1日あたり280万件のIP用いる大規模ブルートフォース攻撃が進行、VPNデバイス等が標的に

佐々山 Tacos

2025.02.10

2月8〜10日：サイバーセキュリティ関連ニュース

1日あたり280万件のIP用いる大規模ブルートフォース攻撃が進行、VPNデバイス等が標的に

BleepingComputer – February 8, 2025

およそ280万件ものIPアドレスを用いた大規模なブルートフォース攻撃が先月から実施されていると、脅威モニタリングプラットフォームのThe Shadowserver Foundationが報告。Palo Alto NetworksやIvanti、SonicWallなど、多様なネットワーキングデバイスの認証情報が狙われているという。

ブルートフォース攻撃は、想定し得るすべてのパスワード・ユーザー名を使い、正しい組み合わせが見つかるまでログインを試みる攻撃。正しい認証情報を入手した脅威アクターは、これを使ってデバイスを乗っ取ったり、ネットワークへ不正にアクセスしたりできるようになる。

Shadowserverによれば、しばらく前からブラジルを主な出どころとするブルートフォース攻撃が進行中で、その規模が最近かなり大きくなってきているという。攻撃に使われるIPアドレスの件数は1日あたりおよそ280万件に上り、うち110万件がブラジルのもの。これにトルコ（約13万5千）、ロシア（約13万3千）、アルゼンチン（約9万9千）、モロッコ（約8万6千）、メキシコ（約7万2千）が続くが、そのほかにも多数の国々のデバイスが攻撃に使われている。その大部分は、大規模ボットネットに侵害されることが珍しくないMikroTik、Huawei、Cisco、Boa、ZTEなどのルーターやIoTデバイスだという。これらのIPアドレスは多数のネットワークおよび自律システム上に点在しており、1つのボットネットを構成しているか、あるいはレジデンシャルプロキシネットワークに関連するオペレーションである可能性が高いとされる。

一方で標的になっているのは組織のファイアウォールやVPN、ゲートウェイ、およびその他のセキュリティアプライアンスといったエッジセキュリティデバイス。こうしたゲートウェイデバイスは、レジデンシャルプロキシオペレーションのプロキシ出口ノードとして、有害トラフィックを組織のエンタープライズネットワーク経由でルーティングするために使われる可能性がある。こうした「高品質」なノードを用いることで、攻撃の検出や阻止が難しくなるという。

エッジデバイスをブルートフォース攻撃から守るためのステップには、デフォルトの管理者パスワードを強力かつユニークなものに変更する、多要素認証（MFA）を設定する、信頼されたIPの許可リストを使う、不要な場合はWeb管理者インターフェースを無効化する、などが含まれる。また、初期アクセスに使われかねない脆弱性を排除できるよう、デバイスに最新のファームウェアやセキュリティアップデートを適用することも欠かせないとのこと。

英国政府がApple社に対し、暗号化されたクラウドデータへのバックドアアクセスを要求したとの報道

TechCrunch – February 7, 2025

英国の政府関係者がApple社に対し、暗号化されたユーザーのiCloudデータへ当局がアクセスできるようバックドアを作成してくれと密かに要請していたという。ワシントン・ポスト紙が報じた。

報道によると、この要請は英国調査権限法（Investigatory Powers Act：IPA2016）に基づいて1月に発出されたもの。当該政府関係者は特定のAppleアカウントに関連する限定的なアクセスを要求したのではなく、世界のあらゆるAppleユーザーがクラウド上へアップロードするエンドツーエンド暗号化されたファイルへの「包括的な」アクセスを要求したとされる。

ワシントン・ポスト紙は、Appleは英国内のユーザーへの暗号化クラウドストレージサービスの提供を止める可能性があると報じている。また、英国以外の国々のファイルへのバックドアアクセスが英政府へ提供されるわけではなさそうだという。

英国内務省の報道官はTechCrunchへ宛てたEメールの中で、「運営上の問題についてはコメントしません」と述べ、この要請について認めることも否定することもしなかったとのこと。