innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

PHPの重大脆弱性を悪用した暗号通貨マイニング攻撃が急増中 – 日本の組織も標的に

PHPの重大脆弱性を悪用した暗号通貨マイニング攻撃が急増中 - 日本の組織も標的に - innovaTopia - (イノベトピア)

Last Updated on 2025-03-20 11:23 by admin

サイバーセキュリティ企業Bitdefenderの報告によると、脅威アクターがPHPの重大な脆弱性(CVE-2024-4577)を悪用して、暗号通貨マイナーやリモートアクセストロイの木馬(RAT)を配布する攻撃が急増している。

この脆弱性は、Windows系システム上でCGIモードで実行されているPHPに影響し、リモート攻撃者が任意のコードを実行することを可能にする。

この脆弱性は2024年6月7日に公開され、CVSS v3スコアは当初9.8(最大10点)と評価されたが、後に6.9に下方修正された。影響を受けるのはPHP 8.3.8未満、PHP 8.2.20未満、PHP 8.1.29未満のバージョンである。

攻撃は主に台湾(54.65%)、香港(27.06%)、ブラジル(16.39%)に集中しており、日本も1.57%の被害が報告されている。GreyNoiseの観測によると、2025年1月だけで1,089の固有IPアドレスがこの脆弱性を悪用しようとしていることが検出された。

検出された悪用の試みの約15%は基本的な脆弱性チェックを含み、別の15%はシステム偵察に関連している。BitdefenderのテクニカルソリューションディレクターMartin Zugecによると、検出された攻撃の約5%はXMRig暗号通貨マイナーの展開につながった。

他にも、2014年に設立されたNicehashマイナー(暗号通貨のためのコンピューティングパワーを販売できるプラットフォーム)の展開や、2014年7月に公開されたオープンソースのQuasar RATなどのリモートアクセスツールの配信が確認されている。

興味深いことに、一部の攻撃では脆弱なサーバー上のファイアウォール設定を変更して、エクスプロイトに関連する既知の悪意のあるIPへのアクセスをブロックする試みも観察されており、ライバルの暗号通貨採掘グループが脆弱なリソースの制御を競い合っている可能性が示唆されている。

この報告はCisco Talosが2025年初めから日本の組織を標的とした攻撃でPHPの脆弱性を悪用するキャンペーンの詳細を明らかにした直後に発表された。ユーザーは潜在的な脅威から保護するために、PHPインストールを最新バージョンに更新することが推奨されている。

from:Hackers Exploit Severe PHP Flaw to Deploy Quasar RAT and XMRig Miners

【編集部解説】

PHPの重大な脆弱性(CVE-2024-4577)が世界中で悪用されている状況について、より詳しく解説します。この脆弱性は2024年6月に公開されましたが、2025年3月現在も活発に悪用され続けており、特に注目すべき事例となっています。

まず、この脆弱性の技術的背景を理解しておきましょう。CVE-2024-4577は、Windows環境で動作するPHPのCGIモードにおける引数インジェクション脆弱性です。具体的には、Windowsの「Best-Fit」文字マッピング機能の挙動を悪用するもので、特定の文字(ソフトハイフン:0xAD)がハイフン(0x2D)に変換される仕様を利用しています。これにより、2012年に修正された古い脆弱性(CVE-2012-1823)の保護機能をバイパスし、リモートからの任意コード実行を可能にしています。

特筆すべきは、この脆弱性が特定の言語環境(中国語繁体字/簡体字、日本語)のWindows環境で特に影響を受けやすい点です。これは日本のユーザーにとって重要な警告となります。日本のシステムが直接標的にされているという報告もあり、Cisco Talosによれば2025年初頭から日本の組織を狙ったキャンペーンが確認されています。

攻撃者たちの手法も進化しており、単純な脆弱性チェックから始まり、システム偵察、そして最終的に暗号通貨マイナーやリモートアクセストロイの木馬(RAT)の配置へと段階的に攻撃を展開しています。特にXMRigやNicehashといった暗号通貨マイニングツール、QuasarなどのRATが主に使用されています。

興味深いのは、一部の攻撃者が侵入したサーバーのファイアウォール設定を変更して、他の攻撃者からのアクセスをブロックしようとする行動です。これはサイバー犯罪者間の「縄張り争い」とも言える現象で、限られた脆弱なリソースを巡る競争が激化していることを示しています。

この脆弱性の深刻さは、CVSSスコア9.8(最大10点)という当初の評価からも明らかですが、Bitsightの調査によれば、実際に脆弱なシステムの数は当初の予想より少なく、検出されたPHPインスタンスの約0.001%程度だったとの報告もあります。これを受けて、CVSSスコアは後に6.9(中程度)に下方修正されました。

しかし、たとえ影響を受けるシステムが限定的であっても、脆弱性が存在するシステムにとってのリスクは依然として高いままです。特に、GreyNoiseの観測によれば、2025年1月だけで1,089の固有IPアドレスがこの脆弱性を悪用しようとしていることが検出されており、攻撃は広範囲に及んでいます。

