1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@shibacorgi(Kenichi Kawaguchi)

【2026年6月】日本向けハニーポットで観測された攻撃動向 Critical CVE 13件を分析

1
Posted at

はじめに

自作のハニーポット(AIBOT RADAR)で、直近 30 日間(2026‑05‑31 〜 2026‑06‑29)に計測された CVE 26件 のうち Critical 13件 が確認されました。観測は IP アドレス・ポートスキャン・特定 API への不正リクエストをロギングし、ET Sig 数で検出されたシグネチャと突合させて実施しています。本稿では、Critical CVSS 9.0 以上の脆弱性を製品別に詳述し、実務で即対応できる対策を提示します。

🔴 Critical(CVSS 9.0 以上)の観測 CVE

📦 SAP NetWeaver Visual Composer(CVE‑2025‑31324)

観測結果

  • 初回観測:2026‑05‑29
  • 最終観測:2026‑06‑29
  • 観測回数:92 回
  • 観測国:Netherlands、United States

脆弱性概要
Visual Composer のメタデータアップローダーが認証チェックを行わないため、認証されていないリモートエージェントが任意の実行可能バイナリをアップロードでき、システムの機密性・完全性・可用性が著しく損なわれる可能性があります(CWE‑434)。

攻撃例(想定)
攻撃者は /vc/metadataUploader エンドポイントに対してマルウェア化したバイナリを POST し、サーバ上で自動実行させることで、内部ネットワークへの踏み台化や情報窃取を試みることが想定されます。

推奨対策

  • SAP Note 3594142 に記載されたパッチを速やかに適用
  • メタデータアップローダーへのアクセスをファイアウォールで制限
  • 不要な Visual Composer コンポーネントは無効化

📱 Ivanti Endpoint Manager Mobile(CVE‑2023‑35078)

観測結果

  • 初回・最終観測:2026‑06‑01
  • 観測回数:1 回
  • 観測国:Netherlands

脆弱性概要
認証バイパスにより、未認証の攻撃者が管理 API へ直接アクセスでき、制限された機能やデータを取得できる可能性があります(CWE‑287)。

攻撃例(想定)
攻撃者は管理用 REST エンドポイントに対し認証ヘッダーなしでリクエストを送信し、デバイス情報や構成データを取得、さらに不正な設定変更を試みることが考えられます。

推奨対策

  • Ivanti が提供する 2023‑06‑01 以降のセキュリティパッチを適用
  • 管理 API への外部からのアクセスを IP 制限
  • 不要なモバイルデバイス管理機能は無効化

🖥️ ConnectWise ScreenConnect(CVE‑2024‑1709)

観測結果

  • 初回・最終観測:2026‑06‑01
  • 観測回数:1 回
  • 観測国:Netherlands

脆弱性概要
認証バイパスの代替経路が存在し、認証済みユーザーと同等の権限で画面にアクセスできるため、機密情報やシステム設定が漏洩する恐れがあります(CWE‑288)。

攻撃例(想定)
攻撃者は /session/alternatePath といった非公式エンドポイントにリクエストし、認証済みユーザーとして管理画面に到達、リモートデスクトップ機能を悪用して内部ネットワークに侵入するシナリオが想定されます。

推奨対策

  • 23.9.7 以前のバージョンに対し、ベンダー提供のパッチを適用(最新版 23.9.8 以上)
  • 代替パスの使用を無効化し、公式 API のみ許可
  • 管理画面へのアクセスを VPN 内部に限定

📧 Roundcube Webmail(CVE‑2025‑49113)

観測結果

  • 初回・最終観測:2026‑06‑17
  • 観測回数:1 回
  • 観測国:United Kingdom

脆弱性概要
_from パラメータが検証不足で、PHP オブジェクトデシリアライズが可能となり、認証済みユーザーがリモートコード実行(RCE)できる(CWE‑502)。

