Google Mandiantは、デジタル・ナレッジの国産LMS「KnowledgeDeliver」に、全顧客環境で共通のハードコードされたASP.NET machineKeyが存在することを発見。これにより、攻撃者は認証なしでリモートからコードを実行可能でした。 攻撃の連鎖は、CVE 2026 5426を悪用した不正アクセスから始まり、メモリ上で動作するWebシェル「Godzilla(BLUEBEAM)」を展開し、最終的にLMSを改ざんして偽のインストーラーを配布。利用者の端末に「Cobalt Strike Beacon」を感染させました。

Create a landscape editorial hero image for this Studio Global article: What was the CVE-2026-5426 zero-day vulnerability in the KnowledgeDeliver LMS, how was it exploited by threat actors to deploy Cobalt Strike. Article summary: **CVE-2026-5426** is a critical zero-day vulnerability in **Digital Knowledge KnowledgeDeliver**, a Japanese Learning Management System (LMS) built on ASP.NET. The root cause is a **hard-coded ASP.NET/IIS `machineKey` va. Topic tags: general, government, general web. Reference image context from search candidates: Reference image 1: visual subject "# KnowledgeDeliver LMS Zero-Day Exploited to Deploy BLUEBEAM Web Shell. A newly disclosed zero-day vulnerability in the KnowledgeDeliver Learning Management System (LMS) has been a" source context "KnowledgeDeliver LMS Zero-Day Exploited to Deploy BLUEBEAM ..." Reference image 2: visual subject "# New Knowledge Deliv
2025年末、Google傘下のMandiantが実施したインシデントレスポンス調査により、たった一つの設定不備が組織全体を揺るがす複数段階の侵害へと発展した典型的な事例が明らかになりました。標的となったのは、ASP.NETベースの国産ラーニングマネジメントシステム(LMS)として高いシェアを誇る、デジタル・ナレッジ社の「KnowledgeDeliver」です。
根本原因は、全顧客の導入環境に同一の内容で出荷されていた、静的なハードコードされたASP.NETのmachineKeyでした。この致命的な弱点、後にCVE-2026-5426として追跡される脆弱性は、正体不明の脅威アクターに対し、インターネットに公開されたLMSサーバー上で認証なしのリモートコード実行(RCE)を許しました。攻撃者はこの足がかりを単なるサーバー制御に留めず、信頼された教育プラットフォームを水飲み場(Watering Hole)へと変貌させ、最終的に何も知らない訪問者のワークステーションにCobalt Strike Beaconバックドアを展開したのです
。
CVE-2026-5426の深刻度は、根本的な設計上の過失に由来します。ASP.NETアプリケーションのweb.configファイルに記述されるmachineKey要素は、本来、ViewStateやフォーム認証チケットといった機微なデータの暗号化・検証に用いられる、環境ごとに一意で暗号論的に安全な秘密鍵であるべきです。しかし、デジタル・ナレッジ社は、すべてのKnowledgeDeliver顧客向けの標準設定ファイルに、validationKeyとdecryptionKeyの両方を含む、単一の静的なmachineKeyを同梱していたのです。
この鍵はすべての環境で同一であり、かつハードコードされていたため、事実上「公開された秘密」となりました。この鍵を入手した攻撃者は、悪意のあるシリアル化されたViewStateペイロードを偽造することが可能になります。細工されたPOSTリクエストを任意の.aspxページに送信するだけで、ASP.NETの改ざん防止機構を回避できてしまうのです。サーバーは偽造されたViewStateを正規のものとして受け入れ、デシリアライズ(逆シリアル化)を実行します。これにより、攻撃者は基盤となるIIS Webサーバー上で、認証を一切経由せずに任意のコードを実行できる状態に陥ります。NVD(National Vulnerability Database)はこの欠陥に対し、CVSSスコア7.5(High)を割り当てており、ネットワーク経由で未認証の攻撃者が容易に悪用できる点が評価されています
