教育用アプリがサイバー攻撃の入り口となる

Pentera Labs の研究によると、教育やデモンストレーション目的で使用される脆弱性のあるアプリケーションが大企業のクラウド環境にサイバー犯罪を招く可能性があることが明らかになりました。

問題の本質

これらのアプリケーションは通常、OWASP Juice Shop や DVWA などのツールとして設計されており、脆弱性を故意に含んでいます。それらが実際のクラウド環境でどのように使用されているかを見ると、多くの場合、これらのアプリケーションは公開インターネット上で利用可能であり、必要以上のアクセス権を持つクラウドアイデンティティと接続されています。

研究結果

Pentera Labs が調査した結果、約2,000の教育用アプリケーションインスタンスが実際のクラウド環境で公開されており、そのうち約60%は AWS、Azure、GCP 上にホストされています。

攻撃者の活用

これらの暴露されたトレーニングアプリケーションは、攻撃者が広範なクラウドインフラストラクチャへのアクセスを得るための入り口となっています。研究では、約20%のインスタンスが悪意のあるアクターによって使用されており、その中には暗号通貨マイニングやウェブシェルなどの活動がありました。

影響範囲

暴露された環境は、大企業だけでなく、セキュリティベンダーも含む広範な組織で見つかりました。これらのアプリケーションが適切に隔離されず、公開インターネット上で利用可能であるため、攻撃者はそれらを入口として使用し、より広範なクラウドインフラストラクチャへのアクセスを得ることができます。

対策

この研究は、教育用やテスト目的の環境が組織全体の攻撃面に影響を与える可能性があることを示しています。これらの環境を適切に管理し、セキュリティ監視とアクセスレビューに含めることが重要です。

元記事: https://thehackernews.com/2026/02/exposed-training-open-door-for-crypto.html