インターネット上に公開されているREDCapサーバーの大多数が古いソフトウェアバージョンで稼働しており、国家支援型の脅威アクターに格好の標的とされています。インターネットインテリジェンス企業のCensysが報告しています。
REDCapは、医療分野における臨床研究データの構築・管理に使用されるブラウザベースのプラットフォームで、バンダービルト大学が開発し、学術・医療・非営利団体に広く利用されています。
Googleの脅威インテリジェンスグループ(GTIG)が6月に公開したレポートによると、レガシーREDCapサーバーは、UNC6508として追跡されている中国に関連した脅威アクターによって、サイバースパイ活動を目的として常習的に標的にされています。
2023年9月以降、米国の主要な医療・学術・軍事研究機関を狙ったキャンペーンの一環として、この脅威アクターはウェブに公開されたREDCapサーバーに侵入し、ログイン認証情報を収集するカスタムマルウェアを展開しました。
ある事例では、攻撃者は最初の侵入から3か月後にInfiniteRedバックドアを展開しました。その後1年間検知されることなく潜伏し続け、ハッキンググループは収集した認証情報を使って標的組織の内部ネットワークにアクセスし、データを窃取しました。
GTIGはUNC6508がREDCapサーバーをどのように侵害したかを確認できていませんが、攻撃者が複数のシステム上の脆弱なレガシーバージョンを探索していたと見ています。REDCapの設計が「管理者が現行バージョンと並行してレガシーソフトウェアを継続して実行できる」仕様になっていることを悪用したものとみられます。
Censysの最新レポートによると、世界にはインターネット上に公開されたREDCapインスタンスが約8,500件存在しますが、最新バージョンを実行しているのは1%をわずかに上回る程度にすぎません。確認されたインスタンスのほぼ3分の1(30%)がREDCapバージョン16.0.17を実行しており、次いでバージョン16.1.4が4.93%、バージョン16.0.15が3.34%となっています。
「REDCapのウェブサイトには各バージョンのリリース日が明記されていませんが、17.x.x系のリリースが存在することから、16.x.x系バージョンはある程度旧式になっている可能性があります。2026年6月16日時点で最新版は17.1.3とみられますが、このパッチバージョンを実行しているインスタンスはわずか1.18%にとどまっています」と、同インターネットインテリジェンスプロバイダーは述べています。
インターネットに公開されたREDCapサーバーは100か国に分布しており、その約40%が米国に集中しています。英国(7.4%)、ドイツ(4.8%)、オーストラリア(3.9%)も多数の導入事例がウェブに公開されています。
国家支援型の脅威アクターがREDCapサーバーに強い関心を示していることを踏まえ、各組織はインスタンスのインベントリを作成し、パッチ適用済みのバージョンで稼働させるとともに、ウェブサーバーとデータベースサーバーを分離し、データベースをファイアウォールの内側で保護するというベンダーの推奨事項に従うことが求められます。
翻訳元: https://www.securityweek.com/majority-of-internet-accessible-redcap-servers-outdated/
