Home / セキュリティ / PHPサーバーとIoT機器を狙うボットネット攻撃が急増中

PHPサーバーとIoT機器を狙うボットネット攻撃が急増中

2025年10月30日

出典: The Hacker News – https://thehackernews.com/2025/10/experts-reports-sharp-increase-in.html

原題: Experts Reports Sharp Increase in Automated Botnet Attacks Targeting PHP Servers and IoT Devices

PHPサーバーおよびIoTデバイスを狙うボットネット攻撃の急増

近年、PHPサーバーやIoT(モノのインターネット)デバイスを標的としたボットネット攻撃が急激に増加しています。サイバーセキュリティ研究者たちは、MiraiやGafgyt、Moziといった複数のボットネットがこれらのシステムを狙い、攻撃の自動化と拡大を進めていることを警告しています。

主要なポイント

  • 既知の脆弱性と設定ミスの悪用:PHPフレームワークやIoTデバイスの既知のCVE脆弱性(例:CVE-2017-9841、CVE-2021-3129、CVE-2022-47945など)やクラウド設定の不備を狙い、攻撃者は公開されたシステムを乗っ取っています。
  • PHPサーバーの脆弱性:WordPressやCraft CMSなどの普及により、多くのPHP環境でプラグインの更新不足や安全でないファイル保存などの問題が発生し、攻撃対象が拡大しています。
  • 開発ツールの悪用:Xdebugなどのデバッグツールが本番環境で誤って有効化されている場合、攻撃者はこれを利用してアプリケーションの挙動解析や機密情報の抽出を行うリスクがあります。
  • クラウドインフラの悪用:攻撃はAWSやGoogle Cloud、Microsoft Azureなどの正規クラウドサービスから発信されており、攻撃者はこれを利用して自身の正体を隠しています。
  • ボットネットの多様化と高度化:新種のボットネット「AISURU」はDDoS攻撃に加え、認証情報詰め込みやAI駆動のウェブスクレイピング、スパム、フィッシングなど多様な不正活動を可能にしています。

技術的な詳細や背景情報

ボットネットとは、多数の感染したコンピューターやIoTデバイスを遠隔操作し、攻撃や不正活動を行うネットワークのことです。今回の攻撃では、PHPの主要フレームワークであるLaravelやThinkPHP、PHPUnitのリモートコード実行脆弱性が悪用されています。これらの脆弱性は、攻撃者が遠隔から任意のコードを実行し、サーバーを乗っ取ることを可能にします。

また、XdebugはPHPのデバッグツールで、開発時にプログラムの挙動を解析するために使われますが、本番環境で有効なままだと攻撃者に悪用される危険があります。HTTPリクエストに特定のクエリ文字列を含めることで、攻撃者はデバッグセッションを開始し、機密情報を取得できる可能性があります。

さらに、IoTデバイスの脆弱性(例:Spring Cloud GatewayのCVE-2022-22947、TBK DVRシリーズのコマンドインジェクションなど)もボットネットの拡大に利用されています。これらのデバイスは多くの場合、セキュリティ対策が不十分であり、攻撃者にとって格好の標的となっています。

ボットネット「AISURU」は、家庭用ルーターやCCTV、DVRシステムを感染させ、20Tbpsを超える大規模DDoS攻撃を可能にするほか、住宅用プロキシサービスを提供し、攻撃者の匿名性を高めています。これにより、攻撃の検知や追跡が困難になっています。

影響や重要性

これらの攻撃は単なるサービス妨害(DDoS)にとどまらず、認証情報の窃取や不正アクセス、スパムやフィッシングの拡散など、多様なサイバー犯罪の温床となっています。特にIoTデバイスの普及に伴い、攻撃の対象が家庭や企業のネットワーク機器にまで広がっていることは深刻な問題です。

また、クラウドサービスを悪用した攻撃は、正規のインフラを利用するため防御側が攻撃トラフィックを識別しづらく、セキュリティ対策の難易度が上がっています。これにより、初心者レベルの攻撃者でも容易に大規模な攻撃を仕掛けられる環境が整ってしまっています。

まとめ

PHPサーバーやIoTデバイスを狙ったボットネット攻撃は、既知の脆弱性や設定ミスを悪用し、急速に拡大しています。攻撃者はクラウドインフラを巧みに利用し、匿名性を確保しながら多様な不正活動を行っています。

対策としては、システムやデバイスの最新状態の維持、不要な開発・デバッグツールの本番環境からの削除、機密情報の安全な管理(例:AWS Secrets ManagerやHashiCorp Vaultの利用)、クラウドインフラへのアクセス制限が不可欠です。ユーザーや管理者はこれらのポイントを理解し、適切なセキュリティ対策を講じることが求められます。

security-user

Related Posts

Google、「Chrome 142」でV8関連はじめ脆弱性20件を修正
2025年11月4日
不正アクセス受け情報漏えいの可能性│株式会社がんばる舎
2025年11月4日
メメントラボのスパイウェア「ダンテ」を用いた新たな標的型攻撃キャンペーン「フォーラムトロール」検出
2025年11月2日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です