大規模ブルートフォース・キャンペーン:280万の IP の悪用と VPN デバイスなどへの攻撃

Massive brute force attack uses 2.8 million IPs to target VPN devices

2025/02/08 BleepingComputer — 約 280 万の IP アドレスの悪用を試みる、大規模なブルートフォース・パスワード攻撃が進行中であり、Palo Alto Networks/Ivanti/SonicWall などの各種のネットワーク・デバイスの、認証情報が推測されようとしている。

ブルート・フォース攻撃とは、多数のユーザー名とパスワードを使用して、正しい組み合わせが見つかるまで、アカウントやデバイスに繰り返してログインを試行するものである。正しい認証情報にアクセスした脅威アクターは、それを悪用して、デバイスの乗っ取りや、ネットワークへのアクセスを達成する。

脅威監視プラットフォーム Shadowserver Foundation によると、今回のブルートフォース攻撃は 2025年1月に発生しており、毎日約 280 万のソース IP アドレスが、攻撃で悪用されているという。

これらのトラフィック大半は、ブラジル (110 万) からのものであり、それに続くのがトルコ/ロシア/アルゼンチン/モロッコ/メキシコなどであり、きわめて多くの国々が、この悪意の活動に参加している。

Tweet

攻撃の対象となるのは、Firewall/VPN/Gateway などのセキュリティ・アプライアンスやエッジ・セキュリティ・デバイスであり、リモート アクセスを容易にするために、多くのケースでインターネットに公開されるものだ。

一連の攻撃を実行するデバイスは、主に MikroTik/Huawei/Cisco/Boa/ZTE などのルーターと IoT デバイスであり、それらの大半は大規模なマルウェア・ボットネットにより侵害されたものだ。

Shadowserver Foundation は、この活動は以前から継続しているものだが、最近になって遥かに大規模なものへ拡大していると、BleepingComputer への声明で指摘している。

さらに ShadowServer は、攻撃に用いられる IP アドレスの多くは、ネットワークと自律システムに分散しており、ボットネットや住宅用プロキシ・ネットワークに関連する、何らかのオペレーションである可能性が高いと述べている。

住宅プロキシとは、ISP のコンシューマ・ユーザーに割り当てられる IP アドレスであり、サイバー犯罪/スクレイピング/地理的制限の回避/広告検証/チケット転売などの用途で重宝されている。

これらのプロキシは、住宅ネットワーク経由でインターネット・トラフィックをルーティングし、ボット/データ スクレーパー/ハッカーであることを隠し、通常のホーム・ユーザーであるように見せかける。

このアクティビティのターゲットとなるゲートウェイ・デバイスは、住宅プロキシ・オペレーションのプロキシ出口ノードとして使用され、悪意のトラフィックをエンタープライズ・ネットワーク経由でルーティングする可能性を持つ。これらのノードは、評判の良い組織を装い、攻撃の検出/阻止が難しいため、脅威アクターたちにとって高品質と見なされる。

これらのエッジ・デバイスをブルート・フォース攻撃から保護するには、デフォルトの管理者パスワードの強力かつ一意のものへの変更/多要素認証 (MFA) を適用/信頼できる IP の許可リストの使用/不要な Web 管理インターフェースの無効化などがある。

そして、これらのデバイスに対して、最新のファームウェアとセキュリティ更新プログラムを適用することが、脅威アクターがイニシャル・アクセスを取得するさいに悪用する、脆弱性を排除する上で最も重要である。

2024年4月に Cisco は、CheckPoint/Fortinet/SonicWall/Ubiquiti/Cisco のデバイスを標的とする、大規模な認証情報ブルート・フォース攻撃キャンペーンについて警告している。また、2024年12月には Citrix も、Citrix Netscaler デバイスを標的とするパスワード・スプレー攻撃について警告している。

毎日約 280 万のソース IP アドレスという、膨大な数を対象としたブルート・フォース攻撃が展開されているとのことです。基本的な対策を怠ることが、深刻な被害につながる可能性があります。本文中に、ブルート・フォース攻撃に対する防御策が提示されていますので、ご確認ください。

また、以下のリストは、本文に記載されていたインシデントの記事です。よろしければ、Brute Force で検索と併せて、ご参照ください。

2024/12/16:Citrix NetScaler アプライアンス:パスワード・スプレー攻撃
2024/04/16:Cisco VPN サービス:大規模なブルートフォース攻撃