「Proton66」ロシアの防弾ホスティングサービスが世界規模のサイバー攻撃拠点に – 最新脆弱性を悪用した多層的攻撃が進行中

2025年4月22日10:30

サイバーセキュリティニュース

「Proton66」ロシアの防弾ホスティングサービスが世界規模のサイバー攻撃拠点に - 最新脆弱性を悪用した多層的攻撃が進行中 - innovaTopia - （イノベトピア）

Last Updated on 2025-04-22 10:30 by admin

サイバーセキュリティ研究者らは、ロシアの防弾ホスティングサービスプロバイダー「Proton66」に関連するIPアドレスから発生している大規模スキャン、認証情報の総当たり攻撃、脆弱性の悪用の試みの急増を明らかにした。

この活動は2025年1月8日以降に検出され、世界中の組織を標的にしていると、Trustwave SpiderLabsが2025年4月14日と17日に発表した2部構成の分析レポートで報告している。

特にネットブロック45.135.232.0/24および45.140.17.0/24が大規模スキャンと総当たり攻撃において特に活発だった。問題となっているIPアドレスの多くは、これまで悪意のある活動に関与していなかったか、2年以上非アクティブだったものだ。

Proton66は別の自律システムPROSPEROと関連していると評価されている。2024年11月、フランスのセキュリティ企業Intrinsecは、ロシアのサイバー犯罪フォーラムでSecurehostとBEARHOSTという名前でマーケティングされている防弾サービスとの関連性を詳細に説明した。

Proton66からの悪意のあるリクエストは、2025年2月に以下の重大な脆弱性を悪用しようとしていた：

CVE-2025-0108: Palo Alto Networks PAN-OSソフトウェアの認証バイパスの脆弱性
CVE-2024-41713: Mitel MiCollabのNuPoint Unified Messagingコンポーネントの不十分な入力検証の脆弱性
CVE-2024-10914: D-Link NASのコマンドインジェクションの脆弱性
CVE-2024-55591および CVE-2025-24472: Fortinet FortiOSの認証バイパスの脆弱性

FortiOSの脆弱性の悪用は、初期アクセスブローカーMora_001に起因しており、SuperBlackと呼ばれる新しいランサムウェアを配信していることが観察されている。

Proton66に関連するマルウェアキャンペーンには以下が含まれる

侵害されたWordPressウェブサイトを使用して、AndroidデバイスユーザーをGoogle Playアプリリストを模倣したフィッシングページにリダイレクトし、悪意のあるAPKファイルをダウンロードするよう騙す活動（英語、フランス語、スペイン語、ギリシャ語を話すユーザーを標的）
韓国語を話すチャットルームユーザーを標的にするXWormマルウェアキャンペーン
ドイツ、オーストリア、リヒテンシュタイン、ルクセンブルク、スイスなどのヨーロッパ諸国のユーザーを標的にするStrelaStealer情報窃取マルウェアキャンペーン
WeaXorランサムウェア（Malloxの改訂版）の配布（復号化ツールに対して2,000ドルをBTCまたはUSDTで要求）

Proton66は、GootLoaderやSpyNoteなど複数のマルウェアファミリーのコマンド・アンド・コントロール（C2）サーバーやフィッシングページのホスティングにも使用されている。

セキュリティ専門家は、組織に対して潜在的な脅威を無効化するために、Proton66および関連する可能性が高い香港を拠点とするプロバイダーChang Way Technologiesに関連するすべてのクラスレスドメイン間ルーティング（CIDR）範囲をブロックすることを推奨している。

from:Hackers Abuse Russian Bulletproof Host Proton66 for Global Attacks and Malware Delivery

【編集部解説】

ロシアの防弾ホスティングサービス「Proton66」を起点とした大規模なサイバー攻撃について、複数のセキュリティ研究機関から詳細な報告が出されています。この事案は単なるマルウェア配布の話ではなく、現代のサイバー犯罪インフラの実態を示す重要な事例といえるでしょう。

防弾ホスティング（Bulletproof Hosting）とは、違法コンテンツや悪意あるプログラムの配布を許容し、法執行機関からの削除要請に応じないことを特徴とするホスティングサービスです。Proton66はまさにこの典型例で、サイバー犯罪者たちに安全な活動基盤を提供しています。

注目すべきは、Proton66が単独で活動しているわけではないという点です。Trustwave SpiderLabsの調査によれば、Proton66は別の自律システムPROSPEROと密接に関連しており、さらに香港を拠点とするChang Way Technologiesとも連携している可能性が高いことが判明しています。これは国境を越えたサイバー犯罪ネットワークの存在を示唆しています。

今回の攻撃で特に懸念されるのは、最新の脆弱性を狙った攻撃が行われていることです。Palo Alto Networks、Mitel、D-Link、Fortinetといった主要ベンダーの製品における脆弱性が標的になっています。これらの脆弱性は発見されてから間もないものも含まれており、攻撃者が最新の脅威情報に常に注目していることを示しています。

