Trellixがソースコード流出——守る側の武器が攻撃者の手に

2026年5月、世界中の大企業にエンドポイント保護を提供するセキュリティ大手 Trellix（トレリックス） が侵害され、同社の主力セキュリティ製品の ソースコードの一部が外部に流出した可能性 が高いことが判明した。SharkStriker のセキュリティインシデント月次レポートによると、攻撃者は Trellix の内部リポジトリに侵入し、EDR/XDR エンジンのコア部分、検知ロジック、脅威インテリの内部スキーマを含むコードを持ち出したとされる。これは「セキュリティベンダー自身が守れなかった」典型例であり、5月最悪のサイバーインシデントとして業界に衝撃を与えている。

本記事では、Trellix とは何か、なぜソースコードの流出がこれほど深刻なのか、過去の類似インシデント（SolarWinds・Kaseya・CrowdStrike・Okta など）との比較、そして日本企業が今すぐ取るべき対応について、5000 字超で解説する。

何が起きたか——侵害の概要

SharkStriker が 2026 年 5 月にまとめたインシデントレポートによれば、Trellix の社内システムが第三者によって不正アクセスされ、以下のような情報が外部に流出した可能性が報告されている。

項目	内容
被害企業	Trellix（旧 McAfee Enterprise + FireEye の統合企業）
発覚時期	2026年5月上旬
流出した可能性のあるデータ	EDR/XDR 製品のソースコード、検知ルールセット、内部ドキュメント
攻撃手法	サプライチェーン経由の認証情報窃取＋内部リポジトリへの横展開（推定）
影響範囲	フォーチュン500 の 80% 超に導入されている主力 XDR 製品が対象
公表ステータス	一部報道済み、Trellix は事実関係の調査中とコメント

Trellix は 2022 年に McAfee Enterprise と FireEye（Mandiant 脅威インテリ部門は Google に売却）が Symphony Technology Group（STG） 傘下で統合・改名して誕生したセキュリティ大手だ。エンドポイント保護（EDR）、拡張型検知・対応（XDR）、メール/ネットワークセキュリティ、データ漏洩防止（DLP）まで幅広い製品ポートフォリオを抱え、米国連邦政府・防衛産業・フォーチュン500 のうち 80% 超に何らかの製品が導入されているとされる。日本国内でも、金融・製造・通信・官公庁などで広く採用されてきた。

この図は、McAfee Enterprise（1987年創業のアンチウイルス老舗）と FireEye（2004年創業の脅威インテリ大手）が、2022年1月に Symphony Technology Group の主導で統合され、Trellix というブランドで再出発した経緯を示している。両者の総買収額は140億ドル規模と言われ、米国セキュリティ業界の大型再編の象徴的事例だった。

なぜ「ソースコードの流出」がここまで深刻なのか

一般的な情報漏洩——たとえば顧客リストやメール内容の流出——とは異なり、セキュリティ製品のソースコードが流出することの深刻さは桁違いだ。理由は次の3点に集約される。

1. ゼロデイ脆弱性の宝庫

EDR/XDR 製品のソースコードには、脅威を検知するためのロジック、シグネチャ生成のアルゴリズム、カーネルレベルのフック処理、ネットワーク監視のパース処理などが詰まっている。攻撃者はこれを解析することで、未公開の脆弱性（ゼロデイ） を組織的に探索でき、Trellix を導入している顧客企業に対するゼロデイ攻撃を量産可能になる。

2. EDR 回避マルウェアの設計

近年のマルウェアは「EDR をいかに回避するか」を最重要課題としている。Trellix のソースコードがあれば、攻撃者は「Trellix が何を見ているか」「何を見ていないか」を完全に把握し、検知されないマルウェアを設計可能 になる。これは Pegasus（NSO Group）のようなスパイウェア開発者にとっても、ランサムウェアグループ（LockBit・BlackCat 系列）にとっても、極めて価値の高い資産だ。

3. サプライチェーン攻撃への悪用

最悪のシナリオは、Trellix の 更新サーバ／署名サーバ に攻撃者がアクセスする経路まで掴んでしまうケースだ。SolarWinds 事件（2020年）では、SolarWinds Orion の自動更新パイプラインに攻撃者がマルウェアを混入させ、米国政府機関・財務省・国防総省を含む 18,000 組織が侵害された。Trellix で同様のことが起きれば、世界中の数千社が一夜にして「自分で導入したセキュリティ製品から攻撃される」事態になりかねない。

