ニュースに戻る
速報

NGINXサーバーを標的としたトラフィックハイジャック攻撃キャンペーンが発生

1分で読めますソース: BleepingComputer

サイバー攻撃者がNGINXサーバーを侵害し、ユーザートラフィックを不正リダイレクトする攻撃キャンペーンが確認されました。データ漏洩やマルウェア感染のリスクに対する対策を解説。

進行中のサイバー攻撃でNGINXサーバーが悪用される事例をセキュリティ研究者が確認

セキュリティ研究者らは、攻撃者がNGINXサーバーを侵害し、ユーザートラフィックを攻撃者が制御するインフラストラクチャへリダイレクトする活発な攻撃キャンペーンを特定しました。現在も調査が進行中のこの攻撃は、データ傍受、認証情報の窃取、二次的なマルウェア配布などの重大なリスクをもたらしています。

攻撃の概要

このキャンペーンは、脆弱性のある、または設定ミスのあるNGINXサーバーを標的としています。NGINXは広く利用されているウェブサーバーおよびリバースプロキシプラットフォームです。侵害に成功すると、攻撃者はサーバーの設定を改変し、正規のトラフィックを悪意のあるエンドポイントへリダイレクトします。この手法により、攻撃者は機密データの傍受、悪意のあるペイロードの注入、またはユーザーを標的とした中間者(MITM)攻撃を実行可能となります。

具体的な攻撃手法は明らかにされていませんが、NGINXの侵害に利用される一般的な攻撃経路には以下が含まれます:

  • 管理インターフェースの露出(例:デフォルト認証情報、脆弱な認証)
  • 未修正の脆弱性が存在する古いソフトウェアバージョン
  • 不適切なリバースプロキシルールによる不正アクセス
  • サプライチェーン攻撃によるサードパーティモジュールの侵害

技術的影響分析

このトラフィックリダイレクトのメカニズムはサーバーレベルで動作するため、エンドユーザーによる検出が困難です。主なリスクは以下の通りです:

  1. データ漏洩:傍受されたトラフィックには以下のような機密情報が含まれる可能性があります:

    • 認証情報
    • セッションCookie
    • 決済カードデータ(影響を受けるサーバーで処理される場合)
    • 企業の機密通信

  2. 二次的な攻撃:リダイレクトされたユーザーは以下にさらされる可能性があります:

    • マルウェアのダウンロード(例:情報窃取型マルウェア、ランサムウェア)
    • フィッシング用ランディングページ
    • クリプトジャッキングスクリプト

  3. 評判へのダメージ:組織は以下のリスクに直面する可能性があります:

    • 顧客からの信頼喪失
    • コンプライアンス違反(例:GDPR、PCI DSS)
    • 悪意のあるリダイレクトによるブランド価値の低下

検出と緩和策の推奨事項

セキュリティチームは以下の対策を優先的に実施する必要があります:

即時対応

  • NGINX設定の監査:特に以下の項目について、不正な変更がないか確認します:
    • nginx.confおよび関連設定ファイル
    • リバースプロキシルール(proxy_passディレクティブ)
    • サーバーブロック(server {})の定義
  • ネットワークトラフィックの確認:見覚えのないIPアドレスやドメインへの予期しないアウトバウンド接続がないか確認
  • 認証情報のローテーション:以下を含む、すべてのNGINX関連サービスの認証情報を更新:
    • 管理インターフェース
    • データベース接続
    • APIキー

長期的な強化策

  • NGINXのアップデート:既知の脆弱性に対処した最新の安定バージョンへ更新(例:CVE-2022-41741CVE-2021-23017
  • 最小権限の原則の適用:NGINXプロセスおよび管理者に対して最小限のアクセス権限を付与
  • ファイル整合性監視(FIM)の導入:不正な設定変更を検出
  • ログ記録と監視の有効化:以下の項目について監視を強化:
    • 設定ファイルの変更
    • 異常なトラフィックパターン(例:リダイレクトの急増)
    • 認証失敗の試行
  • NGINXサーバーのセグメンテーション:重要な内部ネットワークから分離し、横方向への攻撃拡大を防止

ユーザー側の保護策

  • ユーザー教育:トラフィックハイジャックの兆候を認識できるよう教育します。例:
    • 予期しないSSL/TLS証明書の警告
    • 見覚えのないドメインへのリダイレクト
    • 遅延や異常なブラウジング動作
  • HTTPSの強制HSTS(HTTP Strict Transport Security)を導入し、MITM攻撃のリスクを軽減

業界の状況

NGINXは世界のウェブサーバーの30%以上を支えており、攻撃者にとって高価値な標的となっています。過去には以下のような脆弱性を悪用した同様の攻撃キャンペーンが確認されています:

  • CVE-2019-20372:NGINXリゾルバの脆弱性を悪用したキャッシュポイズニング
  • CVE-2017-7529:NGINX rangeフィルタモジュールの整数オーバーフロー

組織は、NGINXサーバーを継続的な監視と積極的な強化が必要な重要資産として扱うことが推奨されます。攻撃手法の詳細については、調査の進展に伴いさらなる情報が公開される予定です。

共有

TwitterLinkedIn