Roundcubeの脆弱性により中国関与のハッカーが大学の研究用メールにアクセス

大学の物理学・工学部門は、防衛請負業者や連邦機関と並んで脅威モデルのチェックリストに載ることはほとんどありません。この見落としこそが、まさにUNK_MassTractionが狙っているポイントです。2026年7月に公開されたProofpointの調査では、米国およびカナダの大学の天体物理学、素粒子物理学、国家安全保障研究を行う部門を標的としたアクティブなスパイ活動キャンペーンが記録されています。攻撃ベクトルは、強化された政府インフラに対する巧妙なゼロデイ攻撃ではありません。何千もの研究機関が長年運用し、不定期にパッチを適用し、「国家が注目するほどニッチではない」と思い込んでいたオープンソースのWebメールソフトウェア「Roundcube」です。

この思い込みは誤りであることが判明しました。このキャンペーンは偶発的なものではなく、明確に標的を絞っています。UNK_MassTractionは少なくとも2026年5月から活動しており、狙い撃ちされているのは、物理科学や工学分野でDoD(米国国防総省)助成金を受けている研究プログラム、つまりメール通信でControlled Unclassified Information(CUI)を扱う可能性が最も高い機関です。

研究大学のセキュリティリーダーにとって、これは脅威インテリジェンスの課題であり、同時にコンプライアンスの課題でもあります。脅威インテリジェンスの側面は緊急性が高く、「今すぐパッチを適用し、認証ログを調査し、メールインフラが侵害されていないか確認する」必要があります。コンプライアンスの側面は進行が遅いものの、より重大な影響を及ぼす可能性があります。つまり、「自組織はCUIを扱う通信を管理するNIST 800-171の管理策を満たしているか」「CMMC監査人にそれを証明できるか」という問題です。

この2つの問いは密接に関連しています。パッチ未適用のRoundcube環境は、CMMC評価者が確認する監査・可監査性コントロールにも失敗している可能性が高いのです。メール経由の認証情報窃取や侵害後のメールボックスアクセスレビューを明記したインシデント対応計画を文書化しておくことで、Roundcubeの脆弱性が悪用された際にも迅速に対応できる運用体制を整えることができます。

主なポイント

1. UNK_MassTractionは、少なくとも2026年5月以降、米国およびカナダの大学研究部門から認証情報を窃取するために2つのRoundcube脆弱性を悪用しています。 Proofpointが記録した中国系の脅威アクターは、物理学、天体物理学、防衛工学のプログラムを標的とし、国家安全保障研究やDoD助成金と直接関係する部門に攻撃を仕掛けています。

2. CVE-2024-42009は、RoundcubeのXSS脆弱性を利用してIceCube認証情報窃取ツールを配信します。 標的ユーザーが細工されたメールを開くと、IceCubeがセッションクッキー、ログイン認証情報、二要素認証トークンを収集し、攻撃者に認証コントロールを回避した永続的なメールボックスアクセスを与えます。

3. CVE-2025-49113は、サーバー側のデシリアライズ脆弱性を突いてメールサーバー自体にバックドアを設置します。 攻撃者はこの二次的な脆弱性を利用して、SquareShell(PHPウェブシェル)またはVShell(Goベースのバックドア)を展開し、Roundcubeサーバーを大学環境内の永続的なネットワーク拠点に変えます。

4. DoD研究助成金を受けている大学は、ほぼ確実にControlled Unclassified Informationを扱っており、直接的なCMMC 2.0義務が発生します。 自前運用のRoundcube環境は、パッチ管理、転送時の暗号化、監査ログのNIST 800-171管理策に恒常的に違反しており、スパイ活動リスクと同時に重大なコンプライアンスリスクを生じさせています。現在のRoundcubeパッチ適用状況やメールインフラの管理策をNIST 800-171要件に照らしてリスク評価することが、該当する機関にとって最初のステップです。

5. 強化されたメールゲートウェイによる受信スキャンは、IceCubeが依存する配信層の攻撃ベクトルを排除します。 すべての受信メールをアンチウイルス、データ損失防止高度な脅威対策で受信前に検査することが、この種のキャンペーンに求められるアーキテクチャ上の対応策です。

UNK_MassTractionとは何者で、なぜ大学が標的なのか?

