VulnCheck社が2025年7月17日に発表したレポートによると、Apache HTTP Server 2.4.49の脆弱性CVE-2021-41773(CVSSスコア7.5)を悪用してLinuxsys仮想通貨マイナーを配信する新しいサイバー攻撃キャンペーンが発見された。
攻撃は2025年7月上旬に観測され、インドネシアのIPアドレス103.193.177.152を発信源とする。攻撃者は侵害した正規のウェブサイト5箇所を利用してマルウェアを配布し、repositorylinux.orgからシェルスクリプトをダウンロードしてLinuxsysマイナーをインストールする。同じシェルスクリプトは2021年12月から検出されており、過去の攻撃ではrepositorylinux.comが使用されていた。
攻撃グループはOSGeo GeoServer GeoTools(CVE-2024-36401)、Atlassian Confluence(CVE-2023-22527)、Chamilo LMS(CVE-2023-34960)、Metabase(CVE-2023-38646)、Palo Alto Networks(CVE-2024-0012、CVE-2024-9474)など複数の脆弱性を悪用してきた。
一方、Kaspersky社が2025年7月17日に発表したレポートでは、Microsoft Exchange ServerのCVE-2020-0688脆弱性(CVSSスコア8.8)を悪用してGhostContainerバックドアを配信する攻撃がアジアの政府機関で発見された。
From: 
Hackers Exploit Apache HTTP Server Flaw to Deploy Linuxsys Cryptocurrency Miner
【編集部解説】
今回のニュースは、サイバーセキュリティ業界において長年の課題となっている「既知の脆弱性の長期悪用」という問題を浮き彫りにしています。CVE-2021-41773は2021年10月に発見・公開されました。当時、Apache HTTP Server 2.4.50で緊急の修正が行われましたが、その対策が不完全であったことが直後に判明し、最終的にバージョン2.4.51で恒久的な対策が講じられたものの2025年の現在に至るまで未対応のサーバーが攻撃者によって積極的に悪用されている状況です。
技術的な側面から見ると、この脆弱性は「パストラバーサル」と呼ばれる攻撃手法を可能にします。これは、「../」などの文字列を使用してディレクトリ階層を遡り、本来アクセスできないはずのファイルやディレクトリに侵入する技術です。攻撃者がサーバー内の任意のファイルを読み取ったり、CGIスクリプトが有効な環境ではリモートコード実行が可能になります。
今回の攻撃キャンペーンで特に注目すべきは、攻撃者の巧妙な配信手法です。正規のウェブサイトを侵害して配信基盤として利用することで、被害者は有効なSSL証明書を持つ信頼できるサイトに接続することになり、セキュリティソフトによる検出が困難になっています。
この手法の背景には、サイバー犯罪者の戦略的な進化があります。従来のコマンド&コントロール(C2)サーバーを使用せず、侵害した正規サイトを「踏み台」として利用することで、法執行機関やセキュリティ研究者からの追跡を困難にしています。
攻撃者の長期的な活動パターンも重要な観察点です。同じシェルスクリプトが2021年12月から野生で検出されており、過去のGeoServer攻撃では「repositorylinux.com」、今回の攻撃では「repositorylinux.org」と類似ドメインを使い分けながら、一貫した手法で活動を継続しています。
さらに興味深いのは、攻撃者が複数の製品の脆弱性を組み合わせて使用していることです。Apache HTTP ServerからPalo Alto Networksのファイアウォール製品まで、幅広い製品の脆弱性を悪用することで、攻撃対象を拡大し、検出回避を図っています。
一方で、GhostContainerバックドアは異なる性質を持ちます。これは政府機関を標的とした高度な諜報活動と見られ、仮想通貨マイニングとは異なる動機で運用されています。Exchange Serverの深い理解を要求する技術的な複雑さから、国家レベルの支援を受けた攻撃グループの関与が疑われています。
企業や組織への影響範囲は広範囲に及びます。Apache HTTP Serverは世界中で広く使用されているWebサーバーソフトウェアであり、未だに脆弱性が修正されていない古いバージョンを使用している組織が相当数存在すると推測されます。
この状況が示すリスクは多層的です。直接的な被害として、感染したシステムのリソースが仮想通貨マイニングに悪用されることで、システムパフォーマンスの低下や電力消費の増加が発生します。さらに深刻なのは、攻撃者が一度システムに侵入すると、追加のマルウェアを配布する基盤として利用される可能性があることです。
長期的な視点から見ると、この事案は「テクノロジー負債」の典型例と言えるでしょう。新しい脆弱性への対応に追われる中で、既知の脆弱性への対策が後回しになり、結果として長期間にわたって悪用される環境を作り出しています。
