サプライチェーンに潜む「Keenadu」と仮想基盤を穿つDellゼロデイ──見えない層で続く持久戦です

今日の深掘りポイント

• ファームウェア層に埋め込まれたAndroidバックドア「Keenadu」は、MDMやアプリ層の防御を素通りし、調達・製造プロセスそのものを攻撃面に変える厄介さがあります。
• Dell RecoverPoint for Virtual Machines（RP4VM）のゼロデイ（CVE-2026-22769）は、バックアップ／レプリケーションという“最後の拠り所”を長期滞在の足場に変え、監視の死角を作りやすいです。
• 2つの事案はいずれも「長期潜伏」を前提としたサプライチェーン型の持久戦で、早期検知を難しくします。調達・構成・運用・監査を横串で結ぶガバナンスが問われます。
• 現場では、モバイルは「起動時の信頼性（Verified Bootの実測・アテステーション）」、仮想基盤は「管理プレーンの外部非公開・資格情報の分離・不変バックアップ」を最優先に見直す価値があります。

はじめに

攻撃者が狙うのは、私たちが「安全だ」と思い込みがちな層です。今回の2件、ひとつはタブレットのファームウェアに潜むAndroidバックドア「Keenadu」、もうひとつは災害対策やデータ保護の要であるレプリケーション製品のゼロデイです。どちらもユーザーや運用者の目から遠い層に根を張り、静かに長く居座ることを前提にしています。CISOやSOCにとっては、EDRの画面や通常のパッチ運用からは見えにくい戦場が広がっている、という現実を直視するタイミングです。

深掘り詳細

事実関係（いま出ている公開情報）

• 複数メーカーのタブレットで、ファームウェアレベルに埋め込まれたAndroidバックドア「Keenadu」が発見された事例が報じられています。アプリの制御やデータ収集が可能で、端末がユーザーの手に届く前、ファームウェアのビルド工程で挿入された可能性が指摘されています。企業・政府機関の端末にも影響しうるとされています。
• Dell RecoverPoint for Virtual Machines（RP4VM）に関するゼロデイ脆弱性 CVE-2026-22769 が、中国に関連するサイバー諜報グループにより2024年から悪用され、バックドアやウェブシェルの展開を通じて長期アクセスが維持されていると報じられています。
• 上記はいずれも週次総括記事として整理されており、いま時点で一般に確認できる一次情報は限られています。詳細のテクニカルIoCや影響範囲は今後の追加公開を待つ必要があります。
• 出典: Help Net Security の週次レビュー記事 です。

編集部のインサイト（なぜこの2件が危ないのか）

• モバイルは「起動時の信頼」を突かれると一気に防御が崩れます。ファームウェア埋め込みはアプリ層の検知回避に長け、MDMやMTDのポリシーも迂回しやすいです。とくにホワイトラベル端末や価格重視の調達では、OEM/ODMのビルドチェーンが実質的なゼロトラストの外に置かれがちです。検証すべきはアプリではなく、ブートチェーンと署名の実測値（アテステーション）です。
• RP4VMのようなレプリケーション／復旧系は、「本番でもバックアップでもない第3の面」を形成します。ここはしばしばEDRの守備範囲外で、管理UIがネットワーク越しに立っていることも珍しくありません。諜報目的の攻撃者にとっては、全社のデータ平面へ静かにアクセスできる稀有な足場になります。しかもDRテストやレプリケーションのジョブは“異常な通信”に見えにくく、C2のカモフラージュに使いやすいです。
• 2件の共通項は「時間」です。初期侵入の新奇性よりも、見つからないことが価値になります。検知は“振る舞いの逸脱”や“ブート測定の不一致”、あるいは“通常と異なる管理操作”といった、運用寄りの信号に頼らざるをえません。結果として、セキュリティとIT（調達・運用・資産管理・監査）を貫く横断的な意思決定が、技術対策と同じくらい重要になります。

脅威シナリオと影響

以下は限定的な公開情報に基づく仮説シナリオで、MITRE ATT&CKの観点を添えて検討します。

• シナリオA：ファームウェア埋め込み型「Keenadu」が企業・官公庁の現場端末に配備されるケース（モバイル）

  • 初期侵入・供給段階（Supply Chain Compromise）：製造・ビルド工程での混入により、端末出荷時点でバックドアが常駐します。
  • 永続化（Pre-OS/Bootloader/システムパーティションの改変）：アプリ層の再イメージや工場出荷状態へのリセットでも残存しうる設計が想定されます。
  • 防御回避（セキュリティ機能の無効化・MDMポリシーの迂回）：アプリ権限制御を秘匿的に操作し、検知面を減らします。
  • 発見・収集（端末情報・アプリ一覧・通信先・ファイルの収集）：現場業務のアプリデータにアクセスし、断続的に持ち出します。
  • C2（Webプロトコルや既存クラウドの悪用）：通常トラフィックに紛れ、ドメインフロントやCDN、ストレージを介した疎通により検知を困難にします。
  • 影響：業務アプリの機密データ流出、認証要素（OTP・通知）の盗用、MDM隔離の回避、AI推論端末からの学習・推論データの流出などが想定されます。