Proofpointは、UNK_MassTractionを中国系の脅威アクターと位置付けており、その行動は中国政府による情報収集活動の目的と一致しています。「UNK」は、アクターの具体的な政府組織(PLA、MSS、または関連請負業者)との関係が公的に確認されていないことを意味します。確認されているのは、標的のプロファイルと運用手法です。

標的は無作為ではありません。米国およびカナダの大学で天体物理学、素粒子物理学、防衛工学の研究を行う部門は、国家安全保障研究のパイプラインに直接つながっています。これらのプログラムは、デュアルユース研究を生み出し、防衛産業基盤(DIB)にクリアランスを持つ研究者を供給し、DARPA、海軍研究局、エネルギー省の国家安全保障プログラムから多額の資金提供を受けています。

これらの部門が生み出す研究成果は、たとえ機密指定されていなくても、実際の情報価値を持っています。査読前にメールで共有されるドラフト成果、国立研究所の研究者との共同研究契約、研究手法を詳細に記述した助成金進捗報告書など、いずれも従来の意味での機密情報ではありませんが、すべてが外国情報機関にとって米国大学が何に取り組み、誰と協力し、研究がどこに向かっているかを示す機微な知的財産です。

運用上の論理は明快です。素粒子物理学部門の教員メールボックスが侵害されれば、何年にもわたる科学的なやり取りや国際共同研究、研究の方向性を決定づける非公式なやり取りにアクセスできます。これは、すでに敵対者が読める公開論文よりも、情報収集の観点で遥かに価値があります。

このキャンペーンで際立っているのは、少なくとも2026年5月から中断の兆候なく継続している点です。このような忍耐と集中は、国家主導の情報収集プログラムの特徴です。研究機関を標的とする高度持続型脅威(APT)は、即座に金銭的利益をもたらすことはほとんどなく、価値は継続的な情報収集にあります。金銭目的の犯罪グループが、これほどまでに特定の標的に長期間注力することはまずありません。

自社のセキュリティに自信がありますか?その証明はできますか

Read Now

2つのCVE、2つの攻撃チェーン:エクスプロイトの仕組み

CVE-2024-42009:XSSとIceCube認証情報窃取ツール

CVE-2024-42009は、Roundcubeのメールレンダリングエンジンに存在するクロスサイトスクリプティング(XSS)脆弱性です。標的ユーザーが細工された悪意あるメールを開くと、そのメールに埋め込まれたJavaScriptがユーザーの認証済みブラウザセッション内で実行され、Roundcube環境専用に設計された認証情報窃取ペイロード「IceCube」がロードされます。

IceCubeが収集するのは、アクティブなセッションクッキー、保存されたログイン認証情報、セッションコンテキスト内の二要素認証トークンの3つです。中でもセッションクッキーの収集が運用上重要です。攻撃者が有効なセッションクッキーを入手すれば、どのデバイス・どの場所からでも侵害されたメールボックスにアクセスでき、認証チャレンジを引き起こすことはありません。メールサーバー側からは正規のアクセスに見え、パスワードの推測やログイン警告も発生せず、セッショントークンは有効なままです。

この攻撃は、従来のフィッシング対策が検知するようなものではありません。偽のログインページも、怪しいリダイレクトもありません。認証情報の窃取は、通常通りメールが画面に表示される裏で静かに進行し、被害者は異常に気付くことができません。この受動性こそ、XSSベースの認証情報窃取がユーザー向けコントロールで検知しにくい理由です。SIEMプラットフォームに認証イベントログを連携し、未知のデバイスや予期しない地理的ロケーションからのセッションクッキー利用をフラグ化することが、IceCube型認証情報窃取を事後に検出する有効な手段となります。たとえXSSペイロード自体が検知されなくても、こうした仕組みで後から異常を把握できます。

CVE-2025-49113:サーバー側デシリアライズと永続的バックドア

CVE-2025-49113は、ユーザーのブラウザではなくサーバーレベルで動作します。RoundcubeのPHPコードベースに存在するデシリアライズ脆弱性で、攻撃者が細工したリクエストをメールサーバーに送信することで、サーバー上で任意のPHPコードを実行できてしまいます。