この図は、攻撃者が Trellix の内部に侵入し、EDR エンジン・XDR 検知ロジック・脅威インテリ DB・署名/更新サーバといった中核資産にアクセスした場合、その影響がフォーチュン500 の顧客企業、米国連邦政府・防衛産業、そして日本の大手企業にまで連鎖的に波及する構造を示している。一次被害は Trellix だが、最終的なインパクトは顧客側に重く落ちる。

過去のセキュリティベンダー侵害事例との比較

セキュリティベンダーが標的になるのは Trellix が初めてではない。むしろ近年は「セキュリティ製品を持つ企業ほど狙われる」傾向が強まっている。直近5年の主要事例を比較する。

企業	発生年	流出内容	攻撃グループ（推定）	影響規模
SolarWinds	2020	Orion 製品の更新パイプラインへの侵入	APT29 / Nobelium (ロシア系)	18,000組織が影響
Kaseya	2021	VSA 製品のゼロデイ悪用	REvil (ランサムウェア)	MSP経由で1,500社にランサム
Okta	2022	サポートシステム経由で顧客テナント情報	LAPSUS$ / Scattered Spider	366顧客に影響
CrowdStrike	2024	ソースコード流出は否定、不具合配信で世界規模停止	攻撃ではなく品質事故	850万Windows端末がブルースクリーン
SentinelOne	2023	フィッシング経由のアカウント侵害 (限定的)	未公表	機微情報の流出は否定
Trend Micro	2022	一部の脆弱性が攻撃者に先回り悪用	APTグループ	パッチ提供で収束
Trellix	2026	EDR/XDR ソースコードの流出可能性	未公表 (APT想定)	フォーチュン500 + 政府機関

この比較から分かるのは、「セキュリティベンダー = 攻撃者にとっての最大の価値あるターゲット」という構造的事実だ。一社侵害できれば、その顧客企業すべてが副次的に侵害可能になる「ハブ攻撃」が成立する。SolarWinds が示したこの方程式は、いまだに有効である。

防御の転倒——セキュリティ製品が攻撃の武器に変わる構造

通常、Trellix のような EDR/XDR は「攻撃者と一般企業の間に立つ盾」として機能する。攻撃者がフィッシングメールでマルウェアを送り込んでも、EDR がプロセスの不審な挙動を検知して隔離・停止する。これが「正常な防御フロー」だ。

ところが今回のような事件では、この盾そのものが攻撃者に渡ってしまう。攻撃者は 「盾の内側の仕組み」 を理解し、その盾を回避する攻撃を組み立てる。防御が攻撃の踏み台になる という構造の転倒だ。

この図は、通常時の防御モデル（攻撃者 → 一般企業のエンドポイント → Trellix EDR が検知 → 防御成功）に対し、今回の攻撃では攻撃者がそもそも Trellix 本体を狙い、ソースコードから弱点を解析した上で EDR 回避マルウェアを開発する、という「防御の転倒」が起きていることを視覚化している。守る側の武器が逆向きに使われるという、サイバー防御の構造的脆弱性そのものを表している。

筆者の所感——なぜセキュリティベンダーは標的化するのか

セキュリティ業界には古くから 「医者の不養生」 という皮肉が存在する。「他人を守る職業の人ほど、自分自身の健康管理を怠る」というあの諺だ。サイバー業界では、CrowdStrike も SentinelOne も Trellix も、自社製品で他社を守るプロフェッショナルでありながら、自社の内部統制で躓くケースが繰り返されてきた。これは個社の油断というよりも、いくつかの構造的要因がある。

第一に、攻撃側にとってのリターンが極端に大きい。一般企業を100社侵害するより、セキュリティベンダー1社を侵害する方が、最終的な攻撃成功件数は10倍以上になり得る。

第二に、内部に「攻撃のヒント」が大量にある。脅威インテリ DB、レッドチームのツール、未公開の脆弱性情報——これらは攻撃者が喉から手が出るほど欲しい資産であり、それを抱えるベンダーは自然と一級ターゲットになる。

第三に、開発スピードと内部統制のトレードオフ。SaaS 時代のセキュリティベンダーは、検知ルールを毎日更新するためにエンジニアが本番リポジトリに頻繁にアクセスする。アクセス制御を厳格化すればするほど、製品の更新が遅れる。このバランスを完璧に取ることは至難の業だ。

