出典: The Hacker News – https://thehackernews.com/2025/10/experts-reports-sharp-increase-in.html
原題: Experts Reports Sharp Increase in Automated Botnet Attacks Targeting PHP Servers and IoT Devices
PHPサーバーとIoTデバイスを狙う自動化ボットネット攻撃の急増
近年、MiraiやGafgyt、Moziといった複数のボットネットがPHPサーバーやIoTデバイス、クラウドゲートウェイを標的にした自動化攻撃を急激に増加させています。Qualysの脅威調査部門が公開したレポートでは、既知の脆弱性やクラウド設定のミスを悪用し、攻撃者がボットネットの規模を拡大している実態が明らかになりました。
主要なポイント
- PHPサーバーが主な攻撃対象に:WordPressやCraft CMSなどの普及により、多くのPHP環境が設定ミスや未更新プラグインなどの脆弱性を抱えています。これにより、攻撃者はリモートコード実行などの攻撃を仕掛けやすくなっています。
- 代表的な脆弱性の悪用:CVE-2017-9841(PHPUnit)、CVE-2021-3129(Laravel)、CVE-2022-47945(ThinkPHP)などのリモートコード実行脆弱性が頻繁に狙われています。
- Xdebugの誤設定によるリスク:開発用デバッグツールXdebugが本番環境で有効なままだと、攻撃者がデバッグセッションを開始し、機密情報の抽出や挙動解析を行う可能性があります。
- IoTデバイスの脆弱性も標的に:Spring Cloud Gateway(CVE-2022-22947)やTBK DVRシリーズ(CVE-2024-3721)などの既知の脆弱性を悪用し、ボットネットに組み込む攻撃が続いています。
- クラウドインフラの悪用:AWSやGoogle Cloud、Azureなどの正規クラウドサービスを経由して攻撃が行われており、攻撃者は自身の正体を隠蔽しています。
技術的な詳細や背景情報
ボットネットとは、多数の感染デバイスを遠隔操作して攻撃を行うネットワークのことです。Miraiは特にIoT機器を狙ったボットネットとして有名で、DDoS攻撃を主な目的としています。今回のレポートでは、PHPサーバーにおけるリモートコード実行(RCE)脆弱性が多用されている点が特徴的です。RCE脆弱性とは、攻撃者が遠隔から任意のコードを実行できる欠陥であり、システムの完全掌握につながります。
また、XdebugはPHPのデバッグツールで、開発時にコードの挙動を詳細に解析するために使われますが、本番環境で有効化されていると攻撃者に悪用されるリスクが高まります。さらに、クラウドインフラの設定ミスや公開範囲の広さも攻撃成功の一因となっています。
ボットネット「AISURU(アイスル)」は、DDoS-for-hireサービスとして知られ、20Tbpsを超える大規模DDoS攻撃を実行可能な「TurboMirai」マルウェアを搭載しています。感染した消費者向けルーターやCCTV、DVR機器を住宅用プロキシとして悪用し、匿名性を確保しつつ多様な不正活動を行います。
影響や重要性
これらの攻撃は単なるDDoS攻撃に留まらず、認証情報の詰め込み攻撃やパスワードスプレー攻撃、AIを用いたウェブスクレイピング、スパム送信、フィッシングなど多岐にわたる不正活動を可能にしています。特にボットネットがユーザーの認証情報を盗み、正常なユーザーの位置情報やISP経由でのアクセスを模倣することで、異常検知を回避する高度な手法も確認されています。
クラウドサービスを悪用した攻撃は、正規サービスの信頼性を盾にするため検知が困難であり、企業や個人のセキュリティ対策の重要性が一層高まっています。
まとめ
PHPサーバーやIoTデバイスを狙った自動化ボットネット攻撃は、既知の脆弱性や設定ミスを悪用し急増しています。攻撃者はクラウドインフラを悪用し匿名性を確保しつつ、DDoS攻撃だけでなく認証情報窃取やスパム、フィッシングなど多様な攻撃を展開しています。
対策としては、システムやデバイスの最新状態の維持、開発用ツールの本番環境からの除去、秘密情報の安全な管理、クラウドインフラのアクセス制限が不可欠です。企業や個人はこれらのポイントを踏まえ、包括的なセキュリティ対策を強化する必要があります。
