← ブログに戻る
セキュリティブリーフィング4 min read2026-04-30

セキュリティブリーフィング、2026年4月30日:SAP npmサプライチェーン・バックドア、cPanel認証バイパス、Linux Copy Fail rootバグ

今朝のテーマは単純です。信頼された基盤が汚染されると、攻撃者に派手な技巧は要りません。


要点: 今朝すぐ注目すべき話は3つあります。SAPの公式npmパッケージが開発者とCIの秘密を盗むよう改ざんされ、cPanelとWHMが重大な認証バイパス向けの緊急パッチを公開し、Linuxメンテナーは新しい権限昇格バグCopy Failの修正を急いでいます。


1. SAP npm侵害は開発者とCIの秘密を直撃する

Cloud Application Programming Model と Cloud MTA に関連する4つのSAP公式npmパッケージに、悪意あるpreinstallチェーンが仕込まれました。BleepingComputer、Aikido、Socket によれば、このペイロードは Bun を取得し、難読化された stealer を実行して、GitHubトークン、npmトークン、SSH鍵、クラウド認証情報、Kubernetesシークレット、CI/CD環境変数を探します。さらに悪いことに、runner のメモリを直接吸い出し、盗んだトークンで自己拡散を試みるとされています。


2. cPanelの緊急認証バイパス修正は“後でやる作業”ではない

cPanel と WHM は CVE-2026-41940 向けの緊急更新を公開しました。これは深刻度 9.8 の認証バイパスで、最新のサポート版を除くほぼすべてのビルドに影響します。Namecheap はパッチ公開前に露出した管理ポートを一時遮断しており、ホスティング事業者がどれだけ深刻視していたかが分かります。cPanel が奪われればサイト、メール、DB、設定が取られ、WHM が奪われればサーバ全体とその全テナントが危険です。


3. Copy Fail は Linux 攻撃者に極めて単純な事後 root 経路を与える

The Register によると、新たな Copy Fail(CVE-2026-31431)は、非特権のローカルユーザーが任意の可読ファイルのページキャッシュに4バイトを書き込み、それを root 取得に変えられる脆弱性です。PoC は非常に小さく、従来のファイルイベント監視をすり抜けます。影響はラップトップにとどまりません。共有カーネルコンテナ、CI runner、マルチテナントLinuxホストこそ、初期侵入後にローカル権限昇格が本物の外部リスクになる場所です。

今日やるべきこと

まずソフトウェアのサプライチェーンを確認し、次に露出したホスティング制御面を閉じ、その後で攻撃者がすでにコード実行できる場所の Linux 権限境界を修正してください。共通する失敗は、誰もが安全だと思い込んでいた基盤への盲信です。

情報源

  • SAP公式npmパッケージ侵害に関するBleepingComputer報道と、Aikido・Socketの追加調査。
  • cPanel/WHM CVE-2026-41940 と緊急更新手順に関するBleepingComputer報道。
  • CVE-2026-31431「Copy Fail」に関するThe Register報道と、Debian、Ubuntu、SUSE、Red Hat のパッチ参照。