが有効です。
MITRE ATT&CKでは、公開アプリ悪用（T1190）→Webシェル（T1505.003）→コマンド実行（T1059）→C2（T1071/T1105）→横展開（T1021）という古典的だが再現性の高いキルチェーンが想定されます。

はじめに

教育・研修の現場を支えるLMSは、受講者・講師・管理者・外部システムが一点に集約される「信頼の結節点」になりやすいです。そこにハードコーディングされたmachineKeyという設計上の弱点が存在すると、攻撃者は一度カギを手にしただけで多数の環境を次々と解錠できてしまいます。今回のCVE-2026-5426はまさにその構図で、ゼロデイ悪用が報じられ、Godzillaウェブシェルを足掛かりにCobalt Strike展開まで到達しています。テクニックは目新しくない一方、横展開の速さと運用影響の広がりが危機感を高める事案です。

本稿では、確認されている事実と、それが現場にもたらす本質的な含意を分けて整理し、想定される攻撃シナリオと優先アクションを提示します。

深掘り詳細

事実関係（いま何が起きているか）

知られている脆弱性
- 知見によれば、KnowledgeDeliver LMSにおいてASP.NETのmachineKeyがハードコーディングされていたため、攻撃者がViewStateデシリアライズを悪用し、未認証でリモートコード実行（RCE）を実現したと報じられています。識別子はCVE-2026-5426で、CVSSは7.5とされています。影響は2026年2月24日以前の展開に及ぶとのことです。
- 侵害後、Godzillaウェブシェルの設置を経て、最終的にCobalt Strike Beaconが展開された実例が紹介されています。ユーザーに偽のセキュリティアラートを提示し、さらなるスクリプト取得を促す手口も使われたとされます。
- 以上は公開報道の要約であり、現時点で参照可能な一次情報（ベンダーアドバイザリやCVE記載）は本文中で直接参照できていません。運用判断にあたっては、組織内で最新の一次情報をご確認ください。
- 参考: The Hacker Newsの報道
何がリスクを増幅させたか
- machineKeyが共有（使い回し）状態だったことにより、攻撃者が一拠点でキーを取得すれば、他インターネット接続インスタンスにも有効な署名付きViewStateを生成できる点が致命的でした。
- LMSという特性上、学内・社内ネットワークに近接しており、SSOや学務・人事系との連携、ファイル配布などの機能を通じて横移動の踏み台になりやすいです。

編集部のインサイト（なぜ痛いのか、次の一手は何か）

設計上の単一障害点（Single Point of Failure）
- 「コードの欠陥」ではなく「秘密管理の欠陥」です。ハードコーディングキーは、侵害のスケールとスピードを指数関数的に増幅します。パッチ適用に加え、インスタンス固有の高エントロピー鍵への置換とローテーションが不可欠です。
侵入後アクションの平凡さ＝検知余地の大きさ
- Webシェル→Cobalt Strikeというルートは古典的です。逆に言えば、w3wpからの不審な子プロセス、IISログの異常な__VIEWSTATEサイズ、Webルート配下の新規ASPX生成、HTTP(S)ベースのC2など、複数のテレメトリを束ねれば、検知・阻止・事後狩り込みの余地は十分にあります。
「ゼロデイ」でも防げる運用の差
- 零日に近い段階でも、egress制御（サーバからの外向き通信の最小化）、Webコンテンツ領域の実行権限分離、WAFの一時ルール（巨大な__VIEWSTATEや既知の不審パターンの遮断）、IISハードニング、脆弱な機能の無効化などのベーシックコントロールで被害を切り詰められます。
ユーザー側誘導の二段構え
- サーバ側侵害に続けて、偽アラートやアップデート通知でエンドポイント感染を狙う二段構えは、教育・研修の“お知らせ”文化に自然に溶け込みます。メール・LMS内通知・ブラウザポップアップが混在する現場では、IT部門の公式通知テンプレート統一と検証フローの明文化が有効です。

脅威シナリオと影響

以下は報道および典型パターンに基づく仮説のシナリオです。実際の侵害はログとフォレンジックで検証してください。

シナリオA：公開アプリ悪用からの即時ウェブシェル設置
- 初期侵入: 公開WebアプリのRCE悪用（T1190）
- 実行: サーバ側コマンド実行（T1059）
- 永続化: Webシェル設置（T1505.003）
- C2: HTTP/HTTPSでのBeacon通信（T1071）、ツール投入（T1105）
- 影響: サーバ権限の奪取、認証情報窃取、構内への横展開
シナリオB：LMSを水飲み場にしたエンドポイント感染
- 初期侵入: RCE悪用→コンテンツ改ざん（T1190/T1505.003）
- 配信: 偽アラート・スクリプト配布（ユーザー実行を誘発）
- 実行/持続化: エンドポイントでのスクリプト/ローダ実行（T1059）、スケジュールタスクやレジストリによる持続化（T1053/T1547）
- 影響: 受講者PCの段階的侵害、VPN/SSO経由で本番ネットワークに展開
シナリオC：SSO・連携基盤への波及
- 認証情報アクセス: 資格情報ダンプ（T1003）
- 横展開: RDP/SMB/WinRM（T1021）
- 影響: アカウント濫用、ファイルサーバや人事・学務システムへのアクセス、機微データの持ち出し（T1041）

