概要:IISサーバーへの大規模攻撃
2025年8月下旬から9月上旬にかけて、世界中の数百ものIIS(Internet Information Services)サーバーが、公開されたASP.NETマシンキーを悪用した高度なサイバー攻撃キャンペーンによって侵害されたことが明らかになりました。
この攻撃では、「HijackServer」と名付けられた未確認の悪意あるモジュールが展開され、正規のウェブサーバーを検索エンジン操作のためのツールに変え、同時に永続的なバックドアアクセスを維持していました。
攻撃の根源:20年来の脆弱性
この攻撃は、ウェブ管理者を20年間悩ませてきた重大な脆弱性を悪用しています。
侵害されたサーバーは、2003年に公開されたMicrosoft Developer Networkのヘルプページに記載されていた例示用の暗号化キーをそのまま使用していました。これらの「秘密」は、設定例としてのみ意図されていたにもかかわらず、長年にわたり無数の管理者によってコピーされ、StackOverflowなどのプログラミングフォーラムで共有されていました。
攻撃者はこれらの公に知られたマシンキーを悪用し、ASP.NETのViewStateデシリアライゼーションを操作して、脆弱なサーバー上でリモートコード実行を達成しました。
Microsoftは2025年初頭にこの攻撃ベクトルについて警告しており、コードリポジトリで3,000以上の公開されたマシンキーを特定していました。2025年夏にはSharePointの脆弱性により、さらに多くのマシンキーが流出する事態となりました。
洗練されたツールセットと感染経路
脅威アクターは、操作を自動化するための包括的なツールキットを展開していました。
感染プロセスは、ViewStateの悪用から始まり、その後「Potato」技術を用いた権限昇格によって隠された管理者アカウントが作成されました。
攻撃者は、オープンソースの「Hidden」プロジェクトから派生したカスタマイズされたルートキットと共にHijackServerモジュールをインストールし、悪意あるファイルやレジストリキーの検出を隠蔽しました。
ツールキットには、中国語インターフェースを持つGUI展開ツール、自動インストールスクリプト、そして「Anneng electronic Co. Ltd.」の期限切れながらも機能する証明書で署名されたカーネルドライバーが含まれていました。
研究者たちは、このツールセットが2024年後半から使用されており、そのコンポーネントは同年12月にオンラインスキャナーにアップロードされていたことを特定しました。
攻撃の規模と目的
研究者たちは、世界中で約240のサーバーIPアドレスと280のドメイン名に影響を与える171の異なるHijackServerのインストールを特定しました。
このキャンペーンは主にアジアのサーバーを標的としており、最も古い侵害は2024年にシンガポールに地理的に位置するサーバーで確認されています。
悪意あるモジュールは、HTTPリクエストを傍受し、Googleのウェブクローラー向けに偽のコンテンツを生成することで動作します。検索エンジンが侵害されたサーバーを訪れると、HijackServerは投資関連のコンテンツを含む動的に生成されたページを提供し、疑わしい暗号通貨ウェブサイトへのリンクにリダイレクトします。
このブラックハットSEO技術は、検索エンジンのランキングを効果的に操作し、生成されたページが実際のGoogle検索結果に表示されていました。
隠されたバックドアがもたらす深刻なセキュリティ懸念
主な目的は金銭的利益のためのSEO詐欺であるように見えますが、HijackServerにはすべての侵害されたサーバーに影響を与える重大なセキュリティ上の欠陥が含まれています。
このモジュールには、特定のURLパスを通じてアクセス可能な認証不要のリモートコマンド実行機能が含まれています。これにより、侵害されたサーバーを発見した攻撃者は、認証なしで任意のコマンドを実行でき、あらゆる悪意あるアクターによる悪用のための脆弱なシステムプールを作り出しています。
ツールセット全体に見られる言語的特徴(コマンド名、設定変数、ドキュメントなど)から、オペレーターは中国語を話すと見られています。
セキュリティ企業Elastic Security Labsは、他の2つの組織と協力して、IISモジュールを「TOLLBOOTH」と呼ぶ同時研究を発表し、この脅威の広範な性質を裏付けています。
推奨される対策
IISサーバーを運用している組織は、直ちにASP.NETマシンキーの設定を監査し、IISモジュールのインストールを確認し、このキャンペーンに関連する侵害の兆候を特定するための検出ルールを実装する必要があります。