AWS

標的型キャンペーンは、AWS EC2インスタンス上でホストされているウェブサイトのサーバーサイドリクエストフォージェリ(SSRF)の脆弱性を悪用し、IMDSv1エンドポイントからIAM(Identity and Access Management)認証情報を含む可能性のあるEC2メタデータを抽出しました。

IAM認証情報を取得することで、攻撃者は特権を昇格させ、S3バケットにアクセスしたり、他のAWSサービスを制御したりできるようになり、機密データの暴露、操作、サービスの中断につながる可能性があります。

このキャンペーンはF5 Labsの研究者によって発見され、悪意のある活動は2025年3月13日から25日の間に最高潮に達したと報告しています。トラフィックと行動パターンから、単一の脅威行為者によって実行されたことが強く示唆されています。

キャンペーンの概要

SSRF問題とは、攻撃者がサーバーを「騙して」、通常は攻撃者がアクセスできない内部リソースへのHTTPリクエストを代行させることを可能にするWebの欠陥です。

F5が観測したキャンペーンでは、攻撃者はEC2上でホストされているWebサイトにSSRFの欠陥があることを突き止め、リモートから内部のEC2メタデータURLにクエリを送信し、機密データを受け取ることを可能にしました。

EC2メタデータは、AWS上で動作する仮想マシンに関する情報を提供するAmazon EC2(Elastic Compute Cloud)のサービスです。この情報には、構成の詳細、ネットワーク設定、潜在的にはセキュリティ認証情報が含まれる。

このメタデータサービスは、http://169.254.169.254/latest/meta-data/ のような内部IPアドレス上の特別なURLに接続することで、仮想マシンのみがアクセスできる。

最初の悪質なSSRFプローブは3月13日に記録されましたが、キャンペーンは3月15日から25日にかけて本格化し、フランスとルーマニアを拠点とする複数のFBW Networks SAS IPが使用されました。

この間、攻撃者は6つのクエリ・パラメータ名(dest、file、redirect、target、URI、URL)と4つのサブパス(例:/meta-data/、/user-data)をローテーションし、脆弱なサイトから機密データを流出させる組織的なアプローチを示しました。

この攻撃は、脆弱なインスタンスがIMDSv1(AWSの古いメタデータサービス)で実行されていたため、インスタンスにアクセスできる人であれば誰でも、保存されているIAM認証情報を含むメタデータを取得することができました。

このシステムはIMDSv2に取って代わられ、SSRF攻撃からウェブサイトを保護するためにセッショントークン(認証)が必要となりました。

より広範な悪用活動

これらの攻撃は、F5 Labsが過去1カ月間に最も悪用された脆弱性を記録した2025年3月の脅威動向レポートで強調されています。

最も悪用されたCVEの上位4つは以下の通りです:

  • CVE-2017-9841– eval-stdin.php を介した PHPUnit のリモートコード実行 (69,433 回)
  • CVE-2020-8958– Guangzhou ONU OS コマンドインジェクション RCE (4,773 回)
  • CVE-2023-1389 – TP-Link Archer AX21 コマンドインジェクション RCE (4,698 回)
  • CVE-2019-9082– ThinkPHP PHP インジェクション RCE (3,534 回)
Exploitation volumes
Exploitation volumes
ソースはこちら:F5 Labs

このレポートでは、悪用されたCVEの40%が4年以上前のものであるなど、古い脆弱性が依然として高い標的となっていることを強調しています。

脅威を軽減するためには、利用可能なセキュリティ・アップデートを適用し、ルーターやIoTデバイスの設定を強化し、EoLネットワーク機器を対応モデルに置き換えることが推奨される。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .


Red Report 2025

攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10

1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。