中国系脅威アクターがアジア太平洋地域の組織を標的に、オープンソースのサーバー監視ツール「Nezha」を武器化した攻撃を展開している。
Huntressの調査に基づきDark Readingが報じた内容によると、攻撃者は露出したphpMyAdminパネルを悪用し、ログポイズニング手法でWebシェルを設置した。その後、中国の脅威アクター間で一般的なAntSwordプログラムでシェルを管理し、Nezhaを展開した。
Nezhaは本来、管理者が複数サーバーを監視・管理するための軽量プログラムで、GitHubで約10,000回のスターを獲得している正当なツールである。攻撃者はNezhaを自身のC2サーバーに接続し、PowerShellセッションを実行してWindows DefenderのCフォルダースキャンを無効化した後、最終的にGh0stRATを投下した。
2025年8月以降、6大陸の100以上の組織が感染し、被害は主に台湾、日本、韓国、香港、シンガポール、マレーシアに集中している。国際的なメディアコングロマリットや台湾の大学も標的となった。
From: 
China-Nexus Actors Weaponize ‘Nezha’ Open Source Tool
【編集部解説】
今回の攻撃が示すのは、サイバー攻撃における「正当なツールの武器化」が強まっている傾向です。Nezhaは本来、GitHubで約10,000スターを獲得する人気のサーバー監視ツールであり、中国を中心とした多くの管理者が日常的に利用しています。攻撃者がこうした正当なツールを選ぶ理由は明確で、セキュリティ製品による検出を回避しやすく、ネットワークトラフィックに紛れ込みやすいためです。
特筆すべきは、攻撃の技術的な洗練度の高さでしょう。phpMyAdminの認証不備を突いた侵入から、ログポイズニングによるWebシェルの設置、そしてWindows Defenderの無効化まで、一連の流れが迅速かつ体系的に実行されています。この手際の良さは、攻撃者が同様の手法を繰り返し実践してきたことを物語っています。
東南アジアへの攻撃集中も注目に値します。特に台湾が最大の標的となっており、地政学的な背景を感じさせる標的選定です。日本を含む6カ国が被害を受けており、国際的なメディア企業や大学といった大規模組織も標的となっている点から、単なる金銭目的ではなく、情報収集を主目的とした攻撃である可能性が高いと考えられます。
この事案が投げかける最大の課題は、オープンソースツールのセキュリティガバナンスです。開発者コミュニティにとって、自身のツールが攻撃に悪用されるリスクをどう管理するかは難しい問題となります。一方で、防御側は正当なツールと不正な使用を区別する必要があり、従来のシグネチャベースの検出では対応が困難になっています。行動分析やコンテキストベースの検出手法への移行が、今後さらに重要になるでしょう。
【用語解説】
Nezha(哪吒)
中国発のオープンソースサーバー監視・運用管理ツール。軽量設計で複数サーバーを一元管理できる機能を持つ。GitHubで約10,000スターを獲得しており、主に中国語圏で広く利用されている正当なツールである。
ログポイズニング
Webアプリケーションのログファイルに悪意のあるコードを注入し、そのログファイルを実行可能な形式で保存させることで、任意のコードを実行させる攻撃手法。phpMyAdminなどのデータベース管理ツールが標的になりやすい。
Webシェル
攻撃者がWebサーバー上に設置する不正なスクリプト。HTTPプロトコルを通じてサーバーへのリモートアクセスを可能にし、コマンド実行やファイル操作などを行える。
AntSword(蚁剑)
中国の脅威アクター間で広く使用されているWebシェル管理ツール。オープンソースで開発されており、侵入後の遠隔操作を容易にする機能を持つ。
Gh0stRAT
2000年代後半から存在する中国発のリモートアクセス型トロイの木馬(RAT)。感染したシステムへの完全な制御を可能にし、キーロガーやスクリーンキャプチャなどの機能を備える。
phpMyAdmin
MySQLおよびMariaDBデータベースをWeb経由で管理するためのオープンソースツール。直感的なGUIを提供するが、適切な認証設定がない場合、攻撃の入口となりやすい。
C2サーバー(Command and Control server)
攻撃者が侵入したシステムを遠隔操作するために使用する司令塔サーバー。マルウェアがこのサーバーと通信することで、攻撃者は命令の送信やデータの窃取を行う。
インフォスティーラー
認証情報、パスワード、クッキー、クレジットカード情報などの機密データを盗み出すことに特化したマルウェアの一種。
RMM(Remote Monitoring and Management)
リモート監視・管理ツール。IT管理者が遠隔地からシステムを監視・管理するための正当なツールだが、攻撃者によって悪用されるケースが増えている。
【参考リンク】
Nezha GitHubリポジトリ(外部)
Nezhaのオープンソースプロジェクト公式ページ。本来は正当なサーバー監視ツールであることが確認でき、機能説明やインストール方法が記載されている。
phpMyAdmin公式サイト(外部)
MySQLデータベース管理ツールphpMyAdminの公式サイト。セキュリティ設定のベストプラクティスやドキュメントが提供されている。
Dark Reading(外部)
サイバーセキュリティ専門メディア。今回の記事を掲載した元サイトで、企業向けのセキュリティニュースと分析を提供している。
【参考記事】
A New Tool Favored by China-Nexus Threat Actors(外部)
Huntressによる一次情報源。2025年8月以降、6大陸で100以上の組織がNezhaとGh0stRATに感染していることを報告している。
Chinese Hackers Weaponize Open-Source Nezha Tool in New Attack Wave(外部)
The Hacker Newsによる報道。東南アジアを中心とした攻撃キャンペーンの概要を解説している。
China-linked hackers target Asian organizations with monitoring tool(外部)
The Recordによる報道。台湾、日本、韓国などアジア地域の組織が主要な標的となっていることを強調している。
【編集部後記】
みなさんの組織では、サーバー監視ツールをどのように選定し、運用されていますか?今回の事案が示すのは、正当なツールであっても攻撃に悪用される可能性があるという現実です。特にオープンソースツールは導入コストが低く魅力的ですが、同時に攻撃者にとっても研究しやすい対象となります。
私たちも、この問題に明確な答えを持っているわけではありません。ただ、phpMyAdminのような管理ツールを公開する際の認証設定や、通常とは異なるツールの動作パターンを検出する仕組みについて、改めて見直す価値があるのではないでしょうか。みなさんの現場では、どのようなセキュリティ対策を実践されていますか?
