Trellix Breach – RansomHouse Claims Access to Parts of Source Code
2026/05/08 CyberSecurityNews — McAfee Enterprise/FireEye の合併により設立されたグローバルなサイバー・セキュリティ企業である Trellix は、自社のソースコード・リポジトリの一部に対する不正アクセスを認めた。その一方で、ランサムウェア・グループである RansomHouse が、この攻撃への関与を正式に主張している。2026年5月2日頃に、このインシデントを公表した Trellix は、侵入を検知した直後に外部のフォレンジック専門家を招集して調査を開始するとともに、法執行機関への通報を完了させた。
同社は、「これまでの調査では、当社のソースコードのリリース/配布プロセスに影響があったこと、またはソースコードが悪用されたことを示す証拠は確認されていない」と公式声明の中で説明し、現時点での安全性を強調している。
RansomHouse は、ダークウェブ上のリーク・サイトで Trellix を指摘し、 2026年4月17日に攻撃を実行したと主張している。その証拠として、Trellix の内部サービス/管理ダッシュボードへのアクセスを示す複数のスクリーンショットを公開しているが、窃取したデータの量や内容については明らかにしていない。
特に注目すべきは、RansomHouse が侵害ステータスとして “Evidence Depends on You” と記載している点である。これは、盗難データの公開を盾にして、被害組織に対して交渉を迫る際に用いられる一般的な圧力手法である。
RansomHouse は、高度な RaaS (Ransomware-as-a-Service) グループとして知られており、 Mario ESXi と呼ばれる独自のランサムウェア亜種を使用している。そのソースコードは、流出済みの Babuk ランサムウェアと系譜を共有し、Windows/Linux ベースの仮想化環境を標的とする、 MrAgent と呼ばれるツールと併用される。ただし、同グループは主に VMware ESXi 環境において脆弱なドメイン認証情報や監視システムの不備を悪用し、高権限アクセスを取得する手法を特徴としている。
また、RansomHouse は自らを “プロフェッショナルな仲介者コミュニティ” と位置付けている点でも特異である。一般的な復号要求ではなく、窃取データの削除と引き換えに金銭を要求するケースが多い。
現時点において、Trellix はソースコード以外の企業データ/顧客データへのアクセス有無について言及せず、データの流出範囲の全容も不明である。これまでの予備調査において、ソフトウェア・サプライ・チェーンや配布パイプライン、あるいは顧客向け製品が改竄されたことを示す証拠は確認されていない。
このインシデントは、サイバーセキュリティ・ベンダー自体を標的とするランサムウェア・グループが増加している傾向を浮き彫りにしている。特に独自のソースコードが侵害された場合、世界中の企業の防御体制やソフトウェア・サプライ・チェーン全体に対して、広範かつ深刻な影響を及ぼす可能性がある点が、この問題の本質である。
訳者後書:今回のインシデントの原因は、 VMware ESXi 環境における管理体制の隙を突かれたことにあります。具体的には、脆弱なドメイン認証情報の使用や、監視システムの不備が重なったことで、攻撃者に高い権限でのアクセスを許してしまいました。 RansomHouse は、過去に流出したコードを基にして、独自のランサムウェアやツールを巧みに使い分け、こうした認証の弱点を的確に狙ってきます。セキュリティの専門企業であっても、管理用ダッシュボードのような重要な入り口にわずかな不備があれば、侵害を招く恐れがあります。よろしければ、RansomHouse での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.