。
Mandiantの調査により、プラットフォーム自体を武器化し、その利用者を攻撃するという、高度で多段階にわたる攻撃チェーンが記録されました。
攻撃者はまず、インターネット上に露出したKnowledgeDeliverのログインページを特定し、慎重に細工したHTTP POSTリクエストを送信しました。このリクエストの本文には、既知のハードコードされたmachineKeyを用いて偽造された悪意のあるViewStateが含まれていました。デシリアライズの実行により、ペイロードはIISワーカープロセスの権限でコードを実行。これにより、攻撃者はサーバー上で未認証のまま最初の足がかりを確保したのです。
長期的なアクセスを維持するため、攻撃者はMandiantが内部的に「BLUEBEAM」として追跡する、メモリ上で動作するWebシェル「Godzilla」を展開しました。この.NETベースのツールにより、脅威アクターは悪意のある.aspxファイルをディスク上に一切残すことなく、コマンドの実行、ファイルのアップロード、サーバー管理を継続できました。この手法により、単純なファイルスキャンによる検知が極めて困難になります。
持続的なコマンドチャネルを確立した攻撃者は、Webシェルを用いてLMSプラットフォームが配信するJavaScriptファイルを改ざんしました。侵害されたサイトを訪れたエンドユーザーに対し、偽のセキュリティ警告やアップデート通知を表示するリモートスクリプトが注入されたのです。このソーシャルエンジニアリングの要素が、サーバー侵害をLMSを利用する全ての学生や従業員への直接的な脅威へと転換させる、決定的な分岐点となりました。
注入されたスクリプトは、被害者を騙して必要なプラグインやインストーラーに見せかけたファイルをダウンロードさせます。実際には、このダウンロードされたファイルは「Cobalt Strike Beacon」ペイロードでした。この非常に高性能なバックドアは、攻撃者の指令制御(C2)サーバーへの永続的な接続を確立し、被害者のワークステーションへの完全なリモートアクセスを攻撃者に与えます。
Mandiantの特筆すべき報告として、このペイロードファイルは侵害された組織名を暗号鍵として使用して暗号化されていました。この事実は、攻撃者が標的組織専用のペイロードを念入りに準備していたことを強く示唆しています。
Mandiantは自らの分析に基づき、影響を受けるKnowledgeDeliver環境の管理者に対し、即時および長期的な対応策を提示しています:
machineKeyを生成する: 最も重要なのは、web.configファイルにハードコードされたmachineKeyを、即座に新規生成した暗号論的乱数の鍵で置き換えることです。これは、自環境に固有の鍵である必要があります。これにより、CVE-2026-5426の核心部分が無力化されます.aspxページに対する異常なPOSTリクエストがないか調査してください。これはViewState悪用の試みを示す強力な痕跡です。エンドポイント検出・応答(EDR)ツールを用いて、サーバーおよびネットワーク全体でGodzilla WebシェルやCobalt Strike Beaconに関連するIOC(痕跡情報)をスキャンしてくださいこのインシデントは、サードパーティ製ソフトウェアにおけるセキュリティデフォルトの重要性を痛烈に示すものです。広く使用される製品に埋め込まれた、たった一つの共有秘密が、攻撃者にとってはサーバーを侵害するだけでなく、信頼されたアプリケーションをその全ユーザー基盤に対する武器へと変える「合鍵」になり得るという厳然たる事実を、我々は改めて認識する必要があります。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Google Mandiantは、デジタル・ナレッジの国産LMS「KnowledgeDeliver」に、全顧客環境で共通のハードコードされたASP.NET machineKeyが存在することを発見。これにより、攻撃者は認証なしでリモートからコードを実行可能でした。
Google Mandiantは、デジタル・ナレッジの国産LMS「KnowledgeDeliver」に、全顧客環境で共通のハードコードされたASP.NET machineKeyが存在することを発見。これにより、攻撃者は認証なしでリモートからコードを実行可能でした。 攻撃の連鎖は、CVE 2026 5426を悪用した不正アクセスから始まり、メモリ上で動作するWebシェル「Godzilla(BLUEBEAM)」を展開し、最終的にLMSを改ざんして偽のインストーラーを配布。利用者の端末に「Cobalt Strike Beacon」を感染させました。
2026年2月24日より前のバージョンのKnowledgeDeliverを利用している組織は、早急なmachineKeyの再生成とパッチ適用が強く推奨されます。この事案は、ソフトウェアサプライチェーンにおけるデフォルト設定のリスクを改めて浮き彫りにしています。