対策としては、PHPを最新バージョン(8.1.29、8.2.20、8.3.8以降)にアップデートすることが最も効果的です。また、Apache Rewriteモジュールでクエリパラメータをフィルタリングしたり、XAMPP環境ではPHP-CGIへのアクセスを無効化するなどの緩和策も有効です。

この事例は、オープンソースソフトウェアの脆弱性管理の重要性を改めて浮き彫りにしています。PHPは世界中のWebサイトの約78%で使用されている人気の言語であり、その脆弱性の影響範囲は非常に広いものとなります。

また、この脆弱性が2012年の脆弱性修正をバイパスするものであるという点も注目に値します。これは、セキュリティ対策が常に進化し続ける必要があることを示しています。一度修正された脆弱性でも、新たな攻撃手法によって再び問題となる可能性があるのです。

デジタルトランスフォーメーションが加速する現代社会において、こうしたサイバーセキュリティの課題は今後も増加していくでしょう。企業や組織は、定期的なセキュリティアップデートの適用、脆弱性スキャンの実施、セキュリティ意識の向上など、多層的な防御戦略を採用することが不可欠となっています。

【用語解説】

PHP:
1995年に開発されたWebアプリケーション開発用のプログラミング言語で、世界中のWebサイトの約78%で使用されている。WordPressなどの人気CMSの基盤となっている。

CGIモード:
Common Gateway Interfaceの略で、Webサーバーが外部プログラムと通信するための標準的な方法。PHPをApacheのRootユーザーではなく任意のユーザーで実行する方式で、セキュリティや安定性に優れているが、モジュール版より動作が遅い。

CVE-2024-4577:
Windows環境で動作するPHPのCGIモードにおける引数インジェクション脆弱性。特に中国語繁体字/簡体字、日本語のWindows環境で影響を受けやすい。CVSS v3スコアは当初9.8(最大10点)と評価されたが、後に6.9に下方修正された。

XMRig:
Monero(XMR)という匿名性の高い暗号通貨をマイニングするためのオープンソースツール。正規の用途もあるが、被害者のコンピュータリソースを無断で使用する「暗号通貨ジャッキング」に悪用されることが多い。

Nicehash:
複数の暗号通貨のマイニングをサポートするプラットフォーム。ユーザーは自分のコンピューティングパワーを「貸し出し」て収益を得ることができる正規サービス。

Quasar RAT:
2014年から存在するオープンソースのリモートアクセストロイの木馬。システム管理者が遠隔からコンピュータを管理するための正当なツールとして開発されたが、悪意ある目的にも転用可能。

LOTL(Living Off The Land)ツール:
システムに最初から存在する正規のツール(PowerShellやcmd.exeなど)を悪用する攻撃手法。正規ツールを使うため、セキュリティソフトによる検出が困難になる。

暗号通貨ジャッキング:
被害者のコンピュータリソースを無断で使用して暗号通貨をマイニングする攻撃。ランサムウェアと異なり、検出されないように静かに動作するのが特徴。

【参考リンク】

Bitdefender(外部)
ルーマニアに本社を置くサイバーセキュリティ企業。1,800人以上の従業員を抱え、150カ国以上で製品を展開している。

XMRig(外部)
Monero暗号通貨のマイニングソフトウェア。オープンソースで開発されており、CPUとGPUの両方でのマイニングをサポートしている。

NiceHash(外部)
暗号通貨マイニングのためのマーケットプレイス。ユーザーは自分のコンピューティングパワーを販売し、暗号通貨を獲得できる。

Monero(外部)
プライバシーを重視した暗号通貨。取引の匿名性が高く、追跡が困難なため、サイバー犯罪者に好まれる傾向がある。

PHP公式サイト(外部)
PHPプログラミング言語の公式サイト。ドキュメント、ダウンロード、セキュリティ情報などが提供されている。

【編集部後記】

テクノロジーの進化とともに、サイバー攻撃の手法も日々高度化しています。今回のPHP脆弱性の事例は、特にWeb開発やサーバー管理に携わる方々にとって重要な警告となるでしょう。皆さんのシステムでは定期的なセキュリティアップデートを実施していますか?また、不審なプロセスやリソース使用率の急増がないか、定期的な監視は行っていますか?セキュリティは「面倒なもの」ではなく、デジタル時代の「必須の習慣」として捉えることで、安全なオンライン環境を共に築いていけるのではないでしょうか。皆さんのセキュリティ対策について、ぜひSNSでシェアしていただければ幸いです。

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

author avatar
TaTsu
デジタルの窓口 代表 デジタルなことをまるっとワンストップで解決 #ウェブ解析士 Web制作から運用など何でも来い https://digital-madoguchi.com
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » PHPの重大脆弱性を悪用した暗号通貨マイニング攻撃が急増中 – 日本の組織も標的に

Latest News