PHPの重大な脆弱性を悪用する動きが活発化 日本企業への初期アクセス狙いか:Cybersecurity Dive
PHPの重大な脆弱性「CVE-2024-4577」が複数の国で大規模に悪用されていることが分かった。Cisco Talosによると、その中には日本も含まれており、国内企業の初期アクセスを得るためにこれを悪用する動きがあるという。
この記事は会員限定です。会員登録すると全てご覧いただけます。
GreyNoiseは、2025年3月7日(現地時間、以下同)のブログ投稿で「重大な脆弱(ぜいじゃく)性『CVE-2024-4577』が米国および英国などの複数の国で広範囲にわたって悪用されている。同脆弱性は『Windows』のシステムにおけるPHPのインストールに影響を与えるもので、アプリケーションが想定していない引数やコマンドを攻撃者が注入できるものだ」と述べた(注1)(注2)。
スキャンおよび解析サービスを提供するCensysの報告書によると、PHPに関連するこの脆弱性は2024年6月に初めて公表され、その直後にランサムウェア「TellYourPass」を含むさまざまな攻撃者やマルウェアキャンペーンからの攻撃にさらされた(注3)。
PHPに見つかった脆弱性 予想を上回る規模で攻撃者が悪用か
Ciscoのセキュリティチーム「Cisco Talos」は2025年3月3日の週にCVE-2024-4577に関連するものとして、未知の攻撃者によって実行された日本の標的に対する最近の攻撃を報告した。一方、GreyNoiseは「同脆弱性が複数の国で大規模に悪用されている」と述べた(注4)。
CVE-2024-4577が悪用されることで、Windowsデバイスの全てのバージョンにおけるPHPのインストールに影響があり、対象のシステムでリモートコードが実行される恐れがある。この脆弱性に関連して実行された最近の攻撃は当初、日本に限定されているように見えたが、GreyNoiseによると、そうではないようだ。
GreyNoiseはブログの投稿で次のように述べている。
「当社のデータによると、CVE-2024-4577の悪用の規模は当初の報告をはるかに超えるものだ。複数の地域で攻撃の試みが観測されており、2025年1月には米国およびシンガポール、日本、その他の国々で明らかな急増が見られた」
GreyNoiseのグローバルハニーポットネットワークからのテレメトリーデータによると、最近の立て続けの悪用活動は2024年11月に始まったという。同社は「Cybersecurity Dive」に提供した声明の中で「2024年11〜12月にかけて、私たちは米国やドイツ、日本、シンガポール、インドネシアで最も多くのトラフィックを観測した」と語った。
GreyNoiseの報告書によると、スペインや英国、インド、台湾、マレーシアを含む国々で2025年1〜2月に悪用活動の明らかな急増が見られたという。同社は「同年1月だけで1089個のユニークなIPアドレスからの悪用の試みを観測し、過去30日間に攻撃を実行したIPアドレスの40%以上がドイツと中国を拠点としている」と述べた。
大規模な悪用が単一のソースから実行されているかどうかは不明だ。GreyNoiseは「当社は2025年2月に、複数の国のネットワークに対する悪用の試みが急増したことを確認した。これは何かしらの思惑に基づくものと見られ、脆弱な対象への自動スキャンが増加していることを示唆している」とコメントした。
Cisco Talosの研究者たちは、通信および技術、教育など幾つかの業界でビジネスを営む日本の組織に対する初期アクセスを獲得するために、未知の攻撃者が同脆弱性を悪用しているのを観察した。攻撃は2025年1月に始まり、「TaoWu」と呼ばれる「Cobalt Strike」のキットのプラグインを使用しており(注5)、これは悪用後の活動に使われる。
Cisco Talosのチェタン・ラグプラサド氏はブログに次のように書いている。
「私たちは、攻撃者が被害者のデバイスの認証情報を盗もうとしていることに気が付いた。しかし、私たちは攻撃者の動機が単なる認証情報の収集を越えていると、ある程度の確信を持って評価している。これは永続性の確立やシステムレベルの権限への昇格、敵対的なフレームワークへのアクセスの可能性など、他の悪用後の活動を観察した結果だ。これらは将来の攻撃の可能性を示している」
(注1)CVE-2024-4577 Detail(NIST)
(注2)GreyNoise Detects Mass Exploitation of Critical PHP-CGI Vulnerability (CVE-2024-4577), Signaling Broad Campaign(GREYNOISE)
(注3)Critical PHP CVE is under attack ― research shows it’s easy to exploit(Cybersecurity Dive)
(注4)Unmasking the new persistent attacks on Japan(Cisco Talos Blog)
(注5)Cobalt Strike takedown effort cuts cracked versions by 80%(Cybersecurity Dive)
関連記事
なぜ医療機関はランサム対策に乗り出せない? 地方病院が語る“根深い課題”
医療機関を標的にしたランサムウェア攻撃が激化している。これに対して多くの病院は危機感を覚えているが、そう簡単に対策を講じられないのは業界特有の“根深い問題”が関係している。地方病院の生々しいセキュリティ実態を明らかにしよう。
「C++」存続の危機? 生みの親が安全なプログラミング言語への転換を模索
C++の生みの親であるビャーネ・ストロヴストルップ氏はC++を安全にするためにコミュニティーの協力を呼びかけた。政府や企業は安全なプログラミング言語に移行しており、メモリ安全性の問題がC++の存続を脅かしている。
セキュリティ人材不足の裏にある“からくり”と“いびつな業界構造”
セキュリティ業界の人材不足が深刻化している。専門スキルの要求は高まる一方で、実際の採用市場は厳しく、多くの求職者が職を得るのに苦労している。この背景には“いびつな業界構造”が関係していた。
無償トレーニングを提供 Googleが中小企業のセキュリティ強化に本腰
Googleは中小企業のセキュリティ強化を目的に「Japan Cybersecurity Initiative」を開始した。経産省らと連携して、基本的なセキュリティ対策を身に付けられる無償のトレーニングメニューなどを提供する。
© Industry Dive. All rights reserved.
人気記事ランキング
- Fortinet製デバイス1万6000台超がバックドア被害に 急ぎ対策を
- Entra IDで大規模なアカウントロックアウトが発生 原因は新機能か?
- 「ERPパッケージという概念がなくなる」 第三者保守ベンダーから見たERPの未来
- Appleの悲願がかなう TLS証明書の有効期間が最短47日に短縮へ
- 激化するフィッシング 「見極める」だけではどうにもならない今こそすべきこと
- 約1年ぶりに復活 VMwareが「ESXi」無償版を再提供
- IIJ、不正アクセスの続報を公表 Active! mailのゼロデイ脆弱性が原因
- 深層学習ライブラリPyTorchにリモートコード実行の脆弱性 急ぎ更新を
- CVEプログラム資金切れの危機回避 非営利財団設立で脱政府依存へ
- Fortinet製品群に複数の深刻な脆弱性 急ぎ対応を
ITmediaはアイティメディア株式会社の登録商標です。