VPNサービス狙う大規模ブルートフォース攻撃についてシスコが注意喚起
(情報源:BleepingComputer 、Cisco Talos)
シスコは16日、同社やCheckPoint、FortinetなどのVPN・SSHサービスを利用するデバイスを狙った大規模なブルートフォース攻撃キャンペーンについて注意喚起した。2024年3月18日に始まったとされるこの攻撃は、特定地域/産業に的を絞らず「数撃ちゃ当たる」方式で世界各地のデバイスを標的にしているとみられ、関連するトラフィックは時間と共に増加している上、今後も増え続ける可能性が高いという。
ブルートフォース攻撃とは?
ブルートフォース攻撃とは、多数のユーザー名およびパスワードを当てずっぽうに使ってアカウントやデバイスへのログインを試み、正しい組み合わせを見つけようとする攻撃手法で、「総当たり攻撃」とも呼ばれる。この手法により正しい認証情報を手にした攻撃者は、これを使ってデバイスをハイジャックしたり、内部ネットワークへ侵入したりできるようになる。
なお今回シスコが発見した新たなブルートフォースキャンペーンでは、特定組織に関連する従業員の正規のユーザー名と、よくありがちで一般的なユーザー名とが併せて使われていたという。
標的となっているVPNサービス
シスコのレポートによれば、このキャンペーンで盛んに狙われているのは以下のサービス。前述の通り、特定の業界や地域に対象が絞られているわけではないことから、広範かつランダムに、また場当たり的に世界中のデバイスを標的にしている可能性が示唆されている。
- Cisco Secure Firewall VPN
- Checkpoint VPN
- Fortinet VPN
- SonicWall VPN
- RD Web Services
- Miktrotik
- Draytek
- Ubiquiti
攻撃の出どころはTorの出口ノードやプロキシサービス
シスコは、このキャンペーンのトラフィックの出どころであるIPアドレスは、いずれも以下のようなプロキシサービスに紐付いていると報告。ただこれは包括的なリストではなく、下記以外のサービスも使われている可能性があるという。
- Tor
- VPN Gate
- IPIDEA Proxy
- BigMama Proxy
- Space Proxies
- Nexus Proxy
- Proxy Rack
攻撃が成功した場合、標的となった組織の環境によっては、ネットワークへの不正アクセスやアカウントのロックアウト、DoS状態といった事態に繋がる可能性があるとされる。
なおシスコは、攻撃者のIPアドレスや、キャンペーンで使われるユーザー名・パスワードのリストなどを含むIoCをGitHub上で公開している。