Adobe ColdFusion を狙ったサプライチェーン攻撃:250万件の悪意のリクエストを検出

2.5 Million+ Malicious Request From Hackers Attacking Adobe ColdFusion Servers

2025/12/29 CyberSecurityNews — Adobe ColdFusion サーバおよび 47 以上のテクノロジー・プラットフォームに対して、250 万件を超える悪意のリクエストを生成する組織的なエクスプロイト・キャンペーンが、2025年のクリスマス休暇期間中に発生した。この攻撃は、日本を拠点とするインフラを悪用する、単一の脅威アクターが実行したとされている。今回の攻撃が示すのは、20 年も前に発見された脆弱性と新たな脆弱性を標的とする脅威アクターが、高度なスキャン活動を展開している実態である。

このキャンペーンの ColdFusion フェーズでは、2023年〜2024年に公開された 10 件以上の深刻な脆弱性が悪用された。2025 年のクリスマス当日は、攻撃トラフィックの 68% を占めるというピークに至った。セキュリティ・チームの業務能力が低下する、ホリデー・シーズンのダウンタイムを意図的に狙った攻撃であり、監視体制のギャップを巧妙に突く行動である。

約 5,940 件のリクエストが、20カ国の ColdFusion サーバを標的とするものだった。それらのセッションの 68% は米国で発生している。CTG Server Limited がホストする、2つの主要な IP アドレス “134.122.136.119/134.122.136.96” が、攻撃トラフィックの大部分を生成していた。

Attack Heat map (Source: Greynoise)

脅威アクターが悪用したのは、アウトオブバンド・テストプラットフォーム ProjectDiscovery Interactsh によるコールバック検証である。それにより、oast.pro/oast.Site/oast.me の各サービス全体で、約 10,000 個の固有の OAST (Out-of-Band Application Security Testing) ドメインを展開した。

主な攻撃ベクターは、WDDX デシリアライゼーションの悪用により、JNDI/LDAP インジェクションをトリガーする手法であり、 “com.sun.rowset.JdbcRowSetImpl” ガジェット・チェーンを標的とするものだった。ただし、ColdFusion に関するアクティビティは、全体の攻撃活動のうち 0.2% に過ぎない。

キャンペーン全体の分析により明らかになったのは、Java アプリケーション・サーバ/Web フレームワーク/CMS プラットフォーム/エンタープライズ・アプリケーションなどに影響を与える、脆弱性 767 件が体系的に偵察されていたことだった。

最も頻繁に標的とされたのは、Confluence OGNL のインジェクションの脆弱性 CVE-2022-26134 (12,481 件) と、Shellshock の脆弱性 CVE-2014-6271 (8,527 件) であった。

ネットワーク・フィンガープリント分析では、4,118 個の固有の JA4H HTTP シグネチャが特定された。この結果が示唆するのは、テンプレートベースのスキャンが Nuclei または同様のフレームワークを用いて実行された可能性である。

攻撃者のインフラで確認されたのは、懸念すべき関連性である。過去において CTG Server Limited は、Chanel/Cartier などの高級ブランドを標的としたフィッシング・インフラをホストしていた。また、Bogon ルートをアナウンスしていた経緯もあり、ネットワーク衛生管理の不十分さが示唆される。

GreyNoise Labs によると、ユーザー組織にとって必要なことは、特定された IP アドレスおよび ASN を直ちにブロックすることである。さらに、公開されている JA4+ フィンガープリントのシグネチャを実装し、ColdFusion および Java ベース・インフラへのパッチ適用を優先すべきである。

このキャンペーンの規模と洗練度が示すのは、下流の攻撃に備えて活動する Initial Access Broker (IAB) に見られる高度な偵察能力である。

今回のキャンペーンは、Nuclei などの高度なスキャンツールを悪用する攻撃者が、20年以上前の古いものから最新のものまで、合計で 767件にも及ぶ膨大な脆弱性を体系的に偵察するというものです。セキュリティ・チームの手が薄くなるホリデーシーズンを狙った攻撃者は、Java ベース・システムに共通する信頼できないデータの取り込み (デシリアライゼーション) などの不備を突いて、効率的に侵入経路を探っていました。特に、ColdFusion や Confluence などの、企業で広く使われているシステムが標的となっています。こうした広範囲な偵察は、その後の本格的な攻撃への準備段階であることが多いです。文中でも指摘されている特定の IP アドレスのブロックや、Javaベースのインフラへのパッチ適用を優先的に進める必要がありそうです。よろしければ、IAB での検索結果も、ご参照ください。