• シナリオB：CVE-2026-22769を利用したRP4VMの長期侵害（エンタープライズ）

  • 初期アクセス（公開アプリケーションの悪用／内部からの横移動）：管理UIやAPIのRCE、あるいは侵入済み端点からの横展開を起点にします。
  • 実行（OSコマンド実行・プロセス作成）：脆弱性を足掛かりに任意コードを実行します。
  • 永続化（ウェブシェル設置・スケジュールタスク・新規管理アカウント）：再起動やパッチ適用後も生存する複線を敷きます。
  • 権限昇格・防御回避（サービス悪用・ログ改ざん／削除）：監査痕跡を薄め、EDRの死角を維持します。
  • 偵察・横移動（仮想化管理環境・認証情報の探索、リモートサービス悪用）：ハイパーバイザ、vCenter/ESXi等の周辺資産に踏み込みます。
  • 収集・流出（レプリカ／スナップショットからのデータ取り出し、Webサービス経由の流出）：“正規のレプリケーション通信”を装って長期的に持ち出します。
  • 影響：スナップショットやレプリカの改ざんによる復旧妨害、秘匿情報の段階的流出、DR訓練の信頼性失墜、規制対応コストの増加が想定されます。

総合すると、本件は「新奇性」より「実行可能性」と「持続性」を重視する脅威像です。対応は“すぐに着手できる運用変更”と“中期の構造改革（調達・分離・監査）”を並行で走らせるのが現実的です。

セキュリティ担当者のアクション

• 最初の72時間

  • 資産の特定と隔離です。
    • 対象タブレットの機種・ロット・調達経路を在庫・MDM台帳から即時棚卸しし、ネットワーク権限を“必要最小限・社内のみ”に制限します。
    • RP4VM（および周辺のバックアップ／レプリケーション機器）の管理インターフェースを外部非公開にし、管理セグメント＋VPNからのみアクセス可能にします。インターネット露出があれば即座に遮断します。
  • 検知とハンティングの初動です。
    • モバイルは「端末起動時の測定値（Verified Bootのアテステーション）不一致」「未知ドメインへの周期的ビーコン」「DoH/プロキシ経由の新規外向き通信」を監視し、疑わしい端末の業務アプリアクセスを停止します。
    • RP4VMは「管理UIへの異常なPOST頻度」「未知のスクリプト／Webシェル様ファイルの生成」「管理者アカウントの追加・ロール変更」「Applianceからの外向き通信増加」をログで遡及確認します。見つかればネットワーク隔離とフォレンジック保全を行います。
  • 資格情報の衛生です。
    • RP4VMや周辺の仮想化管理（vCenter/Hypervisor/ストレージ）の管理資格情報を強制ローテーションし、機器間・人間間の再利用を断ちます。可能ならば管理プレーンのMFAを徹底します。
  • ベンダー連携の準備です。
    • サプライヤに対し、該当ロットのファームウェアSBOM、署名鍵運用、再現可能ビルドの有無、対処計画の説明を要請します。Dell側の勧告・緩和策・パッチ有無の確認窓口を一本化します。

• 2週間以内の構造的対策

  • モバイルの「起動時の信頼」を強制します。
    • Android Enterprise/MDMでのデバイスインテグリティ判定（アテステーション）を合否ゲートにし、NG端末は業務アプリ・会社データへのアクセスを遮断します。COBO/COPEの区分で許容モデルを明示します。
    • 高リスク端末は物理抜き取りのうえ、第三者ラボでのファームウェア抽出・比較検証の手配を検討します（検証不能な端末は不適合として入替方針を明文化します）。
  • バックアップ／レプリケーションの管理プレーンを再設計します。
    • 管理ネットワークを“閉域＋踏み台”に限定し、運用・監査・保守の権限と資格情報を分離します。監査ログは外部不変ストレージに二重書きします。
    • レプリケーションとバックアップの責務分離を徹底し、オブジェクトロック等の「改ざん不能バックアップ」を別系統で保持します。ランサム対策だけでなく諜報型のサイレント改ざんに備えます。
  • 調達・契約の見直しです。
    • 端末調達では「ファームウェアSBOM」「ブートチェーンの第三者検証レポート」「製造委託先のセキュリティ監査」を入札要件に追加します。ODMの多段委託がある場合はサブサプライヤまで遡及可能な開示を条件化します。
  • AI業務運用のガバナンス強化です（ランキング背景への接続）。
    • エージェント型AIが扱う学習・推論データの取り扱いを、端末健全性の判定（アテステーション）と連動させます。端末が不正状態なら学習・推論データへのアクセスを遮断します。
    • モデル更新のチェンジ管理、権限分離、監査証跡を業務システムと同等に実装し、EU AI法やNIST系ガイダンスに整合する監査可能性を確保します。越境データフローはDPIA相当の記録を整備します。
  • ハンティングの定常化です。
    • モバイルのネットワーク・テレメトリに「定周期の小容量通信」「勤務外時間の一貫したビーコン」「CDN・ストレージ寄生型C2」を検出するユースケースを追加します。
    • RP4VMでは「管理UIへの大量POST」「設定エクスポート要求の増加」「Applianceから外部へのHTTPSセッションの新規生成」「ログ削除・圧縮の異常」を時系列で可視化します。

• インシデント対応と広報の備え

  • 端末ロットの回収・交換、DR環境の切替（クリーン系統へのフェイルオーバ）を前提とした手順と合意形成をあらかじめ作っておきます。顧客・監督当局への説明資料は“技術的根拠＋是正計画＋再発防止の構造変更”の3点セットで準備します。

最後に、今回の評価は“すぐ動ける”実行性と“新奇さより持続性”の危険度の両方を示唆します。現場に効く一手は、派手な新装備ではなく、信頼の根っこ（ブート／管理プレーン）を測定し、閉じ、分離し、記録するという素朴な原則の徹底にあります。派手さはないですが、長期戦に強い体制はそうしてしか作れません。

参考情報

• Help Net Security: Week in review – Firmware-level Android backdoor found on tablets, Dell zero-day exploited since 2024（2026-02-22）: https://www.helpnetsecurity.com/2026/02/22/week-in-review-firmware-level-android-backdoor-found-on-tablets-dell-zero-day-exploited-since-2024/