概要

CanisterWormと呼ばれる新たなウィルスが、イランを標的としたデータ消去攻撃を開始しました。この攻撃は、経済的利益を得るためのサイバー犯罪グループによって実行されています。

攻撃の詳細

TeamPCPと呼ばれる新しいサイバー犯罪グループが、イランを標的としたデータ消去攻撃を開始しました。この攻撃は、脆弱なクラウドサービスを通じて拡散され、イランのタイムゾーンを使用しているシステムやファーサ語をデフォルト言語として設定したシステムでデータが削除されます。

TeamPCPの活動

TeamPCPは、2025年12月から企業向けクラウド環境を標的とし、Docker APIやKubernetesクラスター、Redisサーバー、React2Shell脆弱性などを攻撃してきました。その後、被害者のネットワーク内で横展開を行い、認証情報を盗み出し、Telegramを通じて身代金要求を行いました。

CanisterWormの仕組み

CanisterWormは、インターネットコンピュータプロトコル（ICP）カナスターと呼ばれるシステムを用いて展開されます。このシステムはブロックチェーンベースの「スマートコントラクト」で構成され、攻撃者が暴露されたインフラストラクチャを自発的に拡散する犯罪生態系に変換します。

影響と対策

Aikido.devのセキュリティ研究者Charlie Eriksenによると、この攻撃はイランのタイムゾーンやファーサ語をデフォルト言語として設定したシステムでデータが消去される仕組みになっています。また、TeamPCPはGitHub Actionsを通じて脆弱性スキャナTrivyにマルウェアを注入し、SSHキー、クラウド資格情報、Kubernetesトークンや暗号通貨ウォレットなどを盗みました。

今後の対応

Catalin Cimpanuは、GitHubがこの問題に対処するためにはセキュリティチームの強化が必要だと指摘しています。また、攻撃者がGitHub上で不正なコミットや「いいね」を購入して悪意のあるパッケージを検索結果に表示させる可能性があると警告しています。

元記事: https://krebsonsecurity.com/2026/03/canisterworm-springs-wiper-attack-targeting-iran/