結論:Glassworm 単体の対策ではなく「サプライヤー経由侵入」の備えとして読む

Glassworm は 2026 年に脅威インテリジェンスコミュニティ・各セキュリティベンダーで言及されている、サプライチェーン経路を悪用した APT 型攻撃キャンペーンとして報告されている。Google Search Console のデータからも検索ニーズが立ち上がっており、調達部門・情シスから「うちは大丈夫か」という問い合わせが増えるタイミングだ。

ただし、Glassworm は「単一の脆弱性」ではなく 手口の総称・キャンペーン名 として扱われる傾向が強く、特定の CVE 1本にパッチを当てれば終わる種類のものではない。本稿では、中堅企業が サプライチェーン経由の侵入リスク にどう備えるかという観点で整理する。

Glassworm を読み解く前提:APT 型サプライチェーン攻撃の構造

APT(Advanced Persistent Threat)型のサプライチェーン攻撃は、概ね次の構造を持つ。

フェーズ内容
標的選定最終標的(大企業・政府機関)と直接取引のある中堅サプライヤーを偵察
初期侵入サプライヤーの脆弱な OSS / 開発ツール / VPN / メール経由で侵入
持続的アクセス多段ペイロード・正規ツール悪用(LotL)で長期潜伏
横展開サプライヤー経由で最終標的のネットワークに到達
目的達成知財窃取・身代金要求・作戦行動の妨害など
中堅企業の経営層が押さえるべきは「自社が最終標的でなくとも、取引先大手の踏み台として狙われる」という事実だ。Glassworm に限らず、近年の APT キャンペーンの大半はこの中堅サプライヤー経由侵入を中心戦術としている。

公開情報からみえる Glassworm の特徴

本稿執筆時点で公開されている範囲では、以下のような特徴が複数のリサーチャー・ベンダーから言及されている。詳細な IoC(Indicator of Compromise)は各ベンダーの脅威インテリジェンスレポートを直接参照してほしい。

  • 開発エコシステム(パッケージリポジトリ、ブラウザ拡張、IDE 拡張など)を経路として狙う傾向
  • 正規ツール・正規プロトコルを悪用する Living off the Land 戦術の比率が高い
  • 標的国・業種に偏りがあり、特定地域・特定業界を集中して狙うキャンペーン特性
  • 検知回避のため多段スクリプト・暗号化された C2 通信を多用

これらの特徴は Glassworm に固有ではなく、現代の APT 全般に共通する。「Glassworm 対策」ではなく「APT 一般への耐性向上」として施策を組む のが実務的な姿勢だ。

「自社のシステムが影響を受けるか分からない」

脆弱性スキャンとパッチ適用支援、サプライチェーン監査を提供します。

脆弱性対応の無料相談を予約する

※ 営業電話はしません | オンライン対応可 | 相談だけでもOK

中堅企業が実施すべき4段の備え

段1:サプライヤー / 取引先の棚卸し

  • 自社が「誰に、何を、どの経路で」納めているかを部署横断で一覧化
  • 直接取引先(Tier 1)に加え、その先(Tier 2)まで業務影響を確認
  • データ連携・API 連携・VPN 接続の権限保有者リストを整備

段2:契約上のセキュリティ条項の整備

  • 主要取引先と自社の間に インシデント発生時の通知義務・通知期限(例:72時間以内)の条項
  • サプライヤー側のセキュリティ対策水準(ISO 27001 / SOC 2 等)の確認頻度
  • 委託・再委託に関する事前承認のルール

段3:技術的な検知体制

  • EDR の導入と「正規ツール悪用」を捕まえるためのチューニング
  • DNS / Proxy ログを SIEM に集約し、未知の C2 候補ドメインへのアクセスを検知
  • メールゲートウェイで開発ツール系ドメインへのフィッシングを検知(GitHub / npm / VS Code Marketplace 等を装うもの)

段4:開発・運用環境のサプライチェーン強化

  • 開発端末でインストールする IDE 拡張・パッケージのホワイトリスト運用
  • ビルドパイプライン側でパッケージの署名検証 / SBOM 生成
  • 本番系と開発系のクレデンシャル分離

