GoBruteforcerとして知られる急速に進化するボットネットが、インターネットに公開されたLinuxサーバーを世界中で積極的に標的にし、弱いパスワードや使い回しの認証情報を悪用して大規模にアクセスを獲得しています。
2025年に入って激化したこのキャンペーンは、単純な認証の失敗が依然として大規模な侵害を招き続けていることを浮き彫りにしています。
このボットネットの新たな亜種は「…強力に難読化されたIRCボット(Goで完全に書き直し)、改善された永続化メカニズム、プロセス偽装のトリック、そしてサーバー向けの動的な認証情報リストを導入している」と、述べたとCheck Pointの研究者は報告しています。
弱い認証情報が大規模な露出と出会うとき
Check Pointは、露出したインフラの規模の大きさにより、現在50,000台を超えるインターネット公開サーバーがリスクにさらされていると推定しています。具体的には、デフォルトポートでアクセス可能なFTPサーバーが約570万台、MySQLサーバーが223万台、PostgreSQLサーバーが56万台に上ります。
GoBruteforcerの有効性は、認証情報の使い回しと運用上の近道に焦点を当てている点にあります。
このボットネットのブルートフォース用リストには、appuserやmyuserといったユーザー名が目立って含まれており、研究者はこれらがAI生成のサーバー設定例で一般的に提案されていることを確認しました。
管理者が認証情報を強化しないままこれらの例を導入すると、意図せずして数千の環境にわたって均一な攻撃面を作り出してしまいます。
パスワードリストは比較的小さなプール(約375〜600個の弱いパスワード)から作られ、appuser1234のようなユーザー名ベースの派生や、同一文字列の繰り返しなどで補強されています。
Check Pointは、これらのリストが1,000万件の漏えいパスワードデータセットの約2.44%と重複していることを突き止めました。
この割合は低く見えますが、露出しているサービスの量が膨大なため、この手法は脅威アクターにとって非常に収益性が高くなります。
この傾向を裏付けるように、Googleは2024年のCloud Threat Horizonsレポートで、侵害されたクラウド環境における初期侵入ベクターの47.2%が弱い、または欠落した認証情報に起因すると報告しました。
2025年版の亜種では、注目すべき技術的強化が導入されています。IRCボットのコンポーネントはGoで書き直され、強力に難読化されており、従来のCベースのバージョンを置き換えました。
マルウェアはプロセス名をinitに変更し、コマンドライン引数を上書きすることで、基本的な監視ツールを回避して存在を隠します。
また、ハードコードされたフォールバックC2アドレスとドメインベースの復旧パスを使用し、インフラが妨害されても継続稼働できるようにしています。
いくつかのキャンペーンでは、攻撃者は単なるアクセス獲得にとどまらず、暗号資産に特化したツールを展開しました。
少なくとも1台の侵害サーバーで、調査担当者は約23,000件のTRONウォレットアドレスを含むファイルを回収し、TRONおよびBinance Smart Chainを標的とするスキャナーやトークン回収(スイープ)ユーティリティも確認しました。
オンチェーン分析により、これらの金銭目的の攻撃が実際に窃取の成功につながったことが確認されました。
運用面では、このボットネットは速度と秘匿性のバランスを取っています。感染ホストは帯域使用量を低く抑えつつ、1秒あたり約20個のIPアドレスをスキャンできます。
ワーカープールはアーキテクチャに応じてスケールし、64ビットシステムでは最大95スレッドを同時実行します。また、検知リスクを下げるため、マルウェアはプライベートネットワーク、主要クラウドプロバイダーのアドレス範囲、米国国防総省のIP空間を意図的に回避します。
攻撃面を減らす方法
ブルートフォース攻撃が成功し続けるのは高度だからではなく、過度に露出し、ガードレールが弱い環境を突いているからです。
多くの組織はいまだに、インターネットに公開されたサービス、使い回しの認証情報、そして攻撃コストを劇的に下げるレガシー構成を運用しています。
このリスクを減らすには、事後的な検知から、事前の堅牢化へと転換する必要があります。
- 不要なインターネット公開サービスを無効化し、必要なサービスはVPN、IP許可リスト、または踏み台ホストの背後に制限して、露出した攻撃面を減らします。
- すべてのサービスおよびサービスアカウントに強力で一意の認証情報を強制し、対応している場合は多要素認証を有効化し、認証情報を定期的にローテーションします。
- レガシースタックや安全でないプロトコルを置き換える、または堅牢化します。具体的には、デフォルトアカウントの削除、FTPを安全な代替手段に置き換えること、データベースのリモートアクセスを厳格に制限することです。
- レート制限、アカウントロックアウト、段階的遅延などの認証悪用対策を実装し、ブルートフォース試行のコストを引き上げます。
- 監視して、ブルートフォースのパターンや侵害後の兆候を検出します。これには、異常なログイン挙動、低速・長時間のスキャン、プロセスのなりすまし、予期しないGoバイナリなどが含まれます。
- ネットワークセグメンテーション、最小権限アクセス、構成ベースラインの強制を適用し、影響範囲(ブラスト半径)を制限するとともに、安全でないコピー済み構成やAI生成のデプロイを防ぎます。
ブルートフォース活動は、露出が放置され、統制が不均一に適用されている環境で繁栄します。
これらの手順を組み合わせることで、主導権は攻撃者から、強靭で防御可能なシステムへと移ります。
攻撃では巧妙さより規模が勝る
GoBruteforcerは、脅威環境におけるより広範な変化を示しています。攻撃者は技術的な巧妙さよりも、規模、自動化、運用上の信頼性を優先しているのです。
新規のエクスプロイトに頼るのではなく、このようなキャンペーンは、インターネット規模で広く存在する誤設定や弱い認証を体系的に狙うことで成功しています。
AI駆動のツールがインフラ展開を加速させるにつれ、安全でないデフォルト設定やコピーされた構成が、より速く、より一貫して各環境に再生産されています。
この収束により攻撃者の参入障壁は下がる一方で、単純な攻撃手法であっても影響範囲(ブラスト半径)は劇的に拡大します。
攻撃者が規模とデフォルトの信頼をますます悪用する中、現代の環境を防御するにはアクセスを根本から見直す必要があり、ゼロトラストは必須となります。
