Source: https://thehackernews.com/2025/10/experts-reports-sharp-increase-in.html
🛡 概要
最近、サイバーセキュリティ研究者はPHPサーバーやIoTデバイス、クラウドゲートウェイを標的とした自動化ボットネット攻撃の急増を報告しています。これらの攻撃は、MiraiやGafgyt、Moziなどのボットネットによって実行されており、既知のCVE脆弱性やクラウドの設定ミスを悪用して、公開されたシステムの制御を奪うことを目的としています。特に、WordPressやCraft CMSなどのコンテンツ管理システムが広く使用されているため、PHPサーバーは最も目立つターゲットとなっています。
🔍 技術詳細
攻撃者は、以下のCVE脆弱性を利用してPHPフレームワークを狙っています。CVE-2017-9841はPHPUnitにおけるリモートコード実行の脆弱性であり、CVE-2021-3129はLaravelに、CVE-2022-47945はThinkPHPフレームワークにおける同様の脆弱性です。また、攻撃者はHTTP GETリクエストにおいて「/?XDEBUG_SESSION_START=phpstorm」というクエリ文字列を使用して、Xdebugデバッグセッションを開始する手法も観察されています。これにより、攻撃者はアプリケーションの動作を把握したり、機密データを抽出する可能性があります。
IoTデバイスに対しても、CVE-2022-22947(Spring Cloud Gatewayのリモートコード実行脆弱性)やCVE-2024-3721(TBK DVR-4104およびDVR-4216のコマンドインジェクション脆弱性)などが悪用されています。これらの脆弱性を利用することで、攻撃者はシステムをコントロールし、ボットネットに取り込むことが可能です。
⚠ 影響
自動化ボットネット攻撃の影響は広範囲に及びます。これにより、企業や個人のデバイスが乗っ取られ、機密情報が漏洩するリスクが高まります。特に、ボットネットは大量のIPアドレスを利用して、クレデンシャルスタッフィングやパスワードスプレー攻撃を大規模に実行できるため、被害が深刻化する可能性があります。また、NETSCOUTによると、DDoS攻撃を行うAISURUというボットネットは、20テラビット毎秒を超える攻撃を実行できる新たなマルウェアとして分類されています。このようなボットネットは、DDoS攻撃の他にも、クレデンシャルスタッフィングやフィッシングなどの違法行為に利用されることがあります。
🛠 対策
このような脅威に対抗するためには、ユーザーはデバイスを最新の状態に保ち、開発やデバッグツールを本番環境から削除することが重要です。また、AWS Secrets ManagerやHashiCorp Vaultを使用して秘密情報を安全に管理し、クラウドインフラへの公衆アクセスを制限することも推奨されます。ボットネットの脅威が増加する中、これらの対策を講じることで、リスクを軽減することが可能です。特に、ボットネットが新たな役割を果たすようになっている今日、適切なセキュリティ対策を講じることが不可欠です。
