Last Updated on 2025-06-04 09:09 by admin
クラウドセキュリティ企業Wizは2025年6月2日、JINX-0132と名付けた新たなクリプトジャッキングキャンペーンを発見したと発表した。
攻撃者はDocker、Gitea、HashiCorp ConsulおよびNomadの公開DevOpsサーバーを標的とし、設定ミスや脆弱性CVE-2020-14144を悪用してXMRig暗号通貨マイナーを配信している。
特にNomadの設定ミス悪用は初の公開事例である。攻撃者は独自インフラではなくGitHubリポジトリから直接ツールをダウンロードし、帰属特定を困難にしている。
JINX-0132は数百のクライアントを管理するNomadインスタンスを侵害し、月額数万ドル相当のCPUとRAMリソースを不正利用した。Shodanデータによると世界に5300台以上のConsulサーバーと400台以上のNomadサーバーが露出している。
露出は中国、米国、ドイツ、シンガポール、フィンランド、オランダ、英国に集中している。別途Sysdigは、Open WebUIシステムを悪用してAI生成Pythonスクリプトをアップロードし、T-RexやXMRigマイナーを配信する攻撃も報告した。世界に17000以上のOpen WebUIインスタンスがインターネットに露出している。
From: 
Cryptojacking Campaign Exploits DevOps APIs Using Off-the-Shelf Tools from GitHub
【編集部解説】
今回のJINX-0132によるクリプトジャッキング攻撃は、DevOpsエコシステムの構造的な脆弱性を浮き彫りにした重要な事案です。複数のセキュリティ研究機関の報告を総合すると、この攻撃の特徴と影響範囲が明確になります。
攻撃手法の巧妙さと新規性
最も注目すべきは、攻撃者が従来のマルウェア配信インフラを一切使用せず、GitHubの公式リポジトリから直接XMRigをダウンロードしている点でしょう。これは「Living off the Land」戦術の進化形とも言える手法で、セキュリティ製品による検知を困難にしています。また、HashiCorp Nomadの設定ミスを攻撃ベクターとして悪用した初の公開事例という点も、DevOpsセキュリティの新たな脅威領域を示しています。
DevOpsツールのセキュリティ設計思想の課題
特にNomadやConsulは「セキュア・バイ・デフォルト」ではない設計となっており、管理者が明示的にACL(アクセス制御リスト)を設定しない限り、誰でもAPIにアクセス可能な状態になってしまいます。この設計思想は開発効率を重視した結果ですが、セキュリティリスクとのトレードオフが浮き彫りになりました。
経済的インパクトの深刻さ
攻撃者が侵害したNomadインスタンスの中には、数百のクライアントを管理し、月額数万ドル相当のCPUとRAMリソースを持つものも含まれていました。これは単なる「小規模な不正マイニング」を超えた、企業のITインフラに対する深刻な経済的損失を意味します。
AI システムへの攻撃拡大
Sysdigが報告したOpen WebUIを標的とした攻撃は、AI/MLシステムのセキュリティ課題を浮き彫りにしています。17,000以上のOpen WebUIインスタンスがインターネットに露出している現状は、AI技術の急速な普及に伴うセキュリティ対策の遅れを示唆しています。
長期的な影響と対策の必要性
この事案は、DevOpsツールチェーンのセキュリティ設計に根本的な見直しが必要であることを示しています。特に、デフォルト設定でのセキュリティ強化、設定ミス検知の自動化、そしてゼロトラストアーキテクチャの導入が急務となるでしょう。
企業にとっては、DevOpsパイプラインのセキュリティ監査と継続的な設定管理の重要性が改めて浮き彫りになりました。今後、このような攻撃手法の模倣犯が現れる可能性も高く、業界全体でのセキュリティ意識向上が求められています。
【用語解説】
クリプトジャッキング
ユーザーの知らない間にコンピューターのリソースを悪用して暗号通貨をマイニングする攻撃手法。被害者のCPUやGPUを無断使用し、電気代や計算リソースを消費させながら攻撃者が利益を得る。
XMRig
Monero暗号通貨のマイニングに使用される合法的なオープンソースソフトウェア。高い匿名性を持つMoneroの特性から、クリプトジャッキング攻撃で頻繁に悪用される。
DevOps
開発(Development)と運用(Operations)を統合したソフトウェア開発手法。アプリケーションの開発から本番環境への展開までを自動化し、迅速なサービス提供を実現する。
API(Application Programming Interface)
異なるソフトウェア間でデータや機能を連携させるためのインターフェース。今回の攻撃では、設定ミスにより外部からアクセス可能になったAPIが悪用された。
CVE-2020-14144
Giteaに存在する脆弱性の識別番号。認証後にリモートコード実行が可能になる重大な脆弱性で、攻撃者がシステムを完全に制御できる危険性がある。
Living off the Land
攻撃者が独自のマルウェアを使用せず、標的システムに既に存在する正規のツールやプロセスを悪用する攻撃手法。検知回避に効果的とされる。
Shodan
インターネットに接続されたデバイスやサービスを検索できる検索エンジン。セキュリティ研究者が露出したサーバーの調査に使用するが、攻撃者も標的発見に悪用する。
【参考リンク】
Wiz(外部)
クラウドセキュリティプラットフォームを提供する企業。今回のJINX-0132攻撃キャンペーンを発見・分析した。
Docker(外部)
コンテナ技術のリーディングプラットフォーム。設定ミスによりAPIが露出すると攻撃の標的となりやすい。
HashiCorp Consul(外部)
サービス間の安全な通信を実現するサービスネットワーキングソリューション。
HashiCorp Nomad(外部)
軽量で高速なワークロードスケジューラー。コンテナ、バイナリ、仮想マシンなど様々なアプリケーションの展開と管理を行う。
Gitea(外部)
軽量なセルフホスト型Gitサービス。プライベートなコード管理環境を構築できるオープンソースソフトウェア。
Open WebUI(外部)
大規模言語モデル(LLM)用のセルフホスト型ウェブインターフェース。AI機能を拡張するためのPythonスクリプトアップロード機能が攻撃に悪用された。
Sysdig(外部)クラウドネイティブセキュリティプラットフォームを提供する企業。Open WebUIを標的とした攻撃キャンペーンを発見・報告した。
【参考動画】
【参考記事】
Wiz Blog – DevOps Tools Targeted for Cryptojacking(外部)
JINX-0132攻撃キャンペーンの詳細な技術分析レポート。攻撃手法、標的となったDevOpsツール、防御策について包括的に解説している。
SiliconANGLE – Sysdig detects AI-assisted malware(外部)
Open WebUIを標的としたAI支援マルウェア攻撃の詳細分析。AI技術が攻撃に悪用された初期事例として重要な報告。
【編集部後記】
今回のJINX-0132事案は、私たちが日常的に使用するDevOpsツールの設定一つで、企業のインフラ全体が攻撃者に乗っ取られてしまう現実を突きつけています。特に興味深いのは、攻撃者がGitHubという信頼できるプラットフォームから直接ツールをダウンロードし、従来の検知手法を巧妙に回避している点です。
皆さんの組織では、DockerやConsulなどのDevOpsツールをどのように管理されていますか?また、AIシステムの急速な普及に伴い、Open WebUIのような新しいツールのセキュリティリスクについて、どのような対策を検討されているでしょうか?この事案から学べる教訓について、ぜひご意見をお聞かせください。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
