1500台以上のPostgreSQLサーバが被害 クリプトマイナーキャンペーンに注意：セキュリティニュースアラート

WizはPostgreSQLサーバを標的にした新たなサイバー攻撃キャンペーン「JINX-0126」を報告した。このキャンペーンでは脆弱なPostgreSQLサーバの認証情報を利用し、ファイルレス型クリプトマイナー「XMRig-C3」を展開する。

[後藤大地，有限会社オングス]

　Wizは2025年3月31日（現地時間）、公開設定の「PostgreSQL」サーバを標的とする新たなサイバー攻撃キャンペーンが展開されていると伝えた。

　「JINX-0126」と呼ばれる攻撃者が簡単に推測できる脆弱（ぜいじゃく）な認証情報を持つPostgreSQLインスタンスを悪用し、ファイルレス型のクリプトマイナー「XMRig-C3」を展開していたことが確認されている。

脆弱なPostgreSQLサーバが標的　企業が取るべき対策は？

　クラウド環境ではPostgreSQLが広く利用されており、その約3分の1がインターネットに公開されているため、攻撃者にとって格好の標的となっている。Wizの調査によると、このキャンペーンでは1500台以上のサーバに影響を与えた可能性がある。

　攻撃者は公開されたPostgreSQLインスタンスをスキャンし、脆弱なパスワードを利用してログインする。その後、PostgreSQLの「COPY ... FROM PROGRAM」機能を悪用し、外部サーバからマルウェアをダウンロードして実行する。リモートからのコード実行を可能にすることで最終的にはクリプトマイナーを展開する。

　攻撃者はさらにPostgreSQLマルチユーザーデータベースサーバである正規の「postmaster」プロセスを模倣するために、postmasterという名前のGoバイナリーをダウンロードして実行する。postmasterはさらに「cpu_hu」と呼ばれる別のGoバイナリーを読み込む。このcpu_huはクリプトマイナーである「XMRig-C3」をダウンロードして実行する。

　このキャンペーンはクラウド環境を利用する企業にとって深刻な脅威となる。特にPostgreSQLを運用している組織は、次の対策を講じることが推奨される。

• 強力な認証情報の設定：　デフォルトのパスワードを使用しない。また、推測されにくい強力なパスワードを設定する
• アクセス制御の強化：　インターネットに公開する必要がない場合は、適切なファイアウォール設定を適用する
• 脅威検知ソリューションの導入：　ファイルレス攻撃を検出できるEDR（Endpoint Detection and Response）製品やクラウドセキュリティツールを活用する

　クラウド環境が急速に普及する中、適切なセキュリティ対策を怠った場合、攻撃者の格好のターゲットとなってしまう。企業は自社のデータおよびシステムを保護するために、設定の見直しや監視の強化といったセキュリティ対策を心掛けることが求められている。