Home / セキュリティ / Experts Reports Sharp Increase in Automated Botnet Attacks Targeting PHP Servers and IoT Devices

Experts Reports Sharp Increase in Automated Botnet Attacks Targeting PHP Servers and IoT Devices

2025年10月30日

出典: The Hacker News – https://thehackernews.com/2025/10/experts-reports-sharp-increase-in.html

PHPサーバーとIoTデバイスを狙う自動化ボットネット攻撃の急増

近年、PHPサーバーやIoT(モノのインターネット)デバイスを標的としたボットネットによる自動化攻撃が急激に増加しています。特にMiraiやGafgyt、Moziなどのボットネットが既知の脆弱性や設定ミスを悪用し、攻撃の規模と巧妙さを増していることがサイバーセキュリティ専門家によって報告されました。

主要なポイント

  • PHPサーバーの脆弱性悪用:WordPressやCraft CMSなどの広範な利用により、多くのPHPサーバーがプラグインやテーマの更新遅れ、設定ミスなどを抱え、攻撃の格好の標的となっています。
  • 代表的な脆弱性の存在:PHPUnit(CVE-2017-9841)、Laravel(CVE-2021-3129)、ThinkPHP(CVE-2022-47945)などのフレームワークにリモートコード実行の脆弱性が存在し、攻撃者に悪用されています。
  • 開発ツールの誤設定によるリスク:Xdebugのようなデバッグツールが本番環境で有効なままだと、攻撃者がアプリケーションの挙動解析や機密情報の抽出を行う可能性があります。
  • IoTデバイスの既知脆弱性の悪用:Spring Cloud Gatewayや特定DVR機器のリモートコード実行やコマンドインジェクション脆弱性が狙われ、ボットネットに組み込まれています。
  • クラウドインフラの悪用:AWSやGoogle Cloudなどの正規クラウドサービスを経由して攻撃が行われ、発信元の特定が困難になっています。

技術的な詳細や背景情報

ボットネットとは、多数の感染デバイスを遠隔操作して悪意ある活動を行うネットワークのことです。MiraiやGafgyt、Moziは特にIoT機器を感染源とするボットネットとして知られています。これらは既知のCVE(共通脆弱性識別子)を悪用し、リモートコード実行(RCE)などの攻撃を仕掛けます。

例えば、CVE-2017-9841はPHPUnitの脆弱性で、攻撃者が遠隔から任意のコードを実行可能にします。LaravelのCVE-2021-3129やThinkPHPのCVE-2022-47945も同様にリモートコード実行を許す重大な脆弱性です。これらを利用してサーバーを掌握し、ボットネットの一部として悪用されます。

また、XdebugはPHPのデバッグツールですが、本番環境で誤って有効化されていると、攻撃者がHTTPリクエストに特定のクエリ文字列(例:/?XDEBUG_SESSION_START=phpstorm)を付加してデバッグセッションを開始し、システム内部の情報を取得するリスクがあります。

IoTデバイスに関しては、Spring Cloud Gateway(CVE-2022-22947)やTBK DVRシリーズ(CVE-2024-3721)、MVPower TV-7104HE DVRの設定ミスなどが悪用されています。これらは認証なしでコマンド実行が可能となり、ボットネットへの組み込みを許します。

さらに、攻撃者はAWSやGoogle Cloudなどのクラウドインフラを経由して攻撃を行い、発信元の追跡を困難にしています。これにより防御側の対応が難しくなっています。

影響や重要性

これらの攻撃は単なるDDoS(分散型サービス拒否)攻撃に留まらず、認証情報の詰め込み攻撃やAIを用いたウェブスクレイピング、スパム、フィッシングなど多様な不正活動に利用されます。ボットネットは被害者の認証情報を盗み、ブラウザセッションを乗っ取ることで、異常検知を回避しながら攻撃を継続する高度な手法も使われています。

特に、NETSCOUTが分類した新種マルウェア「TurboMirai」は、20Tbpsを超える大規模DDoS攻撃を可能にし、家庭用ルーターやCCTV、DVRなどのCPE(顧客設置機器)を感染源としています。感染デバイスを住宅用プロキシとして悪用し、攻撃者の匿名性を高める機能も備えています。

まとめ

PHPサーバーやIoTデバイスに対するボットネット攻撃は、既知の脆弱性や設定ミスを狙った自動化攻撃が増加し、攻撃の規模と巧妙さが拡大しています。開発環境の誤設定やクラウドインフラの悪用も攻撃成功率を高めています。

対策としては、システムやデバイスの最新状態の維持、不要な開発・デバッグツールの本番環境からの削除、機密情報の安全な管理(例:AWS Secrets ManagerやHashiCorp Vaultの利用)、クラウドインフラの公開アクセス制限が不可欠です。これにより、攻撃のリスクを大幅に低減できます。

サイバーセキュリティの専門家は、これらの脅威に対して継続的な監視と迅速な対応を呼びかけており、組織や個人のセキュリティ意識向上が求められています。

security-user

Related Posts

Google、「Chrome 142」でV8関連はじめ脆弱性20件を修正
2025年11月4日
不正アクセス受け情報漏えいの可能性│株式会社がんばる舎
2025年11月4日
メメントラボのスパイウェア「ダンテ」を用いた新たな標的型攻撃キャンペーン「フォーラムトロール」検出
2025年11月2日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です