そして、皮肉なことに Trellix の前身である FireEye 自体が、2020 年 12 月に SolarWinds 事件を世界に最初に公表した会社 である。当時、FireEye は Red Team Tools が流出したことを率先して公表し、業界から称賛された。それから 6 年後、同じ DNA を持つ Trellix がさらに大きな侵害に遭ったというのは、何とも皮肉な歴史の繰り返しと言える。

日本企業への影響——導入実績と代替検討

Trellix（旧 McAfee Enterprise）は日本市場に長い導入実績を持つ。McAfee 時代のアンチウイルス製品は1990年代後半から国内大手の標準的なエンドポイント対策として採用され、現在の Trellix XDR にもそのまま移行している顧客が多数存在する。具体的には次のようなセクターで広く使われている。

• 金融業界: 三大メガバンク・主要証券会社・大手生命保険
• 製造業: 自動車・電機・重工業の本社系システム
• 官公庁: 中央省庁・地方自治体の業務端末
• 通信・電力: 重要インフラ事業者の境界防御

これらの組織が「ソースコード流出を受けて Trellix を継続するか、他社製品に切り替えるか」を判断する局面に直面している。実際、2026年5月中旬時点で、複数の国内 CISO コミュニティで「代替候補の評価を始めた」という声が出ている。

国内企業が今すぐ取るべき対応（推奨手順）

1. Trellix 製品の導入有無を棚卸し: 自社のエンドポイント・サーバ・メールゲートウェイで Trellix（旧 McAfee）製品を使っているかを確認する
2. Trellix の公式アドバイザリを継続監視: 同社のサポートポータルおよびセキュリティ通知を毎日確認し、IoC（侵害指標）が公開されたら即座に検索する
3. EDR テレメトリの異常検知強化: SOC/MSSP に依頼し、Trellix エージェント自体が改ざんされていないかをハッシュ照合で確認する
4. 代替 EDR/XDR の評価 PoC を開始: CrowdStrike Falcon、SentinelOne Singularity、Microsoft Defender for Endpoint、Palo Alto Cortex XDR などの主要競合を 30〜90 日のトライアルで比較
5. ゼロトラスト前提の多層防御: 「EDR が突破された前提」での監視（ネットワーク側 NDR、ID 側 ITDR）を強化
6. パスワード/認証情報の総入れ替え: 業務システムの管理者アカウントは、エンタープライズ向けパスワードマネージャ（1Password Business）に集約し、ローテーション運用に移行

特に「6」は地味だが極めて重要だ。EDR が突破されたケースでは、攻撃者は次のステップで Active Directory や VPN の管理者アカウントを狙う。パスワード管理が紙やExcelで運用されている組織は、EDR 強化以前にここを潰さないと、いくら高価な検知製品を入れても無意味だ。

EDR/XDR 市場の代替候補比較

国内大手企業が代替検討する際の主要選択肢を整理する。

製品	ベンダー	強み	弱み	国内導入実績
Trellix XDR	Trellix	既存 McAfee 資産との互換性、低コスト	今回のインシデントで信頼性に課題	多数
CrowdStrike Falcon	CrowdStrike	クラウドネイティブ、AI 検知精度トップクラス	2024年7月の世界障害事件で運用懸念	急増中
SentinelOne Singularity	SentinelOne	自律応答、シングルエージェント	ライセンスが割高、UI が英語中心	中堅以上で増加
Defender for Endpoint	Microsoft	Microsoft 365 とのネイティブ統合	Windows以外の対応が弱め	E5 採用企業で標準
Cortex XDR	Palo Alto Networks	ファイアウォール統合、フォレンジック深い	高価、運用負荷大	大手中心
Trend Vision One	Trend Micro	日本発、サポート充実、官公庁実績	UI/UX で海外勢に劣る	国内シェア上位

Trellix から乗り換える際の 現実的な第一候補は Microsoft Defender for Endpoint だろう。多くの国内大企業は既に Microsoft 365 E5 を契約しており、追加コストなしで Defender for Endpoint が使える状態にある。次点は Trend Micro Vision One で、日本語サポートの厚さと官公庁での運用実績は他社が真似できない強みだ。CrowdStrike は技術力では随一だが、2024年7月の世界規模ブルースクリーン障害の記憶が新しく、「速さより安定」を求める日本企業には説明が必要な選択肢になる。