検知の観点では、以下の組み合わせを見ると可視化が進みます。

IIS/w3wpの子プロセスにcmd.exe/powershell.exe/rundll32.exeがぶら下がる挙動
異常に長い__VIEWSTATEやリクエスト体積の急増、特定ページへのPOST集中
Webルートや一時ディレクトリ（例: App_Data, Uploads）に生成された新規ASPX
サーバからの不審な外向きHTTP/HTTPS/DNS通信（プロセス= w3wp.exe 起点）
直近で作成・変更されたスケジュールタスク、サービス、レジストリエントリ

セキュリティ担当者のアクション

優先度順に並べます。パッチ適用だけで終わらせないことが肝要です。

いま直ちに（同日中）
- ベンダー修正版への更新と公開面の一時的な緩和
  - 影響バージョンに該当するインスタンスを即時特定し、公開報道で示された2026-02-24以前の展開であれば直ちにアップデート検討を進めます。可能なら外部公開を一時遮断し、限定アクセス化します。
- machineKeyのローテーション
  - web.configでvalidationKey/decryptionKeyをインスタンス固有の高エントロピー値に更新します（既存キーは破棄）。更新後はアプリ再起動と動作確認を行います。共有キー文化は即時廃止します。
- 侵害前提の一次トリアージ
  - w3wp.exeの子プロセス出現、Webルートへの新規ASPX生成、IISログの__VIEWSTATE異常、直近の管理者アカウント作成や権限変更などを横断点検します。兆候が一つでもあれば、感染ホストの隔離と記録保全を優先します。
- Egress最小化
  - LMSサーバからの外向き通信は必要先ドメイン/ポートみに限定します。C2通信の生存性を即時に削ぎます。
48時間以内
- フォレンジック・ハンティング
  - Webシェル痕跡（不審ASPX/タイムスタンプ不整合/難読化コード）、EDR/Windowsイベントログ（4688, 7045 等）、新規サービス/タスク、LSA保護無効化の有無を確認します。
- 資格情報の保全と再発行
  - サービスアカウント/アプリ内アカウントの資格情報を再発行します。影響範囲にSSOが含まれる場合はトークン有効期限短縮と再ログイン強制を設けます。
- 一時的WAFルール
  - 異常に大きい__VIEWSTATEや既知の悪性パターンを遮断する一時ルールを導入します（誤検知監視を前提）。
2～4週間での根治策
- 秘密管理の再設計
  - machineKeyを含む全アプリ秘密はKMS/シークレットマネージャで集中管理し、ローテーションSLAを定義します。インストーラやテンプレートに固定キーを含めないCI/CDに改めます。
- 配置と権限の分離
  - Webコンテンツ領域から実行権限を排し、Webサーバ実行ユーザーの権限最小化、アップロード領域の実行禁止（IISリクエストフィルタ＋ACL）を徹底します。
- 通知と教育の“型”作り
  - LMS内の公式通知テンプレートを統一し、IT部門以外がセキュリティ更新を告知できない運用にします。ユーザーには「LMS内ポップアップでのソフト更新を要求しない」等の簡潔な行動原則を周知します。
- レッドチーミング/テーブルトップ
  - 公開Web→Webシェル→Cobalt Strikeという想定で、横展開・検知・封じ込めの演習を実施し、運用上の“詰まり”を洗い出します。

最後にひとこと。今回の件は、複雑なゼロデイ手法というより、秘密管理の初歩が破られたことが被害拡大の決定打になった事案です。逆に言えば、鍵の管理とローテーション、権限と通信の最小化、ログ可視化という「三種の神器」を愚直に回すだけで、かなりの確率で連鎖を断ち切れます。現場の皆さんの時間と注意力は有限です。まずは鍵と公開面の“締め直し”から、確実に手を付けていきたいところです。

参考情報

報道概要（一次情報への橋渡しとして）：The Hacker News — KnowledgeDeliver LMS Flaw Exploited to Deploy Godzilla Web Shell and Cobalt Strike

背景情報

i CVE-2026-5426は、ASP.NETのハードコーディングされたマシンキーの使用に起因する脆弱性です。この脆弱性により、攻撃者はViewStateのデシリアライズ攻撃を通じて、認証されていないリモートコード実行を行うことが可能となります。特に、攻撃者が一つの展開からマシンキーを取得すると、他のインターネットに接続されたKnowledgeDeliverインスタンスをも危険にさらすことができます。
i Google Mandiantによると、攻撃者はGodzillaウェブシェルを展開し、サーバーのファイルシステムに対する制御を強化しました。これにより、ユーザーに偽のセキュリティアラートを表示させ、悪意のあるスクリプトをダウンロードさせる手法が取られました。

KnowledgeDeliver LMSの脆弱性がGodzillaとCobalt Strikeを展開するために悪用される

メトリクス