Check Point Researchは、Go言語ベースのボットネット「GoBruteforcer」の2025年版新亜種を文書化した。このマルウェアは世界中のLinuxサーバーを標的とし、FTP、MySQL、PostgreSQL、phpMyAdminなどのインターネット公開サービスに対してブルートフォース攻撃を実行している。
現在、約570万台のFTPサーバー、223万台のMySQLサーバー、56万台のPostgreSQLサーバーがデフォルトポートで公開されており、5万台以上が脆弱である可能性がある。攻撃の主要因は、AI生成のサーバー設定例の大量再利用とXAMPPなどのレガシーWebスタックの存続である。GoBruteforcer の認証情報リストは1,000万件の漏洩パスワードデータベースの約2.44%と重複する。
2025年版ではIRCボットコンポーネントがGo言語で完全に書き直され、Garblerで難読化された。研究者は暗号通貨特化型キャンペーンも発見し、侵害されたサーバーから約23,000件のTRONアドレスを回収した。
From: 
GoBruteforcer Botnet brute-forces Passwords for FTP, MySQL, and phpMyAdmin on Linux Servers
【編集部解説】
このGoBruteforcer攻撃が示しているのは、AI時代における新しいセキュリティリスクの形です。大規模言語モデル(LLM)がサーバー設定例を生成する際、「appuser」や「myuser」といった汎用的なユーザー名を推奨するケースが多く、これが攻撃者の格好の標的となっています。
開発者が効率化のためにAIツールに頼る一方で、そこで生成されたコード例がそのまま本番環境に展開されるという構図が、新たな脆弱性を生み出しているわけです。
ブルートフォース攻撃自体は古典的な手法ですが、依然として驚くほど有効だという事実にも注目すべきでしょう。Google Cloudの2024年レポートでは、クラウド環境への侵入の47.2%が脆弱または欠落した認証情報によるものでした。成功率わずか2.44%でも、世界中に数百万台の露出したサーバーが存在する以上、攻撃者にとっては十分に採算が取れる計算になります。
特に懸念されるのが、開発環境用ツールの本番利用です。XAMPPのようなオールインワン開発スタックは手軽さゆえに人気ですが、デフォルトでFTP認証情報が設定されており、しかもFTPルートが直接Webアクセス可能なパスにマッピングされています。これは開発時の利便性を優先した設計であり、本番環境での使用を想定していません。
2025年版のGoBruteforcer では技術的な洗練も進んでいます。Go言語への完全移行、Garblerによる難読化、プロセス名偽装など、検知を回避する工夫が随所に見られるのです。さらに暗号通貨特化型のキャンペーンでは、侵害したサーバーからTRONやBinance Smart Chainのウォレットを探索し、資産を奪取する動きも確認されました。
対策の基本は変わりません。強固なパスワードポリシーの実装、不要なインターネット公開サービスの停止、多要素認証(MFA)の徹底、そして異常なログイン試行の監視です。ただし、AI時代においては「AIが生成したコードを無批判に本番環境へ展開しない」という新たな原則も加える必要があります。
技術の進化がもたらす利便性と、それに伴うセキュリティリスクのバランスを、改めて見直すタイミングに来ているのではないでしょうか。
【用語解説】
ボットネット
複数のコンピュータやIoTデバイスがマルウェアに感染し、攻撃者の指令により一斉に動作するネットワークのこと。感染したデバイスは「ボット」または「ゾンビ」と呼ばれ、DDoS攻撃やスパム送信、ブルートフォース攻撃などに悪用される。
ブルートフォース攻撃
総当たり攻撃とも呼ばれ、可能なパスワードの組み合わせを機械的に試行し、正しい認証情報を見つけ出す攻撃手法である。辞書攻撃とは異なり、すべての文字列パターンを体系的に試す。
Go言語(Golang)
Googleが開発したプログラミング言語で、高速なコンパイル、並行処理の容易さ、クロスプラットフォーム対応が特徴である。近年、マルウェア開発にも使用されるケースが増えている。
IRC(Internet Relay Chat)
リアルタイムでテキストメッセージをやり取りするプロトコルである。ボットネットではC&C(コマンド&コントロール)通信に利用されることがあり、複数のボットに指令を送る際の通信基盤として機能する。