筆者の見解・予測——EDR ベンダー再編とゼロトラストの本格化

今回の Trellix インシデントが業界に与える影響は、単なる一社のレピュテーション低下にとどまらない。以下の3つの動きが今後12〜18ヶ月で加速すると筆者は予想する。

予測1: EDR ベンダー業界の再編が加速

Trellix の親会社 Symphony Technology Group は PE ファンドであり、出口戦略として IPO または戦略的売却を視野に入れていた。今回のインシデントは企業価値を直撃するため、Google Cloud（既に Mandiant を傘下に持つ）、Microsoft、Cisco などによる買収・分割売却が現実味を帯びる。CrowdStrike や SentinelOne も、自社の信頼性を相対的に強調する追加 IR を打ち出してくるだろう。

予測2: ゼロトラスト・アーキテクチャの「本気の」採用

これまで日本企業のゼロトラスト導入は「掛け声だけ」のケースが多かった。「EDR 入れたから大丈夫」「Microsoft 365 だから大丈夫」で止まっていた組織は、今回の事件で 「導入したEDRが信頼できない場合の防御」 という現実問題に直面する。ID 側の多要素認証、ネットワーク側のマイクロセグメンテーション、データ側の暗号化と DLP——これらを多層で組み合わせる本物のゼロトラストが、いよいよ予算化される局面に入る。

予測3: セキュリティベンダーの「自社防御」が認証要件化

今回のような事件を受け、政府調達・大企業の RFP では「セキュリティベンダー自身の内部統制」が評価項目に追加される動きが強まる。具体的には、ベンダー自身が ISO/IEC 27001 / SOC 2 Type II / FedRAMP High などの認証を保有しているかだけでなく、ソースコードリポジトリの監査ログ提出、侵害発生時の72時間以内通知契約、サードパーティ製ペネトレーションテストの結果公開 など、これまで「企業秘密」とされていた領域まで開示が要求されるようになる。Trellix は今後、契約更新時にこの種の追加開示を顧客から強く求められることになるだろう。

個人ユーザー・中小企業ができる対応

大企業ほど EDR/XDR を導入していない個人ユーザー・中小企業でも、今回のニュースから学べるアクションがある。

• OS 標準のセキュリティを最大限活用: Windows Defender、macOS XProtect / Gatekeeper はそれ自体が高度な EDR 機能を持つ。設定の見直しと自動更新の有効化を確認する
• パスワード再利用を完全に断つ: パスワードマネージャの導入は、もはや個人レベルでも必須。1Password のようなツールで全サービスのパスワードをユニーク化し、漏洩しても1サイトで止める
• 多要素認証 (MFA) の徹底: Google、Microsoft、Apple、銀行、SNS の各アカウントで MFA を有効化する。可能ならパスキー（FIDO2）に移行する
• 重要データの暗号化バックアップ: Time Machine（macOS）、ファイル履歴（Windows）、または外部 NAS への暗号化バックアップを週次以上で実施

まとめ——「セキュリティ製品を信じすぎない」というセキュリティ

Trellix のソースコード流出インシデントは、サイバーセキュリティ業界に「自分が買った盾も、いつかは破られる」という不愉快な真実を改めて突きつけた。だからといって EDR/XDR が無意味になるわけではない。重要なのは、

1. 単一製品に依存しない多層防御
2. ID・ネットワーク・データ・エンドポイントを横断する監視
3. 侵害が起きた前提でのインシデント対応訓練
4. ベンダー自身の内部統制への継続的な評価

という当たり前の原則を、改めて社内のセキュリティ戦略に組み込み直すことだ。日本企業の CISO・情報システム部門・SOC 担当者は、まず自社が Trellix 製品を使っているかどうかの棚卸しから始め、その上で IT 部門・経営層に対して「いまの防御は今回のような事件に耐えられるか」を率直に問い直すべき局面にある。

そしてその第一歩は、極めて地味だが効果の大きい「アカウントとパスワードの統制」から始まる。EDR がやられても、ID 側で多要素認証とパスワード管理が機能していれば、攻撃者の横展開は大幅に遅らせられる。エンタープライズ向けのパスワード管理基盤として、1Password Business のような実績あるツールを評価することは、今からでも遅くない投資判断だ。