UNK_MassTractionは、この脆弱性を通じて2種類のペイロードを展開していることが確認されています。SquareShellは、サーバー側でコマンド実行を永続的に可能にするPHPウェブシェルで、Roundcubeサーバーを攻撃者が遠隔操作できる資産に変えます。VShellは、攻撃者インフラへの隠密なコマンド&コントロールチャネルを確立するGoベースのバックドアです。

いずれのペイロードも、単なるメール侵害とは質的に異なる攻撃に変化させます。サーバー自体に攻撃者が制御するバックドアが設置されることで、パスワードリセット後も生き残り、大学ネットワーク内の他システムへの横展開や、メールで送信されていないデータへのアクセスも可能となります。

両脆弱性の組み合わせは、情報収集の観点から合理的です。CVE-2024-42009は、サーバー側の痕跡を最小限に抑えつつメール内容や認証情報へアクセスでき、ステルス性が重視される収集作戦に適しています。CVE-2025-49113は、永続的な侵入拠点とネットワークアクセスを提供し、継続的な情報収集やより深い侵害を目的とする作戦に適します。両者を組み合わせることで、UNK_MassTractionはメール内容・認証情報・永続的なネットワークプレゼンスというフルスペクトルのアクセスを獲得します。CUIを扱うメールシステムでこれらのCVEいずれかによるデータ侵害が発生した場合、DFARS 252.204-7012に基づき発見から72時間以内にインシデント報告義務が発生します(流出確認ではなく発見時点からカウントされます)。

なぜ研究機関で自前運用のRoundcubeが構造的な問題なのか

Roundcube自体が本質的に怠慢な選択肢というわけではありません。機能的で広く利用されているオープンソースのWebメールアプリケーションです。問題は、多くの研究大学で採用されている運用・サポートモデルにあります。

研究機関での自前運用Roundcubeは、通常、専任セキュリティ担当者が限られ、運用上の優先順位に左右されるパッチ適用サイクル、メール配信前に専用の受信メールセキュリティインフラが設置されていないIT部門によって管理されています。

CVE-2024-42009は2024年に公開され、CVE-2025-49113は2025年指定の脆弱性です。UNK_MassTractionは、2026年半ば時点でこれらのパッチが適用されていない機関を標的に両方を悪用しています。これはゼロデイ攻撃ではなく、サードパーティアプリケーションのセキュリティパッチ適用が優先されにくい環境でのパッチ管理の失敗です。これはリソース配分の問題であり、能力の問題ではありません。大学のIT部門は多岐にわたるサービスを担っており、手が回らないのが現実です。

パッチ適用の失敗に加え、研究機関の自前運用Roundcube環境には、最新のエンタープライズメール環境では標準とされる複数のコントロールが欠如していることが一般的です:

  • 受信メールの脅威検査。 Roundcubeには、高度な脅威対策(ATP)データ損失防止 (DLP)、またはエンタープライズグレードのアンチウイルススキャンが受信メールパイプラインに統合されていません。メールは、悪意あるJavaScriptペイロードを実行前に検知できるコンテンツ検査なしにユーザーの受信箱に配信されます。CVE-2024-42009の攻撃チェーン全体は、悪意あるメールが受信箱に届き、Roundcubeで表示されることに依存しています。配信前に検査レイヤーを設ければ、この攻撃チェーンを入口で遮断できます。
  • 改ざん耐性のある監査ログ 認証情報侵害後のフォレンジック調査には、認証イベント、セッション活動、メールボックスアクセスの信頼できる集中型ログが必要です。自前運用のRoundcube環境では、アプリケーションログを集中・改ざん耐性のあるシステムに転送していないことが多く、インシデント後の再構築が困難で規制証明も難しくなります。
  • メール暗号化の強制。 多くの自前運用構成では、受信時のTLS強制が厳格なポリシーとして適用されておらず、機密性の高い研究データやCUIを含む通信が傍受されるリスクを生じさせています。

これらのギャップはすべて、NIST 800-171コンプライアンス違反でもあります。研究通信で輸出管理技術データにITAR義務が発生する機関では、暗号化されていないメール配信や監視されていないメールボックスアクセスが、武器輸出管理法(Arms Export Control Act)に基づく無許可輸出と見なされるリスクもあります。

