TokyoBlackHatNews

hackread.com 4分で読了

ハッカーが人気監視ツールNezhaをステルス型トロイの木馬として悪用

ウェブサイト運営者がサーバーの健全性を確認するために使う人気ソフトウェアツールが、いまやハッカーによってコンピュータを完全に掌握する目的で利用されています。サイバーセキュリティ企業Ontinueの研究者は、Nezhaと呼ばれるオープンソースツールがリモートアクセス型トロイの木馬(RAT)として転用されていることを発見しました。これにより外部の攻撃者は、気付かれないままシステムに侵入し、潜伏し続けることが可能になります。

見えない脅威

参考までに、NezhaはもともとITコミュニティ向けの有用なツールとして設計され、GitHubで約1万のスターを獲得しています。車のダッシュボードのように、サーバーがどれだけメモリを使用しているか、正常に稼働しているかを表示します。

何千人もの専門家が利用する正規ソフトであるため、セキュリティアプリは通常これを無視します。研究者によると、このソフトウェアはVirusTotalスキャナーで「0/72 detections(検出0/72)」を示します。要するに、これは本来マルウェアではなく、ハッカーに悪用されているだけの通常のツールです。

「導入してすぐ使える」

さらなる調査により、Nezhaが特に危険なのは「導入直後からフル機能で使える」点だと判明しました。複雑なセットアップを要する多くのハッキングツールとは異なり、Nezhaはインストール後すぐに動作し、攻撃者は目的を達成するために「カスタムペイロードをコンパイルする必要」も、複数のツールを連携させる必要もありません。デバイス乗っ取りのためのワンストップツールになっています。

この「エージェント」が有効になると、攻撃者に「SYSTEM/rootレベルのアクセス」、つまりコンピュータが持つ最高権限が付与されます。この権限により、ファイル管理、コマンド実行、さらには対話型のWebターミナルを開いてシステムをリアルタイムで監視することまで可能です。さらに、WindowsやLinuxからmacOS、さらには家庭用インターネットルーターに至るまで、ほぼあらゆる環境で動作します。この広範な「クロスプラットフォーム対応」により、ハッカーは単一のダッシュボードから何百台もの侵害デバイスを管理できます。

Image
Nezhaの中央ダッシュボードはクライアント・サーバーモデルを示している(出典:Ontinue)

紛れ込んで潜伏する

周知のとおり、多くのハッカーは痕跡を隠すために苦労します。しかしNezhaには生来の利点があります。インターネット通信が完全に正常に見えるのです。このツールは、露骨なハッキングのシグナルではなく、「通常の監視テレメトリに似た」標準的なWebプロトコルを用いて通信します。宛先を精査しない限り、このネットワーク活動はまったく目立ちません。

Nezhaが悪用されているのが確認されたのは今回が初めてではありません。2025年10月には、別の企業Huntressが、発見した類似の攻撃として、日本や韓国を含む東アジア全域の組織を標的にした事例を報告しています。

今回の最新事例では、Ontinueのチームは、ハッカーが簡体字中国語のメッセージを含むスクリプトを使用していたことを指摘し、ネイティブ話者である可能性を示唆しました。また、ハッカーの指令センターが日本のAlibaba Cloudサービス上でホストされていたことも突き止めました。

Image
地図はNezhaの接続が最も活発な場所を示している(出典:Ontinue)

安全を保つため、専門家は企業に対し、自社システム内にNezhaが存在しないかを能動的に探索することを提案しています。IT部門が正式に承認していない場合、その存在は重大な危険信号です。

Hackread.comに見解を共有した業界専門家は、このインシデントがデジタル戦のより大きな潮流の一部であると指摘しました。Qualys Threat Research UnitのセキュリティリサーチマネージャーであるMayuresh Dani氏は、これは攻撃者が「正規ソフトウェアを体系的に悪用し、シグネチャベースの防御を回避しながら永続化とラテラルムーブメントを実現する」戦略を反映していると説明しました。

Dani氏は、Nezhaがこれほど高い権限を提供するため、攻撃者が「開発時間を短縮して確実にリモートコマンドを実行」し、ファイルへアクセスするのに役立つと警告しました。また、組織に対して「ツールを悪性か無害かの二択で捉えるのをやめ、代わりに利用パターンと文脈に注目すべきだ」と促しました。

これに加えて、ViakooのViakoo Labsでバイスプレジデントを務めるJohn Gallagher氏は、この状況はより強固な「多層防御(Defence in Depth)」アプローチを求める警鐘だと述べました。Nezhaのようなエージェント型ツールは有用である一方、デバイス上に直接常駐するため、本質的にリスクが高いと指摘しています。

「誰が、何を、なぜ、について、より多くの分析が必要です」とGallagher氏は述べ、さらに「米国がインターネット上でこれが稼働している最も一般的な場所になっている点は、とりわけ懸念すべきです」と付け加えました。

翻訳元: https://hackread.com/hackers-abuse-monitoring-tool-nezha-trojan/

ソース: hackread.com
#Alibaba Cloud悪用 #Nezha #オープンソースセキュリティ #クロスプラットフォーム攻撃(Windows/Linux/macOS) #サーバー監視ツール #リモートアクセス型トロイの木馬(RAT) #東アジア標的(日本・韓国) #検知回避(VirusTotal 0/72) #正規ツール悪用(Living off the Land) #永続化とラテラルムーブメント

関連記事

次のサイバーセキュリティの課題はAIエージェント認証である可能性がある

ハッカーがフィッシングメールでGlobal Groupランサムウェアをオフライン配信

サイバー攻撃が欧州委員会職員のモバイルシステムを直撃