VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?:セキュリティニュースアラート
Cisco TalosはVPNやSSHサービスを標的とした大規模な総当り攻撃(ブルートフォース攻撃)が増加していると報告した。攻撃は匿名化ネットワークから発信され、複数のVPNサービスが攻撃の対象となっている。
Cisco Systemsの脅威インテリジェンスグループCisco Talosは2024年4月16日(現地時間、以下同)、VPNやSSHサービスを標的とした大規模な総当り攻撃(ブルートフォース攻撃)が増加していると報告した。
VPNを狙った大規模ブルートフォース攻撃に要注意 対象製品は?
Cisco Talosによると、2024年3月18日以降、VPNサービスやWebアプリケーション認証、SSHサービスなどへのブルートフォース攻撃が世界的に増加している。これらの攻撃は、通信の匿名性を高めるソフトウェア「Tor」(The Onion Router)の出口ノードや他の匿名化トンネルから発信されていることが同グループの監視によって明らかにされている。
この大規模ブルートフォース攻撃の影響を受けるサービスは以下の通りだ。
- Cisco Secure Firewall VPN
- Checkpoint VPN
- Fortinet VPN
- SonicWall VPN
- RD Web Services
- Miktrotik
- Draytek
- Ubiquiti
トラフィックの送信元IPアドレスは、一般的にプロキシサービスに関連していると判断されている。主なプロキシサービスは以下の通りだ。
- Tor
- VPN Gate
- IPIDEA Proxy
- BigMama Proxy
- Space Proxies
- Nexus Proxy
- Proxy Rack
このブルートフォース攻撃では、一般的なユーザー名や特定の組織の有効なユーザー名が利用されているという。Cisco Talosによると、これらの攻撃は無差別であり、特定の地域や業界を標的にしているわけではない。攻撃が成功すると不正なネットワークアクセスやアカウントのロックアウト、またはサービス運用妨害(DoS)が発生する可能性がある。
Cisco Talosは「攻撃はさまざまなVPNサービスを標的としているため、影響を受けるサービスによって緩和策は異なる」と説明している。同グループは、攻撃者のIPアドレスやブルートフォース攻撃で使用されたユーザー名およびパスワードなど、このキャンペーンに関するセキュリティ侵害インジケーター(IoC)の完全なリストを「GitHub」で共有している。
攻撃に関連するトラフィックは増加傾向にあり、今後さらに増える可能性がある。脅威アクターによるさらなるプロキシサービスの悪用が予想されており、上記リスト以外にもトラフィックの送信元IPアドレスは変化する可能性があるため注意が呼びかけられている。
関連記事
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
2024年3月に発生した日本の光学機器・ガラスメーカーHOYAのセキュリティインシデントについて、仏メディアがサイバー犯罪グループ「Hunters International」の関与を指摘した。同グループはHOYAに1000万ドルを要求しているという。 - PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
セキュリティに特化したPalo Alto Networks製のOS「PAN-OS」に脆弱性が見つかった。CVSS v4.0スコア10.0、深刻度「緊急」(Critical)に分類されているため、迅速な対応が求められる。 - 約半数の企業は“初期段階” アイデンティティーセキュリティに関する調査が公開
SailPointテクノロジーズジャパンは企業のアイデンティティーセキュリティの成熟度に関する調査結果をまとめた「アイデンティティー セキュリティ調査レポート 2023」を発表した。調査から約半数は成熟度の初期段階にいることが分かった。 - GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
遠隔から電話などで被害者をだましてマルウェアのインストールなどに誘導する“サポート詐欺”が頻発しています。GoogleやMetaのような広告プラットフォーマーが対処に乗り出さない以上、自分たちで身を守るしかありませんが、さてどうすればいいでしょうか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.