調査

ウェブアプリへのサイバー攻撃、1~3月で最も狙われた日は--サイバーセキュリティクラウド調べ

加納恵 (編集部)

2025-05-02 13:56

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 サイバーセキュリティクラウドは5月2日、「Webアプリケーションへのサイバー攻撃検知レポート」を発表した。2025年の第1四半期で最も狙われた日は3月14日だったという。

 調査期間は1月1日~3月31日。サイバーセキュリティクラウドが提供するウェブアプリケーションへのサイバー攻撃を可視化・遮断するクラウド型ウェブアプリケーションファイアウォール(WAF)の「攻撃遮断くん」とパブリッククラウドWAFの自動運用サービス「WafCharm(ワフチャーム)」で観測したサイバー攻撃ログを集約し、分析・算出したという。

 調査期間である3カ月間で検知したウェブアプリケーションへのサイバー攻撃の総攻撃数は3億6000万回となった。最も攻撃件数が多かった日は3月14日で、検知件数は692万2969件に上り、これは1秒当たりに換算すると約80回の攻撃が発生していた計算になる。

攻撃総数と推移
攻撃総数と推移
日別の攻撃検知数
日別の攻撃検知数

 前年の2024年1~3月における1日平均の攻撃件数は、約229万8029件で、3月14日の攻撃件数はこれと比較して約3倍に相当する、異常なスパイクであったことが明らかになっている。

 2025年2~3月には、サイバー攻撃の活動が活発化しており、2月には、IoTボットネット「Eleven11bot」を使った分散型サービス拒否(DDoS)攻撃が国内外で報告されるなど、ボットネットを利用した大規模攻撃が目立つ期間となった。続く3月10日には、ウェブサーバー「Apache Tomcat」の新たな深刻なリモートコード実行(RCE)脆弱(ぜいじゃく)性「CVE-2025-24813」が公表された。

 この脆弱性は、HTTPのPUTリクエストで不正なセッションファイルを書き込み、細工されたセッションIDでGETアクセスするという二段階の手口で、任意のコードを実行できる危険なもの。脆弱性の公表直後には概念実証コード(PoC)が公開され、悪用リスクが急速に高まったという。

 3月14日には利用者が多い「GitHub Actions」である「changed-files」が、サイバー攻撃の被害を受け、一時的に乗っ取られるという、サプライチェーン攻撃が発生。バレンタインデーやホワイトデーといったイベントシーズンに合わせて不正注文の増加が見られるタイミングとも重なり、攻撃件数が集中した可能性が考えられるという。

 以上のように、2月から3月にかけて、ボットネットを使った攻撃、Apache Tomcat脆弱性を悪用したキャンペーン、GitHub Actions関連のインシデントなど、複数の脅威が連続して発生したことが、サイバー攻撃全体の急増につながったと考えられる。

 2025年第1四半期の攻撃元国ランキングでは、例年通り米国・日本・ロシアが上位を占め、前年同期では25位だった「南アフリカ」が9位に急浮上している。また、ルーマニアも11位から4位にランクアップしており、これまでとは異なる地域からの攻撃が増加傾向にあることが分かる。

攻撃元国
攻撃元国

 主な攻撃種別の攻撃状況は、全体の総数は増加しているものの主だった傾向は2024年とさほど大きくは変わっていない状況だ。最も多い攻撃種別は、攻撃の対象を探索・調査、また無作為に行われる単純な攻撃で脆弱性を探すなどの「攻撃の予兆」である「Web scan」が52%を占めている。

 Web scanは、特定の企業を狙い撃ちにするというよりも、無作為に広範囲なシステムやウェブアプリケーションを調査し、既知の脆弱性を探す手法で、これらのスキャンはボットネットによるDDoSの標的探しに使われた可能性もあるとのこと。スキャンの過程で脆弱性が検出され、それが修正されずに放置されていた場合、攻撃者に悪用されるリスクは飛躍的に高まる。

 また、2023年まであまり目立っていなかった、PHPアプリケーションのテストフレームワークである「PHPUnit」への攻撃が前年に引き続き増加傾向にあることも分かったという。PHPUnitは、PHPプログラミング言語用の単体テストを行うためのフレームワークで、脆弱性を利用されると、攻撃者はリモートから任意のPHPコードを実行することが可能。これにより、攻撃者はPHPコード経由で、サーバー上で広範囲に活動できる危険な脆弱性となる。

主な攻撃種別
主な攻撃種別

 サイバーセキュリティクラウド 代表取締役 最高技術責任者(CTO)の渡辺洋司氏は、「攻撃元国ランキングでは、これまで目立った動きのなかった南アフリカが25位から9位へと急上昇しており、攻撃インフラが特定の地域に依存せず、クラウドサービスやVPNを経由して地理的制約を回避する動きが加速していることがうかがえる。攻撃者は、従来は想定していなかった国や地域を中継拠点として利用するケースが増加している」と指摘。

 加えて「あまり注目されてこなかったPHPのテストフレームワークPHPUnitへの継続的な攻撃増加も警鐘を鳴らすべき事象。本来テスト環境向けのツールが本番環境に残存し、セキュリティ対策の盲点となっているケースが目立つ。このような『想定外の脆弱性』を狙う攻撃が、今後さらに拡大していくことが懸念される」とコメントした。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン登録のお申し込み

関連記事

関連キーワード
株式会社サイバーセキュリティクラウド

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    標準化されたOS「Linux」で実現するIT環境の効率化、検討すべき9つの事項とは
  2. クラウドコンピューティング

    CentOS Linuxアップデート終了の衝撃、最も有力な移行先として注目されるRHELの今
  3. クラウドコンピューティング

    調査結果が示す「Kubernetes」セキュリティの現状、自社の対策強化を実現するには?
  4. OS

    Windows 11移行の不安を“マンガ”でわかりやすく解消!情シスと現場の疑問に応える実践ガイド
  5. 運用管理

    AWSに移行することのメリットと複雑さ--監視ソリューションの導入から活用までを徹底解説
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]