GoBruteforcer ボットネットの積極的な活動：５万台以上の公開 Linux サーバが攻撃領域

GoBruteforcer Botnet Targets Linux Servers

2026/01/09 InfoSecurity — インターネットに公開されている Linux サーバ を標的とする、GoBruteforcer と呼ばれるボットネットが、FTP／MySQL／PostgreSQL／phpMyAdmin などの一般的なサービスに対して大規模なブルートフォース攻撃を仕掛けている。1月7日 (水) に Check Point Research が公開した新たなアドバイザリが推定するのは、不適切な認証情報やソフトウェア・コンフィグにより、５万台以上の公開サーバが脆弱な状況にあるという可能性である。

GoBruteforcer は、侵害したマシンをスキャンおよび攻撃のノードへと変える。この攻撃により感染したマシンは、ランダムな IP アドレス範囲の調査や、一般的なユーザー名とパスワードを用いたログイン試行に悪用される。その結果として、新たな侵害が成功すると、データ盗難／バックドア作成／アクセスの転売／ボットネットのさらなる拡散につながる可能性がある。

このマルウェアが、発見／公開されたのは 2023年の初頭のことである。その一方で、2025年半ば以降に研究者たちは、より強力な亜種の存在を観測している。一連の新しいバージョンは、すべて Go 言語で記述されており、高度な難読化と強力な永続性に加えて、感染ホスト上で悪意のプロセスを隠蔽する手法が導入されている。

攻撃の規模と標的

現時点で観測されている攻撃活動の波は、２つの相反する傾向を持つ。１つは、予測可能なユーザー名と脆弱なデフォルト設定に依存する、標準的なデプロイメントの大掛かりな再利用である。もう１つは、最小限のセキュリティを持つ FTP サービスや管理パネルの防御を低下させやすい、XAMPP などのレガシー Web スタックの継続的な悪用である。

Check Point Research の研究者たちによると、この攻撃者はゼロデイ攻撃に依存していないという。その代わりにブルートフォース攻撃を採用し、長年にわたりドキュメントやチュートリアルなどで使われてきた、admin／password や一般的な運用ユーザー名といった単純な認証情報が繰り返し試行されている。

現状において、数百万規模のデータベースや FTP サーバがデフォルト・ポートで公開されており、広範な攻撃対象領域を形成している。その成功率は低いが、無防備なシステム数の多さにより、ブルートフォース攻撃は経済的に成立している。

GoBruteforcer のキャンペーンは、週に数回の頻度でローテーションされ、その標的も多様である。一般的なユーザー名をランダムな IP アドレスに散布するキャンペーンもあれば、より標的を絞ったキャンペーンも存在する。観測された攻撃には、ブロックチェーン関連データベースを狙った暗号資産関連ユーザー名や、WordPress サイトで頻繁に使用される phpMyAdmin パネルが含まれている。

金銭的動機と暗号資産活動

侵害されたサーバの１つでアナリストたちが発見したのは、TRON および Binance Smart Chain 上の残高とスウィープ・トークンをスキャンするために設計された Go ベースのツールである。そこで確認されたものには、ボットネットのコンポーネントに加えて、約 23,000 件の TRON アドレスを含むファイルもあった。

攻撃者が管理するウォレットに対するオンチェーン分析では、金銭目的の一部の攻撃が成功していることが示された。しかし、影響を受けたアドレスの大半は、わずかな残高しか保持していなかった。

この調査結果が浮き彫りにするのは、根深いセキュリティ問題である。具体的に言うと、無防備なサービス／脆弱な認証情報／デフォルト設定などが依然として存在し、攻撃者たちに確実な侵入口を提供し続けている。

GenAI により、サーバ 導入の障壁がさらに低下するにつれて、安全でないデフォルトのリスクが一層高まる可能性があると、Check Point Research は説明している。

この種の脅威に対処するためには、検出や削除だけでは不十分だと、同社は指摘している。つまり、安全なコンフィグの実践／認証情報の衛生管理／露出管理への継続的な注力が必要となる。

ブルートフォース攻撃が無くならない背景には、インターネットに公開されたサーバにおける、不適切な認証情報やソフトウェアのミスコンフィグの存在があります。具体的には、 “admin” や “password” といった推測されやすい単純なパスワードが使われている状況や、 XAMPP などのツールに含まれる管理パネルが、初期設定のまま外部からアクセス可能な状態になっている状況などがあります。それらが、ブルートフォース攻撃を成功させる要因となっています。特別な攻撃手法を使わずとも、こうした基本的な設定の不備を突くことで、攻撃者は容易に侵入を繰り返しています。よろしければ、カテゴリー BruteForce を、ご参照ください。