影響範囲をどう自己評価するか

「うちは Glassworm の被害を受けているか」を自己評価する場合、以下の観点が役立つ。

観点確認方法
自社が APT 標的業界か防衛・先端製造・インフラ・官公庁との取引比率
開発エコシステムの清潔度npm / PyPI / VS Code Marketplace 利用ポリシーの有無
ログの保管期間90日以上ない場合、潜伏期に気付けない可能性大
EDR / SIEM の有無中堅企業の半数強は未導入、未導入なら検知不能
取引先の通知体制過去に取引先からの通知を受けた経験があるか
評価の結果「ログが30日しかない」「EDR がない」「サプライヤーの一覧がない」のいずれかに該当するなら、Glassworm 対策以前にサプライチェーン全般への耐性が低い 状態だ。優先順位は IoC 探索より体制整備の方が高い。

確認コマンド・ログクエリの例

具体的な IoC(ハッシュ値・ドメイン・IP)はベンダー脅威インテリジェンスから取得して使うのが原則だ。個別 IoC のリストを記事側で固定せず、購読中の脅威情報フィードを優先してほしい。

まとめ

項目ポイント
脅威Glassworm(APT 型サプライチェーン攻撃キャンペーンとして言及)
性質単一 CVE ではなく手口の総称、対策は APT 一般耐性で考える
中堅企業の論点大手の踏み台として狙われる、検知体制の不足
4段の備えサプライヤー棚卸し / 契約条項 / 検知体制 / 開発環境強化
一次情報各セキュリティベンダーの脅威インテリジェンスレポート、JPCERT/CC
自社が最終標的でなくとも、取引先の踏み台として狙われる」——この認識をもとに、サプライヤー監査と検知体制をワンセットで整備していくことが、Glassworm を含む APT への現実的な備えとなる。

よくある質問(FAQ)

Q1. Glassworm の IoC リストはどこで入手できますか?

各セキュリティベンダー(Mandiant / CrowdStrike / Trend Micro / Recorded Future 等)の脅威インテリジェンスレポート、および JPCERT/CC の公開情報を参照してください。記事側で固定 IoC を掲載すると陳腐化が早いため、購読契約のあるベンダーフィードを正とする運用を推奨します。

Q2. 自社で APT 対策を内製化するのは現実的ですか?

中堅企業の規模では、SOC 24/365 の内製化はコスト面で合いません。MDR(Managed Detection and Response)サービスの利用、または取引先大手のセキュリティ要件に合わせた段階的整備が現実解です。

Q3. 取引先からセキュリティアンケートを求められました。何を最低限整備すべきですか?

ISO 27001 取得まで行かずとも、情報セキュリティポリシー文書、インシデント対応手順、アクセス権限の棚卸し記録、教育実施記録、の4点を最低ラインとして揃えてください。これだけでも Tier 1 サプライヤーとしての信用は大きく変わります。

Q4. 開発端末の IDE 拡張をホワイトリスト化すると開発生産性が落ちませんか?

短期的には申請プロセスのオーバーヘッドが発生します。ただし VS Code Marketplace 経由のサプライチェーン攻撃事例は実際に複数報告されており、侵害発生時の被害額と比較すれば極めて低コストです。最初は「重要 repo を扱う端末のみ」から段階導入するのが現実的です。

参考情報

  • 各セキュリティベンダーの脅威インテリジェンスレポート
  • JPCERT/CC「サプライチェーン攻撃に関する注意喚起」関連ページ
  • IPA「中小企業の情報セキュリティ対策ガイドライン」
  • MITRE ATT&CK Framework(Supply Chain Compromise: T1195)

関連記事

取引先から「貴社のセキュリティは大丈夫か」と問われていませんか?

サプライヤー棚卸し・契約条項見直し・EDR 導入・ログ集約まで、中堅企業の実情に合わせた段階的なサプライチェーンセキュリティ整備を支援します。

サプライチェーン監査の無料相談を予約する

※ 営業電話はしません | オンライン対応可 | 相談だけでもOK