雑記

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC（IPアドレス・ドメイン）はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 2026 年 5 月の同じ週に、こんな組み合わせを見た。 The Hacker News の xlabs_v1 ボットネット記事 → ELK で確認したら、まったく同じサブネットから 11,000 件超の攻撃を観測済みだった Copy.Fail と Dirty Flag という Linux kernel のローカル特権昇格脆弱性が立て続けに公開 後者にはまだ CVE 番号すら付いていない リモートからの侵入観測と、侵入後の権限昇格対策は、本来なら別々の話に見える。けれど自分のように VPS にハニーポットを置いている側からすると、入口（攻撃の流入）と出口（侵入されたら何が起きるか）は地続きに見える。 今回は 「公式パッチを待つ間に kernel LPE を modprobe blacklist で塞ぐ」 というシンプルな手順のメモを書く。ついでに、その動機になった xlabs_v1 の話も軽くだけ触れる。 1. 入口の話：xlabs_v1 を ELK で照合してみた 5/7、The Hacker News が xlabs_v1 という Mirai 派生ボットネットの記事を出した。ADB（Android Debug Bridge、5555/tcp）経由で IoT デバイスを乗っ取り、DDoS-for-hire（Minecraft 等のゲームサーバを標的にした 21 種のフラッド変種を備える）として運用されるやつだ。 C2 は 176.65.139[.]44（AS51396 Pfcloud, ルクセンブルク）。 ...

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC（IPアドレス・ドメイン）はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 先日、OX Security がこんなレポートを公開した。 The Mother of All AI Supply Chains: Critical, Systemic Vulnerability at the Core of Anthropic’s MCP 要点だけ書くと、MCP サーバの設定ファイルにコピペしたコマンドが、そのまま OS 上で実行される設計になっている、という話だ。 「by design」と表現されているのが肝で、バグではない。Anthropic もその設計を認めた上で、サニタイズ（要は問題が無いかの検証）は開発者の責任だと述べている。 そもそもMCPってなんだっけ？ってなったので少しだけ調べなおしてみた。 そもそもMCP サーバとは何か Claude Code 、 GitHub Copilot Chat 、Gemini CLI等は、外部ツールと連携するために MCP（Model Context Protocol）という仕組みを使う。 設定ファイルにこう書くと、 { "mcpServers": { "example": { "command": "npx", "args": ["-y", "some-mcp-server"] } } } AI クライアントが起動時にこのコマンドを実行し、サーバとして立ち上げる。 「設定ファイルを編集しているだけ」という感覚になりやすいが、実態は OS コマンドの実行権限を設定ファイルに与えている のと同じだ。 何が問題なのか command と args に何を書いても、クライアントはそのまま実行する。入力値の検証はない。これが設計上の前提になっている。 ...