このキャンペーンに潜むCMMCコンプライアンス問題

多くの大学のコンプライアンス担当者やITセキュリティチームは、「自組織がメール通信でControlled Unclassified Informationを扱っているか」という問いに正確に答えられていません。

しかし、DoD研究助成金を受ける物理学・工学・天体物理学部門(まさにUNK_MassTractionの標的)は、ほぼ確実に「はい」となります。DoD資金による研究助成には、デュアルユースや輸出管理に関わる技術仕様、国家安全保障プログラム関連の研究データ、国立研究所や防衛請負業者との連携など、CUIカテゴリが日常的に含まれます。助成契約に含まれるDFARS条項は、大学の学術的地位に関係なく、CMMCおよびNIST 800-171義務を受領機関に課しています。

CMMC 2.0コンプライアンスでは、CUIを扱う機関がNIST 800-171の110管理策すべてに準拠していることを証明する必要があります。研究機関に典型的な自前運用Roundcube環境は、UNK_MassTractionキャンペーンに直接関連する少なくとも3つのNIST 800-171管理策ファミリーに違反しています:

  • 管理策3.14.1 – 欠陥の是正。 機関は、情報システムの欠陥を特定・報告・是正する必要があります。CVE-2024-42009およびCVE-2025-49113のパッチが未適用のRoundcube運用は、この管理策を満たしていません。これは単なる手続き上のギャップではなく、UNK_MassTractionがまさに悪用している失敗です。
  • 管理策3.13.8 – 転送時の機密性。 組織は、CUIの転送時に不正な開示を防ぐ暗号化メカニズムを実装しなければなりません。RoundcubeがCUIを含むすべての通信でTLSを厳格な受信ポリシーとして強制していない場合、この管理策は満たされません。メール内容のAES-256暗号化(保存時だけでなく転送時も)は、認証情報窃取が成功してもセッションクッキーの価値を限定する追加レイヤーとなります。
  • 管理策3.3.1 – 3.3.9 – 監査と可監査性。 このフレームワークは、不正行為の監視・分析・調査・報告を支援するシステム監査記録の作成と保持を要求しています。認証イベント、セッションアクセス、メール配信の集中・改ざん耐性ログがない自前運用Roundcube環境では、これらの管理策を満たせません。

CMMCレベル2では、DoD契約・助成下でCUIを扱う組織に第三者評価が求められます。評価でこれらの管理策違反がDoD研究データの漏洩とともに判明した場合、影響はインシデント対応を超えて広がります。DFARSによる制裁が科される可能性もあり、CMMCコンプライアンスを証明できない機関は将来のDoD研究助成金の受給資格を失うリスクがあり、研究予算が連邦資金に大きく依存するプログラムにとっては重大な財政的打撃となります。サプライチェーンリスク管理義務は研究パートナーや下請けにも及びます。CMMCコンプライアンスを達成した機関が、未評価のパートナーとRoundcube経由でCUIをやり取りし続ければ、自組織のコンプライアンスプログラムでは解消できない第三者リスクを抱えることになります。

強化型メールプラットフォームが自前運用Roundcubeでは実現できないこと

自前運用のオープンソースWebメールとコンプライアンスグレードのメールプラットフォームの違いは、単なる設定の問題ではありません。アーキテクチャの問題、すなわち、そのプラットフォームが独立した監査・文書化が求められる規制環境で運用されることを前提に設計されているかどうかの違いです。

Kiteworksのメール保護ゲートウェイは、厳格なコンプライアンスとセキュリティ要件を持つ組織向けに構築された、受信・送信両対応のメールゲートウェイです。すべての受信メールは、アンチウイルス、DLP、ATPで受信箱到達前にスキャンされます。

UNK_MassTractionのシナリオでは、これが具体的かつ実践的な意味を持ちます。IceCube窃取ツールは、CVE-2024-42009を悪用するJavaScriptペイロードを埋め込んだ細工メールで配信されます。受信前にコンテンツを検査し、埋め込みスクリプトやメッセージ構造を悪意あるパターンとして分析・隔離するメールゲートウェイは、メールが受信箱に届く前にこのペイロードを検知・隔離します。CVE-2024-42009の攻撃チェーンは、細工メールがメールクライアントで表示されることを前提としていますが、EPGは配信段階でこのチェーンを遮断します。