規制面での影響も無視できません。特にEU圏では、NIS2指令により重要インフラ事業者に対するサイバーセキュリティ要件が強化されており、このような既知の脆弱性を放置することは法的リスクにも繋がります。
今後の展望として、AIを活用した脆弱性管理システムの導入や、ゼロトラスト・アーキテクチャの採用が進むことが予想されます。しかし、根本的な解決には組織文化の変革と継続的な投資が不可欠です。
この事案は、サイバーセキュリティが単なる技術的課題ではなく、組織全体のリスク管理戦略として位置づけられるべきことを改めて示しています。
【用語解説】
CVE-2021-41773
Common Vulnerabilities and Exposures(共通脆弱性識別子)の一つで、Apache HTTP Server 2.4.49に存在するパストラバーサル脆弱性を示す。CVSSスコア7.5の高深刻度脆弱性で、2021年10月4日に公開された。
Linuxsys
今回発見された攻撃キャンペーンで配布される仮想通貨マイナーの名称。正規サイトを侵害してマルウェアを配布する手法で拡散されている。
パストラバーサル脆弱性
「../」などの文字列を使用してディレクトリ階層を遡り、本来アクセスできないはずのファイルやディレクトリにアクセスできてしまう脆弱性。ディレクトリトラバーサルとも呼ばれる。
リモートコード実行
攻撃者が対象システムに対してネットワーク経由で任意のコードを実行できる脆弱性。システムの完全な制御を奪われる可能性がある。
cron.sh
システム再起動時に仮想通貨マイナーを自動的に起動させるためのシェルスクリプト。持続的な感染を維持する目的で使用される。
GhostContainer
Microsoft Exchange Serverを標的とした高度なバックドア。オープンソースツールをベースに開発され、動的にモジュールを追加できる多機能型マルウェア。
CVE-2020-0688
Microsoft Exchange Serverに存在するリモートコード実行脆弱性。CVSSスコア8.8の高深刻度脆弱性で、GhostContainer攻撃で悪用された可能性がある。
APTキャンペーン
Advanced Persistent Threat(高度持続的脅威)の略。長期間にわたって標的組織に潜伏し、機密情報を窃取する高度なサイバー攻撃手法。
n-day攻撃
既知の脆弱性を悪用する攻撃手法。パッチが公開されているにも関わらず、未適用のシステムを標的とする。
【参考リンク】
Apache HTTP Server(外部)
Apache Software Foundationが開発・提供する世界で最も広く使用されているオープンソースWebサーバーソフトウェア。
VulnCheck(外部)
今回の攻撃キャンペーンを発見・分析したサイバーセキュリティ企業。脆弱性検出と管理ソリューションを提供。
Microsoft Exchange Server(外部)
マイクロソフトが提供する企業向けメールサーバー製品。GhostContainerバックドアの攻撃対象となった。
Kaspersky(外部)
ロシアに本拠を置くグローバルなサイバーセキュリティ企業。GhostContainerバックドアを発見・分析した。
JPCERT/CC(外部)
日本のサイバーセキュリティ機関。CVE-2021-41773に関する詳細な検証情報を公開している。
【参考記事】
GhostContainer discovered: Kaspersky identifies a new backdoor targeting Microsoft Exchange servers(外部)
Kaspersky社がMicrosoft Exchange Serverを対象とした高度なバックドアGhostContainerを発見し、その機能とAPTによる攻撃の可能性について解説。
Kaspersky identifies new backdoor targeting Microsoft Exchange servers(外部)
Kasperskyの研究者が発見したGhostContainerバックドアの技術的特徴と攻撃手法を報告し、APTキャンペーンとの関連性を示唆。
【検証】Apacheのパストラバーサルの脆弱性 (CVE-2021-41773)(外部)
JPCERT/CCが公開しているApache HTTP Server 2.4.49のパストラバーサル脆弱性に関する検証情報と対策を詳細に説明。
脅威アクターによるGeoServerの脆弱性CVE-2024-36401の悪用(外部)
Fortinet FortiGuard Labsによる2024年9月のGeoServer脆弱性を悪用したコインマイナー攻撃に関するレポート。
【編集部後記】
今回の事案を読んで、皆さんの組織や個人のセキュリティ環境はいかがでしょうか?もしかすると、私たちが普段何気なく使っているWebサーバーやメールシステムにも、気づかないうちに古い脆弱性が残っているかもしれません。特に興味深いのは、攻撃者が3年以上もの間、同じ手法を使い続けていることです。なぜこれほど長期間にわたって成功し続けているのでしょうか?また、正規のWebサイトを踏み台として利用する手法について、皆さんはどのような対策が有効だと思われますか?サイバーセキュリティの最新動向について、皆さんと一緒に考えていけたらと思います。
