近年、サイバー攻撃の手口は巧妙化の一途を辿り、従来のセキュリティ対策をすり抜ける新たな戦術が次々と登場しています。その中でも特に警戒すべきは、正規のソフトウェアやツールを悪用する手法です。一見無害に見えるこれらのツールは、攻撃者にとって格好の隠れ蓑となり、検出を困難にしています。この度、広く利用されているオープンソースのサーバー監視ツール「Nezha」が、まさにそのような目的で悪用されていたことが、複数のセキュリティ研究機関によって明らかになりました。
Ontinueのサイバー防御センターとHiveProの脅威アドバイザリは、それぞれ独立した調査を通じて、Nezhaが単なる監視ツールではなく、高度なポストエクスプロイト段階のリモートアクセスツールとして機能していた実態を報告しています。この手口は、攻撃者が標的システムに侵入した後、永続的なアクセスを確立し、内部での横展開を密かに実行するために用いられました。正規ツールであるNezhaは、その性質上、従来のシグネチャベースの検出システムでは「無害」と判断されがちであり、この特性が攻撃者に悪用されたのです。
QualysのセキュリティリサーチマネージャーであるMayuresh Dani氏は、このNezhaの武器化について、「脅威アクターがシグネチャベースの防御を回避しながら、永続性と横展開を実現するために正規ソフトウェアを体系的に悪用する、現代の新たな攻撃戦略を反映している」と指摘しています。特に、Nezhaが既に導入されているネットワークでは、防御チームがその異常な活動を見過ごしてしまう可能性さえあると警鐘を鳴らしました。
本記事では、OntinueとHiveProがそれぞれ報告した詳細な分析に基づき、Nezhaが悪用された一連のサイバー攻撃の全貌を深く掘り下げます。phpMyAdminの脆弱性から始まり、Nezha、そして最終的にGhost RATへと至る攻撃チェーン、その技術的な巧妙さ、そしてこの新たな脅威がサイバーセキュリティ業界に突きつける課題について、詳細な調査報道をお届けします。
Nezhaの二つの顔:監視ツールから攻撃者の武器へ
Nezhaは、もともと中国のITコミュニティ向けに開発されたオープンソースのサーバー監視ツールであり、GitHubでは1万近くのスターを獲得するほど広く利用されています。その設計思想は、軽量なエージェントを監視対象システムにインストールし、中央のダッシュボードで一元的に管理することで、WindowsおよびLinux環境におけるシステム可視性とリモート管理機能を提供するというものです。システム管理者にとっては、サーバーの状態を把握し、遠隔から操作するための非常に有用なツールとして認識されてきました。
しかし、このNezhaが持つ「管理者にとっての利便性」こそが、攻撃者にとっての「悪用可能性」へと転じました。Nezhaのエージェントは、コマンド実行、ファイル転送、そしてインタラクティブなターミナルセッションといった強力な機能を標準で備えています。これらの機能は、システム管理者が日常業務で利用する上で不可欠なものですが、ひとたび悪意ある手に渡れば、侵害されたシステムを完全に掌握するための強力なリモートアクセスツールへと変貌します。
Ontinueの研究者によるテストでは、Nezhaエージェントが設計上、昇格された権限で実行されることが確認されています。Windowsシステムでは「NT AUTHORITY\SYSTEM」としてインタラクティブなPowerShellセッションを提供し、Linux環境ではルートアクセスを可能にしました。特筆すべきは、これらの高レベルなアクセス権限を得るために、別途エクスプロイトや権限昇格のプロセスが一切不要であった点です。Nezha自体が持つ正規の機能だけで、攻撃者はシステムの中枢に到達できるのです。
QualysのMayuresh Dani氏は、「NezhaエージェントはSYSTEM/rootレベルのアクセスを提供する。設計上は悪意のあるものではないが、脅威アクターがこの正規ツールを再利用し、リモートコマンドの信頼性の高い実行、リモートファイルへのアクセス、インタラクティブシェルを使用した侵害システムへのアクセスにかかる開発時間を短縮するのに役立つ」と述べ、その危険性を強調しました。この「隠れた特権」が、Nezhaをサイバー攻撃における極めて効果的な兵器へと変えているのです。
隠蔽された侵入経路:phpMyAdminの盲点とログポイズニング
HiveProの分析によると、Nezhaが悪用された一連の攻撃は、2025年8月に発覚したphpMyAdminの深刻な設定ミスから始まりました。このデータベース管理パネルは、DNS設定の不備により認証が無効化された状態で公開されており、攻撃者にとって格好の侵入経路となりました。侵入者は香港のAWS IPアドレスからこのパネルにアクセスし、インターフェースを簡体字中国語に切り替えた後、SQLコマンドを実行してデータベースの制御を確立しました。
攻撃者は、単にデータベースを操作するに留まらず、ディレクトリトラバーサル脆弱性と誤設定されたログ機能を悪用する、ログポイズニングという高度な手法を用いました。これは、悪意のあるPHPコードをMariaDBのログファイルに注入することで、実質的にシステム内に隠れたウェブシェルを植え付けるものです。このウェブシェルを通じて、攻撃者は遠隔からコマンドを実行し、システムの内部に深く潜り込むための足がかりを築き上げました。
