1500台以上のPostgreSQLサーバが被害 クリプトマイナーキャンペーンに注意:セキュリティニュースアラート
WizはPostgreSQLサーバを標的にした新たなサイバー攻撃キャンペーン「JINX-0126」を報告した。このキャンペーンでは脆弱なPostgreSQLサーバの認証情報を利用し、ファイルレス型クリプトマイナー「XMRig-C3」を展開する。
Wizは2025年3月31日(現地時間)、公開設定の「PostgreSQL」サーバを標的とする新たなサイバー攻撃キャンペーンが展開されていると伝えた。
「JINX-0126」と呼ばれる攻撃者が簡単に推測できる脆弱(ぜいじゃく)な認証情報を持つPostgreSQLインスタンスを悪用し、ファイルレス型のクリプトマイナー「XMRig-C3」を展開していたことが確認されている。
脆弱なPostgreSQLサーバが標的 企業が取るべき対策は?
クラウド環境ではPostgreSQLが広く利用されており、その約3分の1がインターネットに公開されているため、攻撃者にとって格好の標的となっている。Wizの調査によると、このキャンペーンでは1500台以上のサーバに影響を与えた可能性がある。
攻撃者は公開されたPostgreSQLインスタンスをスキャンし、脆弱なパスワードを利用してログインする。その後、PostgreSQLの「COPY ... FROM PROGRAM」機能を悪用し、外部サーバからマルウェアをダウンロードして実行する。リモートからのコード実行を可能にすることで最終的にはクリプトマイナーを展開する。
攻撃者はさらにPostgreSQLマルチユーザーデータベースサーバである正規の「postmaster」プロセスを模倣するために、postmasterという名前のGoバイナリーをダウンロードして実行する。postmasterはさらに「cpu_hu」と呼ばれる別のGoバイナリーを読み込む。このcpu_huはクリプトマイナーである「XMRig-C3」をダウンロードして実行する。
このキャンペーンはクラウド環境を利用する企業にとって深刻な脅威となる。特にPostgreSQLを運用している組織は、次の対策を講じることが推奨される。
- 強力な認証情報の設定: デフォルトのパスワードを使用しない。また、推測されにくい強力なパスワードを設定する
- アクセス制御の強化: インターネットに公開する必要がない場合は、適切なファイアウォール設定を適用する
- 脅威検知ソリューションの導入: ファイルレス攻撃を検出できるEDR(Endpoint Detection and Response)製品やクラウドセキュリティツールを活用する
クラウド環境が急速に普及する中、適切なセキュリティ対策を怠った場合、攻撃者の格好のターゲットとなってしまう。企業は自社のデータおよびシステムを保護するために、設定の見直しや監視の強化といったセキュリティ対策を心掛けることが求められている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
フィッシング攻撃の80%が日本狙い なぜそこまでターゲットになるのか?
日本プルーフポイントの調査によると、日本でDDoS攻撃やフィッシング攻撃が急増していることが分かった。特に全世界のフィッシング攻撃のうち、80%が日本を標的にしているという。狙われる背景には3つの要因があった。
なぜ医療機関はランサム対策に乗り出せない? 地方病院が語る“根深い課題”
医療機関を標的にしたランサムウェア攻撃が激化している。これに対して多くの病院は危機感を覚えているが、そう簡単に対策を講じられないのは業界特有の“根深い問題”が関係している。地方病院の生々しいセキュリティ実態を明らかにしよう。
それぞれのCSIRT組織 各社はどんな体制で、どんな活動をしてきたか?
2024年はKADOKAWAのランサムウェア被害など、国内でも注目を集めたインシデントが発生した。各社CSIRT組織はこれらの問題からどんな教訓を得て、どう組織運営に生かしたか。体制が異なる4社の取り組みを聞いた。
Oracle Cloudの侵害疑惑 流出したデータは本物だと複数の企業が確認
Oracle CloudのSSOログインサーバで侵害が発生した疑惑が持ち上がった。コンピュータ情報サイト「Bleeping Computer」は流出データの一部に対し、複数企業がその正当性を認めたと報じているが、Oracleは侵害を引き続き否定している。