受信スキャンに加え、Kiteworksプラットフォームは自前運用Roundcubeが生むNIST 800-171管理策違反を以下のように解消します:

  • FedRAMP中程度認証 KiteworksはFedRAMP中程度認証を取得しており、プラットフォームのセキュリティ管理策がFedRAMP中程度ベースラインに対して独立評価されています。連邦CUIをメールで扱う大学にとって、FedRAMP中程度認証済みプラットフォームは、システムセキュリティ計画だけでは実現できない独立検証・可監査性のあるコンプライアンスを提供します。
  • NIST 800-171管理策カバレッジ。 パッチ管理はKiteworksがプラットフォームレベルで実施し、機関ITスタッフによるアプリケーションの最新維持は不要です(管理策3.14.1に直接対応)。TLSはすべての通信でデフォルト強制されます。すべてのメールイベントは集中・改ざん検知可能なシステムに記録され、管理策3.3.1~3.3.9の監査・可監査性要件を満たします。メールゲートウェイ層でのきめ細かなアクセス制御により、認証済みユーザーのみがCUIを含むメールボックスにアクセスできるようになり、NIST 800-171のACドメイン管理策の前提条件も満たします(自前運用Roundcubeでは標準対応不可)。
  • ゼロトラスト・アーキテクチャによるセッション管理。 セッショントークンは、デバイスID、ネットワークコンテキスト、行動シグナルに基づき継続的に検証され、単なる提示だけで有効と見なされません。IceCubeで収集されたセッションクッキーが異なるデバイスや地理的ロケーションから利用された場合、チャレンジや無効化が発動し、無条件のアクセスは許可されません。

防衛産業基盤に属する機関(国家安全保障分野に人材・科学成果を供給する研究大学を含む)にとって、メールセキュリティは単なるIT機能ではありません。コンプライアンス義務を伴い、本キャンペーンが示す通り、実際に情報収集の標的となっています。

国家レベルの脅威やCMMCコンプライアンスリスクから防衛関連通信を守るKiteworksのソリューションについて、カスタムデモを今すぐご予約ください

よくある質問

UNK_MassTractionは、Proofpointが記録した中国系の脅威アクターで、少なくとも2026年5月以降、米国およびカナダの大学を標的としたスパイ活動キャンペーンを展開しています。特に天体物理学、素粒子物理学、防衛工学の研究部門(DoD研究助成金、国家安全保障用途、防衛産業基盤Defense Industrial Base研究エコシステムと直接つながるプログラム)を狙っています。金銭目的の犯罪グループとは異なり、UNK_MassTractionはデュアルユースや防衛用途の科学研究に焦点を当てた情報収集活動を行っているとみられます。キャンペーンの継続性と標的の明確さは、国家主導の情報収集プログラムと一致しています。DoD資金による大学研究に関係する組織(請負業者、国立研究所、パートナー機関など)は、直接的な標的証拠がなくても本キャンペーンを自組織の脅威モデルに直結するものとして扱うべきです。DoD研究エコシステムのプライム請負業者は、研究パートナーがCUIを含む通信に自前運用Roundcubeを利用していないか、サプライチェーンリスク管理レビューを早急に実施することが推奨されます。

CVE-2024-42009は、Roundcubeのメールレンダリングエンジンに存在するクロスサイトスクリプティング脆弱性です。細工されたメールを開くと悪意あるJavaScriptが実行され、IceCube窃取ツールがロードされ、被害者の認証済みセッションからセッションクッキー、ログイン認証情報、多要素認証(MFA)トークンが収集されます。CVE-2025-49113は、Roundcubeサーバー上でリモートコード実行を可能にするサーバー側のデシリアライズ脆弱性で、SquareShell(PHPウェブシェル)やVShell(Goバックドア)の展開を許します。両脆弱性とも、Roundcubeプロジェクトからパッチが提供されています。Proofpointが記録した問題は、パッチが存在しないことではなく、標的となる機関がパッチを適用していない点にあります。Roundcubeを運用しているすべての機関は、両CVEのパッチ適用を最優先事項とし、その後、パッチ適用前に侵害が発生していないか認証ログのフォレンジックレビューを行うべきです。IceCubeによる認証情報窃取の証拠が見つかった場合は、HIPAA、DFARS、または該当する州法に基づくデータ侵害通知義務の範囲を明確に文書化してください。