攻撃例(想定)
攻撃者はメール送信画面の URL に細工した _from パラメータを組み込み、被害者がそのリンクをクリックするとサーバ側で悪意あるオブジェクトが展開され、任意コードが実行されます。

推奨対策

  • Roundcube 1.5.10 以降、もしくは 1.6.11 以上にアップデート
  • Webサーバの PHP 設定で allow_url_include=Offunserialize の使用を制限
  • 不要な外部メール転送機能は無効化

📦 Cisco HyperFlex HX Data Platform(CVE‑2021‑1497)

観測結果

  • 初回・最終観測:2026‑06‑01
  • 観測回数:1 回
  • 観測国:Netherlands

脆弱性概要
管理 UI に複数の脆弱箇所があり、認証なしでコマンドインジェクションが可能。攻撃者は任意コマンドを実行し、システムの制御権を取得できる(CWE‑78)。

攻撃例(想定)
攻撃者は管理 UI の検索フィールドにシェルコマンド文字列を送信し、内部の exec 呼び出しに渡すことで、HyperFlex ノード上でシェルが起動し、データ領域への不正アクセスが発生するシナリオが想定されます。

推奨対策

  • Cisco が公開した 2021‑06‑03 以降のセキュリティフィックスを適用
  • 管理 UI への外部アクセスを遮断し、IP アドレスベースで許可
  • 不要な管理機能は無効化し、最小権限のロールベースアクセス制御(RBAC)を導入

🏢 JetBrains TeamCity(CVE‑2023‑42793)

観測結果

  • 初回・最終観測:2026‑06‑01
  • 観測回数:1 回
  • 観測国:Netherlands

脆弱性概要
認証バイパスにより、未認証のリモート攻撃者が TeamCity サーバ上でコード実行が可能(CWE‑288)。

攻撃例(想定)
攻撃者は /teamcity/httpAuth/app/rest/... へ特製リクエストを送信し、認証なしでビルド実行権限を取得、任意のビルドスクリプトを走らせてサーバ内でコードを実行する可能性があります。

推奨対策

  • TeamCity 2023.05.4 以降にアップデート(公式パッチ適用)
  • HTTP 認証の強制と API エンドポイントへの IP 制限
  • ビルドステップでの外部コマンド実行を最小化し、サンドボックス化

🏢 JetBrains TeamCity(CVE‑2024‑27198)

観測結果

  • 初回・最終観測:2026‑06‑01
  • 観測回数:5 回
  • 観測国:Netherlands

脆弱性概要
認証バイパスがさらに拡張され、管理者権限での操作が可能になる(CWE‑288)。

攻撃例(想定)
攻撃者は特定の管理 API に対し認証無しで POST を行い、管理者ロールのユーザー作成やシステム設定変更が行えるシナリオが想定されます。

推奨対策

  • TeamCity 2023.11.4 以上へ更新
  • 管理 API へのアクセスは VPN 内部に限定し、2 要素認証(2FA)を導入
  • 監査ログを有効化し、不審な管理操作を検知

🖥️ LiteSpeed Cache(CVE‑2024‑44000)

観測結果

  • 初回・最終観測:2026‑06‑01
  • 観測回数:1 回
  • 観測国:Netherlands

脆弱性概要
認証情報が不適切に保護され、認証バイパスが可能(CWE‑522)。攻撃者はプラグイン管理画面へ不正にログインし、任意のコードを配置できる。

攻撃例(想定)
攻撃者は /wp-admin/admin-ajax.php?action=lscache_admin へ直接リクエストし、認証なしで管理モードへ遷移、さらにプラグインファイルを書き換えて Web シェルを設置するシナリオが考えられます。

推奨対策

  • LiteSpeed Cache 6.5.0.1 以上へ更新
  • 管理画面へのアクセスは IP 制限と 2FA を必須化
  • 不要なプラグインは削除し、ファイルパーミッションを最小化

🧩 WP Automatic(CVE‑2024‑27954)