また、攻撃手法の多様性も特筆すべき点です。大規模スキャン、認証情報の総当たり攻撃に加え、WordPressサイトを侵害してAndroidユーザーを標的にするフィッシング、韓国語圏のチャットルームユーザーを狙ったソーシャルエンジニアリング、ドイツ語圏ユーザーを標的とした情報窃取マルウェアなど、地域や言語に応じた攻撃が行われています。

このような多様な攻撃は、Proton66が単一の攻撃グループに利用されているのではなく、複数の犯罪グループに「サイバー犯罪基盤としてのサービス」（Crime-as-a-Service）を提供していることを示唆しています。

企業のセキュリティ担当者にとって、この事例から学ぶべき重要な教訓があります。Keeper SecurityのPatrick Tiquetが指摘するように、多層防御（レイヤードセキュリティ）の重要性が改めて浮き彫りになりました。単一の防御策ではなく、脆弱性の迅速なパッチ適用、不審なIPアドレス範囲のブロック、認証システムの強化など、複数の防御層を組み合わせることが必要です。

特に注目すべきは、Bugcrowdの最高情報セキュリティ責任者Trey Fordが言及している「ベロシティチェック」の重要性です。これは単一のIPアドレスやネットブロックからの連続したログイン試行を監視する仕組みで、総当たり攻撃を早期に検知するのに役立ちます。

日本の組織にとっても他人事ではありません。グローバルに展開する攻撃の中には、アジア地域を特に標的にしたものも含まれており、韓国語ユーザーを狙った攻撃が確認されている点は注目に値します。地理的・言語的に近い日本も標的になる可能性は十分にあるでしょう。

今後の対策として、セキュリティ専門家は防弾ホスティングサービスに関連するIPアドレス範囲の包括的なブロックを推奨しています。Proton66だけでなく、関連する可能性のあるChang Way Technologiesのネットワークも含めて対策を講じることが重要です。

最後に、この事例はサイバーセキュリティの国際協力の難しさも浮き彫りにしています。ロシアを拠点とする防弾ホスティングサービスに対して、西側諸国の法執行機関が直接的な対応を取ることは政治的にも技術的にも困難です。このような状況下では、組織自身が積極的に防御策を講じることがますます重要になっています。

サイバー犯罪者たちは常に新しい攻撃手法を模索し続けています。今回のProton66の事例は、その一端を示すものであり、私たちはこうした脅威に対して常に警戒を怠らないようにする必要があるでしょう。

【用語解説】

防弾ホスティング（Bulletproof Hosting）：
法執行機関からの削除要請に応じず、違法コンテンツや悪意あるプログラムの配布を許容するホスティングサービス。

自律システム（Autonomous System）：
インターネット上で独自のルーティングポリシーを持つネットワークの集合体。

総当たり攻撃（Brute Force Attack）：
可能な全ての組み合わせを試すことでパスワードなどを解読しようとする攻撃手法。

C2サーバー（Command and Control Server）：マルウェアに感染したコンピュータを遠隔操作するために攻撃者が使用するサーバー。軍隊における「司令部」のような役割を果たす。

SVG（Scalable Vector Graphics）：
XMLベースのベクター画像形式。通常の画像と異なり、拡大しても画質が劣化せず、HTMLやJavaScriptを埋め込むことができる。

XWorm：
2022年に初めて発見されたリモートアクセストロイの一種。キーストロークの追跡、ウェブカメラやオーディオ入力のキャプチャ、DDoS攻撃の実行などの機能を持つ。

StrelaStealer：
情報窃取型マルウェアで、主にユーザーの認証情報やその他の機密情報を盗み出すことを目的としている。

WeaXor：
Malloxランサムウェアの改訂版として知られるランサムウェア。復号化ツールに対して2,000ドルをBTCまたはUSDTで要求する。

SuperBlack：
LockBit 3.0をベースにした新しいランサムウェア。ロシアの脅威アクターMora_001によって使用されている。

【参考リンク】

Fortinet（外部）
ネットワークセキュリティソリューションを提供する企業

Palo Alto Networks（外部）
次世代ファイアウォールやクラウドセキュリティソリューションを提供する企業

Mitel（外部）
ビジネスコミュニケーションソリューションを提供する企業

Keeper Security（外部）
パスワード管理ソリューションを提供するセキュリティ企業

【関連記事】

サイバー攻撃の手法は日々進化しています。皆さんの組織でも、IPアドレスのブロックリストは定期的に更新されていますか？また、SVGファイルなど一見無害に見えるファイル形式にも注意が必要になってきています。セキュリティ対策は「やったから安心」ではなく、常に最新情報をキャッチアップし続けることが重要です。皆さんはどのようにセキュリティ情報を収集していますか？ぜひSNSで共有いただければ幸いです。