初期アクセスが確認された後、攻撃者は検出を回避するか、あるいは別のオペレーターに制御を委譲するためか、IPアドレスを切り替えるという運用上のセキュリティ意識の高さを見せました。この段階で、彼らはすでに標的システム内での永続的な足場を確保し、次の段階へと移行する準備を整えていたのです。phpMyAdminのような広く利用される管理ツールが、基本的なセキュリティ設定の不備によって、いかに致命的な侵入経路となり得るかを如実に示しています。
この事例は、一見些細な設定ミスが、いかに大規模で巧妙な攻撃の引き金となり得るかを浮き彫りにします。公開された管理インターフェースの認証不備、そしてログ機能の誤設定という二つの要素が重なることで、攻撃者はシステムの中枢にまで到達し、その後のNezhaやGhost RATといったツールの展開を可能にしました。これは、企業が自社のデジタル資産全体にわたる徹底したセキュリティ監査と設定管理の重要性を再認識すべき警鐘と言えるでしょう。
巧妙な展開:NezhaとGhost RATの連携攻撃
初期侵入に成功した後、攻撃者はシステム内部での活動を本格化させました。彼らは、Cloudflare上にホストされた`live.exe`という実行ファイルを用いて、正規のサーバー監視ユーティリティであるNezhaをダウンロードし、標的システムにインストールしました。このNezhaは、通常の監視目的ではなく、攻撃者によってリモートアクセスツールとして再構成されており、侵害されたホストのリアルタイムな可視性と完全なリモート制御を攻撃者に提供しました。
Nezhaのコマンド&コントロール(C2)インフラストラクチャは、複数の場所で確認されています。Ontinueの調査では、攻撃者が展開しようとしたbashスクリプトに、日本のAlibaba Cloudインフラストラクチャにホストされたリモートダッシュボードへの設定詳細が含まれていました。一方、HiveProの分析では、NezhaがアイルランドのダブリンにあるHostPapaのコマンドサーバーと通信するように再構成されており、認証を欠くロシア語のダッシュボードが使用されていたと報告されています。これらの異なるC2ロケーションは、攻撃者が地理的に分散したインフラを運用し、追跡を困難にしている可能性を示唆しています。
Nezhaによる足場固めと偵察の後、攻撃は最終段階へと移行し、Ghost RATと呼ばれる多段階のリモートアクセス型トロイの木馬が展開されました。このマルウェアは、ローダー、ドロッパー、そしてメインペイロードから構成される複雑な構造を持ち、Windowsサービス「SQLlite」として偽装し、システムディレクトリ内に巧妙に隠蔽されました。この偽装は、マルウェアが正規のシステムコンポーネントであるかのように見せかけ、検出を回避するための典型的な防御回避手法です。
Ghost RATは、システム内での永続性を確立し、機密データの窃取(データ流出)を実行する能力を持っていました。さらに、このマルウェアはMoeDove LLCのインフラストラクチャと通信していたことが判明しており、このインフラは過去に悪意のあるドメインや中国関連の脅威アクターと関連付けられていました。NezhaとGhost RATの連携は、初期侵入から永続的なシステム制御、そしてデータ窃取に至るまで、攻撃チェーン全体をカバーする非常に洗練されたアプローチを示しています。
見過ごされがちな脅威:正規ツールの悪用がもたらす盲点
今回のNezha悪用事例が浮き彫りにしたのは、サイバーセキュリティ対策における根本的な課題です。Nezhaのような正規のオープンソースツールは、ウイルス対策ソフトウェアや従来のシグネチャベースの検出システムでは悪意のあるものとしてフラグ付けされません。実際、VirusTotalで72のセキュリティベンダーがNezhaエージェントをスキャンした際、不審なものは一切検出されませんでした。これは、ツール自体が悪意を持って設計されたものではないため、当然の結果と言えます。
しかし、この「無害」という評価こそが、攻撃者にとって最大の利点となります。Nezhaエージェントはサイレントにインストールされ、攻撃者がコマンドを発行し始めるまでその存在は表面化しません。QualysのMayuresh Dani氏が指摘するように、「このサーバー監視ツールが事前に知られているネットワークでは、防御チームがこの異常な活動を見過ごしてしまう可能性さえある」のです。正規のツールが正規の機能を使って活動しているため、異常な振る舞いとして認識されにくいという盲点が存在します。
Ontinueの研究者たちは、今回のインシデント対応において、侵害されたダッシュボードに関連する公開されたレビューから、数百ものエンドポイントが接続されていた可能性を示唆していると報告しています。これは、単一の共有シークレットが侵害された場合、正規ツールの悪用がいかに広範な規模に達し得るかを示すものです。このような大規模な悪用は、組織が自社のネットワーク内で稼働している全てのツールとその利用状況を正確に把握することの重要性を強調しています。
Dani氏の言葉は、この課題の本質を突いています。「ツールを悪意のあるものか、良性のものかという二元論で見るのをやめ、代わりに使用パターンとコンテキストに焦点を当てるべきだ」。この提言は、従来の「ブラックリスト」型のアプローチから、「振る舞い分析」や「コンテキスト認識」に基づくより高度な検出戦略への転換が不可欠であることを示唆しています。正規ツールの悪用は、セキュリティ業界に新たなパラダイムシフトを迫っていると言えるでしょう。