Garbler
Go言語で書かれたプログラムを難読化するツールである。コードの構造を複雑化し、リバースエンジニアリングやマルウェア解析を困難にする目的で使用される。
FTP(File Transfer Protocol)
ファイル転送プロトコルの略で、ネットワーク上でファイルを送受信するための通信規約である。古典的なプロトコルであり、暗号化されていない通信が行われるため、セキュリティ上の懸念がある。
phpMyAdmin
MySQLデータベースをWeb経由で管理するためのオープンソースツールである。GUI操作でデータベースの作成、編集、削除などが可能だが、インターネットに公開する際は適切な認証とアクセス制限が必要となる。
大規模言語モデル(LLM)
膨大なテキストデータで学習された人工知能モデルで、自然言語の生成や理解を行う。ChatGPTやGeminiなどが代表例であり、コード生成やサーバー設定の提案にも活用されている。
多要素認証(MFA)
パスワードだけでなく、生体認証やワンタイムパスワードなど、複数の認証要素を組み合わせて本人確認を行うセキュリティ手法である。ブルートフォース攻撃への有効な対策となる。
TRON
分散型ブロックチェーンプラットフォームで、デジタルコンテンツの配信やスマートコントラクトの実行に利用される。独自の暗号通貨TRXを持ち、高速な取引処理が特徴である。
【参考リンク】
Check Point Research(外部)
サイバーセキュリティ企業Check Pointの研究部門。脅威インテリジェンスと最新のマルウェア分析レポートを公開している。
XAMPP(外部)
Apache、MySQL、PHP、Perlをパッケージ化した無料の開発環境ツール。デフォルト設定のまま本番環境で使用するとセキュリティリスクが高まる。
Cyber Security News(外部)
サイバーセキュリティに関する最新ニュース、脅威情報、脆弱性レポートを提供するメディアプラットフォーム。
【参考記事】
Inside GoBruteforcer: AI-Generated Server Defaults, Weak Passwords, and Crypto-Focused Campaigns(外部)
Check Point Researchによる公式調査レポート。GoBruteforcer ボットネットの技術的詳細、AI生成サーバー設定の悪用、暗号通貨特化型キャンペーンについて包括的に分析している。
Weak credentials behind nearly half of all cloud-based attacks(外部)
Googleの2024年Cloud Threat Horizonsレポートに基づく記事。クラウド環境への侵入の47.2%が脆弱または欠落した認証情報によるものであることを報じている。
50,000 Servers Exposed as GoBruteforcer Scales Brute-Force Attacks(外部)
eSecurity Planetによる報道。GoBruteforcer の規模拡大と5万台のサーバー露出について詳述し、企業が取るべき対策についても言及している。
The Hidden Dangers of Default Credentials: Why Changing Them is Crucial for Your Security(外部)
デフォルト認証情報のリスクについて解説した記事。AIツールが生成するサーバー設定例にも触れ、セキュリティベストプラクティスを提示している。
Remove Default Users/Passwords from XAMPP Filezilla FTP(外部)
XAMPPのFileZilla FTPからデフォルトユーザーとパスワードを削除する方法を解説。開発環境用ツールのセキュリティ強化の実践的なガイドを提供している。
【編集部後記】
みなさんの開発環境や業務で使用しているサーバーは、デフォルト設定のまま稼働していませんか? 特にAIツールが生成したコード例をそのまま本番環境に展開しているケースがあれば、一度立ち止まって見直してみる価値があるかもしれません。
この記事を通じて、私自身も「利便性とセキュリティのバランス」について改めて考えさせられました。開発スピードを重視する現代において、どこまでセキュリティに時間を割くべきか——正解のない問いですが、みなさんはどう向き合っていますか? ぜひご意見をお聞かせください。
