プロバイダはAmazon、地理的位置は日本のIPアドレス251件がColdFusionなど狙うスキャンを実施

佐々山 Tacos

2025.10.17

プロバイダはAmazon、地理的位置は日本のIPアドレス251件がColdFusion、Struts、Elasticsearchの脆弱性狙うスキャンを実施

The Hacker News – May 28, 2025

今月初めに観測された、75件の異なる「エクスポージャーポイント」を標的としたクラウドベースのスキャン活動についてGreyNoiseが公表。発信元の有害IPアドレスはいずれも地理的位置が日本で、Amazonによりホストされていたという。

GreyNoiseは2025年5月8日、位置情報が日本でプロバイダがAmazonのIPアドレス251件によって実施された、高度に調和の取れた偵察キャンペーンを観測。これらのIPが見せた75件の異なる挙動には、CVE脆弱性の悪用や誤設定有無の調査、偵察活動などが含まれていたことを伝えた。いずれのIPも5月7日以前および9日以降は何の動きも見せていないことから、8日に行われた単一のオペレーション用に一時的にレンタルされたインフラであろうことが伺えるという。

このキャンペーンはAdobe ColdFusion、Apache Struts、Apache Tomcat、Drupal、Elasticsearch、Oracle WebLogicといった多様なテクノロジーを標的にしたもので、脆弱性の悪用試行など以下のようなスキャン活動が見受けられたとされる。

Adobe ColdFusionにおけるRCEの脆弱性CVE-2018-15961の悪用試行
Apache StrutsにおけるOGNLインジェクションの脆弱性CVE-2017-5638の悪用試行
Atlassian ConfluenceにおけるOGNLインジェクションの脆弱性CVE-2022-26134の悪用試行
Bashにおける任意のコードを実行される脆弱性CVE-2014-6271（Shellshock）の悪用試行
ElasticsearchのGroovy スクリプトエンジンにおけるサンドボックス保護メカニズムを回避される脆弱性CVE-2015-1427の悪用試行
CGIスクリプトスキャン
環境変数の露出有無調査
Git configのクローリング
シェルアップロードのチェック
WordPress投稿者のチェック

スキャン対象となったIPアドレスは、①CVE-2018-15961に対するものが295件、②CVE-2017-5638に対するものが265件、③CVE-2015-1427に対するものが260件。このうち①と②で重複するものは262件、①・②・③すべてで重複するものは251件あったとされる。この重複度合いについてGreyNoiseは、「単一のオペレーター、または多数の一時的なIPにわたって展開された単一のツールセットを指し示すものであり、日和見的ではあるが組織的なスキャンにおいてますます一般的になっているパターン」であると指摘した。