脅威インテリジェンス企業のGreyNoiseは、Apache Tomcat Managerインターフェースを標的とした「協調的なブルートフォース活動」を警告しています。
同社は、2025年6月5日にブルートフォースとログイン試行の急増を観察したと述べており、これは「露出したTomcatサービスを大規模に特定しアクセスするための意図的な試み」である可能性があることを示しています。
そのため、295のユニークなIPアドレスがその日にTomcat Managerに対するブルートフォース試行に関与していることが判明し、すべてが悪意のあるものとして分類されています。過去24時間で188のユニークなIPが記録されており、その大部分はアメリカ、イギリス、ドイツ、オランダ、シンガポールに位置しています。
同様に、298のユニークなIPがTomcat Managerインスタンスに対するログイン試行を行っていることが観察されました。過去24時間でフラグが立てられた246のIPアドレスはすべて悪意のあるものとして分類され、同じ場所から発信されています。
これらの試行の対象には、同じ期間にアメリカ、イギリス、スペイン、ドイツ、インド、ブラジルが含まれています。GreyNoiseは、この活動の大部分がDigitalOcean(ASN 14061)によってホストされているインフラから来ていると指摘しています。
「特定の脆弱性に結びついているわけではありませんが、この行動は露出したTomcatサービスへの継続的な関心を示しています」と同社は付け加えました。「このような広範で機会主義的な活動は、将来の悪用の早期警告としてしばしば役立ちます。」
潜在的なリスクを軽減するために、露出したTomcat Managerインターフェースを持つ組織は、強力な認証とアクセス制限を実施し、疑わしい活動の兆候を監視することが推奨されます。
この開示は、Bitsightがインターネット上で40,000以上のセキュリティカメラがオープンにアクセス可能であることを発見したと発表した際に行われました。これにより、誰でもこれらのデバイスがHTTPまたはリアルタイムストリーミングプロトコル(RTSP)を介してキャプチャしたライブビデオフィードにアクセスできる可能性があります。露出はアメリカ、日本、オーストリア、チェコ、韓国に集中しています。
通信セクターが露出したカメラの79%を占め、次いで技術(6%)、メディア(4.1%)、ユーティリティ(2.5%)、教育(2.2%)、ビジネスサービス(2.2%)、政府(1.2%)が続きます。
設置場所は住宅、オフィス、公共交通機関、工場の設定に及び、意図せずに機密情報を漏洩し、それがスパイ活動、ストーキング、恐喝に利用される可能性があります。
ユーザーは、デフォルトのユーザー名とパスワードを変更し、リモートアクセスが不要な場合は無効にする(またはファイアウォールやVPNでアクセスを制限する)、ファームウェアを最新の状態に保つことが推奨されます。
「これらのカメラは、セキュリティや利便性のために意図されたものであるが、しばしば所有者の知らないうちに機密空間への公共の窓になっています」とセキュリティ研究者のJoão Cruzは、The Hacker Newsと共有されたレポートで述べました。
「個人や組織がこの種のデバイスを必要とする理由が何であれ、誰でも購入し、接続し、最小限の設定でストリーミングを開始できるという事実が、これが依然として継続的な脅威である理由である可能性が高いです。」
翻訳元: https://thehackernews.com/2025/06/295-malicious-ips-launch-coordinated.html