編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

WebLogic Serverが仮想通貨発掘の被害に--1月以降も攻撃拡大

ZDNet Japan Staff

2018-01-18 12:05

 アプリケーションサーバの「Oracle WebLogic Server」の脆弱性を突いて仮想通貨を発掘する不正プログラムをサーバに埋め込む攻撃が、2017年12月から継続的に発生している。1月に入っても猛威に衰えは見られず、企業ではパッチ適用などの対応が急がれる。

 情報処理推進機構(IPA)が1月15日に発した注意喚起によれば、攻撃者が悪用する脆弱性は、米Oracleが2017年10月18日にパッチを公開した「CVE-2017-10271」で、WebLogic Serverのバージョン 10.3.6.0.0/12.1.3.0.0/12.2.1.1.0/12.2.1.2.0が影響を受ける。

 米国立標準技術研究所(NIST)などによる共通脆弱性評価システム(CVSS)での深刻度は「9.8」(最大10.0)で、最も深刻度が高い「Critical」に分類される。NISTによれば、「HTTP経由のネットワークアクセスが可能な認証されていない攻撃者が簡単に悪用できる脆弱性」という。

 JPCERT コーディネーションセンター(JPCERT/CC)は、2017年10月から脆弱性の悪用が目的とみられる国内の7001/TCPポートに対するスキャンを継続的に観測。1月7日以降、検知数が急増している。


国内の7001/tcpポートに対するスキャンの推移(出典:JPCERT/CC)

 米SecureWorksは1月17日に公開したブログで、主にWebLogic Serverが稼働するLinuxとWindowsのマシンに対する攻撃が続いていると報告した。Linux環境では、攻撃者が脆弱性の悪用に成功すると、2種類のBashスクリプトを用いて仮想通貨を発掘するプログラムを送り込み、実行する。被害を受けたサーバでは処理能力が低下するという。一方、Windows環境ではXMRigなどのオープンソースの仮想通貨発掘プログラムが埋め込まれる。

 同社は対策として、パッチを適用するだけでなく、ネットワーク側でも攻撃の緩和策を講じる必要があると解説。一例として、SMBv1などのネットワークプロトコルを含む不要なサービスを無効化したり、大半のユーザーにとっては不要なPowerShellなどのシステムコンポーネントへのアクセスを制限したりするほか、システムとアプリケーションの資格情報を必要最低限に制限する、ネットワークやエンドポイントを含むシステム全体で監視を強化する方法を挙げている。

 なお、Oracleは17日に新たな定例のセキュリティ更新プログラムを公開し、1月に発覚したCPUの脆弱性に対する緩和策などを提供している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]