攻撃者のプロファイルと広がる影響範囲
今回のNezhaとGhost RATを組み合わせた攻撃キャンペーンは、その精密さ、運用上のセキュリティ意識の高さ、そしてインフラストラクチャの重複から、潤沢な資金を持つ組織的なアクターによるものである可能性が強く示唆されています。HiveProは、この攻撃者が国家支援を受けているか、あるいは高度な犯罪組織のバックアップを受けている可能性が高いと分析しています。特に、Ghost RATが通信していたMoeDove LLCのインフラストラクチャが、過去に中国関連の脅威アクターと関連付けられていたという事実は、特定の地域にルーツを持つグループの関与を示唆しています。
Ontinueの調査でも、Nezhaエージェントの展開を試みたbashスクリプトに中国語のステータスメッセージや設定詳細が含まれていたことが確認されています。ただし、Ontinueは、このような言語的指標は容易に偽装できるため、安易な帰属判断には慎重であるべきだと警告しています。しかし、HiveProが参照するHuntressのレポートがNezhaを「China Nexus Threat Actor Tool」と表現している点も踏まえると、中国語圏の脅威アクターが関与している可能性は依然として高いと言えるでしょう。
この攻撃キャンペーンの地理的な影響範囲も広範に及びました。HiveProの報告によれば、2025年8月の攻撃では、台湾、日本、韓国、香港を含む地域で100以上のシステムが感染しました。これは、単一の脆弱性悪用から始まった攻撃が、いかに迅速かつ広範囲に拡大し得るかを示すものです。日本のAlibaba CloudインフラストラクチャがC2サーバーとして利用されていたというOntinueの発見は、日本国内の組織もこの脅威の直接的な影響範囲に含まれていたことを示唆しています。
このような広範な影響は、攻撃者が特定の産業や地域に限定されず、脆弱なシステムを無差別に標的としている可能性を示唆しています。正規ツールを悪用する手口は、あらゆる業界の組織にとって潜在的な脅威となり、従来のセキュリティモデルでは見過ごされがちなリスクを浮き彫りにしました。この事件は、グローバルなサプライチェーンとクラウドインフラストラクチャが複雑に絡み合う現代において、攻撃が国境を越えて瞬く間に広がる現実を改めて突きつけています。
多層防御の必要性:見えない脅威への対抗策
Nezhaの悪用事例は、今日のサイバーセキュリティ戦略が直面する複雑な課題を明確に示しています。もはや、マルウェアと正規ツールを単純に区別するだけでは不十分であり、組織はより洗練された多層防御アプローチを採用する必要があります。HiveProが提唱する推奨事項は、このような見えない脅威に対抗するための具体的な指針となります。まず、phpMyAdminやcPanelのような管理パネルやインターフェースは、強力なパスワード、多要素認証(MFA)、そしてIPホワイトリストを用いて厳重に保護し、インターネットに直接公開すべきではありません。
次に、ウェブサーバー、データベースプラットフォーム、およびサードパーティ製アプリケーションを含む全てのシステムを定期的にパッチ適用し、既知の脆弱性を迅速に閉鎖することが不可欠です。また、ウェブサービスやデータベースサービスは、最小権限の原則に基づき、個別のユーザーアカウントで実行することで、侵害時の影響範囲を限定できます。Nezhaのような正規の監視ツールであっても、適切な認証、暗号化、およびアクセス制御を適用して厳重に管理することが求められます。
さらに、エンドポイントセキュリティの強化は、このような巧妙な攻撃を検出する上で極めて重要です。次世代アンチウイルス(NGAV)やエンドポイント検出・対応(EDR)ソリューションを展開し、ログ操作、ウェブシェル、および異常なプロセスを検出する必要があります。行動分析や機械学習を活用することで、従来のシグネチャベースでは見逃されがちな、正規ツールの異常な使用パターンを早期に特定することが可能になります。
最終的に、この事件は、セキュリティ対策が技術的な側面だけでなく、運用上のベストプラクティスと継続的な監視によって支えられるべきであることを強調しています。脅威アクターが常に新しい手法を模索する中で、組織は静的な防御策に依存するのではなく、動的な脅威インテリジェンスと適応的なセキュリティ戦略を組み合わせることで、見えない脅威から自らを保護しなければなりません。Nezhaの悪用は、サイバーセキュリティの進化が止まることのない戦いであることを改めて私たちに教えています。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Monitoring Tool Nezha Abused For Stealthy Post-Exploitation Access - https://www.infosecurity-magazine.com/news/nezha-abused-post-exploitation/
- -Hidden in Plain Sight: The Abuse of Nezha and the Ghost RAT That Followed - https://hivepro.com/threat-advisory/hidden-in-plain-sight-the-abuse-of-nezha-and-the-ghost-rat-that-followed/