Controlled Unclassified Informationを含むDoD研究助成金を受けている大学は、CMMC 2.0コンプライアンス要件およびNIST 800-171コンプライアンス義務の対象となり、CUIを処理・保存・送信するすべてのシステム(メールシステムを含む)が該当します。助成契約に含まれるDFARS条項は、商用・非営利・学術機関の区別なく、これらの要件を受領機関に課します。DoD助成金を受ける機関の研究コンプライアンス部門やITセキュリティチームは、現行メールインフラの管理策を、メールセキュリティに最も関連するNIST 800-171管理策ファミリー(欠陥是正3.14.1、転送時の機密性3.13.8、監査・可監査性3.3.x)に照らしてマッピングすべきです。現行メールインフラでコンプライアンスを証明できない機関は、DoD助成契約違反となる可能性が高く、本キャンペーンが示すアクティブな脅威にも直面します。これらの管理策ファミリー全体のコンプライアンスギャップを定量化する正式なリスク評価は、メールインフラへの投資優先度を経営層に示す根拠となります。

Kiteworksのメール保護ゲートウェイは、攻撃チェーンを遮断すべきメール配信層でUNK_MassTractionの脅威に対応します。すべての受信メールは、アンチウイルススキャン、データ損失防止、高度な脅威対策で配信前に検査されます。CVE-2024-42009とIceCubeの文脈では、悪意あるメールがRoundcubeのレンダリングエンジンに到達する前に分析され、埋め込みJavaScriptペイロードが実行前に除去・隔離されます。Kiteworks EPGは送信メールのスキャンも提供し、適切なコンテンツコントロールのないメールセキュリティチャネルから機密研究データが流出するのを防ぎます。即時の脅威対応に加え、KiteworksのFedRAMP中程度認証インフラ、NIST 800-171管理策カバレッジ、包括的な監査ログは、CUIを扱う機関で自前運用Roundcubeが生むコンプライアンスギャップを解消します。CISOダッシュボードでは、すべてのメールトラフィックと認証イベントをリアルタイムで可視化でき、IceCubeによる認証情報窃取に伴う異常なセッション活動も統合監視レイヤーで検知可能です。

即時対応は3つのトラックで同時進行します。まずパッチ適用 – CVE-2024-42009とCVE-2025-49113の両方にRoundcubeプロジェクトからパッチが提供されており、計画的メンテナンスではなく緊急優先事項として扱うべきです。次にフォレンジックログレビュー – 認証ログを精査し、異常なセッション活動、予期しない場所からのログイン、通常のユーザー行動と異なるアクセスパターンを確認してください。IceCubeは再認証不要でアクセス可能なセッションクッキーを窃取するため、侵害の兆候に失敗ログインは含まれない場合があります。最後にコンプライアンスギャップ評価 – 現行メールインフラの管理策をNIST 800-171要件(欠陥是正3.14.1、転送時の暗号化3.13.8、監査ログ3.3.x)に照らしてマッピングしてください。現行インフラでコンプライアンスを証明できない場合、DoD助成下でCUIを扱う通信にメールプラットフォームが適切か再評価すべきです。強化されたFedRAMP中程度認証済みメールプラットフォームは、本キャンペーンが狙う技術的・コンプライアンス上のギャップを同時に解消します。また、インシデント対応計画を更新し、IceCube特有の侵害指標(予期しないIPレンジからのセッションクッキー再利用など)を、認証ログを監視するSIEMアラート設定の検知トリガーとして追加してください。

追加リソース

  • ブログ記事
    中小企業向けCMMCコンプライアンス:課題と解決策
  • ブログ記事
    防衛産業基盤サプライヤー向けCMMCコンプライアンスガイド
  • ブログ記事
    CMMC監査要件:アセッサーがCMMC準備状況で確認するポイント
  • ガイド
    機密性の高いコンテンツ通信のためのCMMC 2.0コンプライアンス・マッピング
  • ブログ記事
    CMMCコンプライアンスの真のコスト:防衛請負業者が予算化すべきポイント

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

Table of Content
Share
Tweet
Share
Explore Kiteworks