観測結果

  • 初回・最終観測:2026‑06‑01
  • 観測回数:1 回
  • 観測国:Netherlands

脆弱性概要
パス・トラバーサルとサーバーサイドリクエストフォージェリ(SSRF)の組み合わせにより、任意ファイルの取得や内部リクエストが可能(CWE‑22)。

攻撃例(想定)
攻撃者は wp-admin/admin-ajax.php?action=automatic_import&file=../../../../etc/passwd のようにパラメータを細工し、サーバ上の機密ファイルを取得、または内部サービスへリクエストを送ることが想定されます。

推奨対策

  • WP Automatic 3.92.0 以上へアップデート
  • アップローダー機能のディレクトリトラバーサルチェックを強化
  • allow_url_fopen を無効化し、外部リクエスト制限を実装

🔐 FortiOS / FortiProxy(CVE‑2023‑27997)

観測結果

  • 初回・最終観測:2026‑06‑01
  • 観測回数:2 回
  • 観測国:Netherlands

脆弱性概要
ヒープベースのバッファオーバーフローにより、特定の SSL‑VPN リクエストで任意コード実行が可能(CWE‑122)。

攻撃例(想定)
攻撃者は Craft した TLS ハンドシェイクパケットを送信し、メモリ破壊を誘発。成功すれば VPN ゲートウェイ上でコードが実行され、内部ネットワークへの踏み台化が狙われます。

推奨対策

  • FortiOS 7.2.5、7.0.12、6.4.13 以上、FortiProxy 7.2.4 以上へアップデート
  • 不要な SSL‑VPN を無効化し、アクセスは IP ホワイトリストで制限
  • IDS/IPS の SSL‑VPN 用シグネチャを最新に保守

📁 MOVEit Transfer(CVE‑2024‑5806)

観測結果

  • 初回・最終観測:2026‑06‑01
  • 観測回数:1 回
  • 観測国:Netherlands

脆弱性概要
SFTP モジュールにおける認証バイパスにより、未認証の攻撃者が SFTP 接続を確立できる(CWE‑287)。

攻撃例(想定)
攻撃者は SFTP 接続時に認証情報を送らずにハンドシェイクを完了し、ファイルアップロード/ダウンロードが可能になることで、内部データの抽出や不正ファイル設置が想定されます。

推奨対策

  • MOVEit Transfer 2023.0.11、2023.1.6、2024.0.2 以上へアップデート
  • SFTP アクセスは VPN 経由の内部 IP のみ許可
  • 強力な鍵認証を必須化し、パスワード認証は無効化

📱 FortiClientEMS(CVE‑2026‑21643)

観測結果

  • 初回観測:2026‑06‑01
  • 最終観測:2026‑06‑28
  • 観測回数:516 回
  • 観測国:Australia, Belgium, Brazil, Chile, France, India, Indonesia, Japan, Netherlands, Singapore, South Korea, Sweden, Taiwan, United Kingdom, United States

脆弱性概要
SQL インジェクションにより、特別に細工した HTTP リクエストで任意の SQL 文が実行され、認証バイパスやデータ抽出が可能(CWE‑89)。

攻撃例(想定)
攻撃者は /api/v1/ems/users?filter=1' OR '1'='1 のようにクエリ文字列を操作し、管理者情報を取得したうえで、更なる権限昇格や設定変更を試みるシナリオが想定されます。

推奨対策

  • FortiClientEMS 7.4.5 以上へアップデート(ベンダーが提供するパッチを適用)
  • Web アプリケーションファイアウォール(WAF)で SQLi パターンをブロック
  • データベース接続に最小権限ユーザーを使用し、入力値のバインド変数化を実装

📧 Microsoft Exchange Server(CVE‑2021‑34473)

観測結果

  • 初回観測:2026‑06‑02
  • 最終観測:2026‑06‑28
  • 観測回数:13 回
  • 観測国:United States

脆弱性概要
Exchange の ProxyShell に該当するリモートコード実行脆弱性で、認証なしで任意コードが実行可能(CWE‑787 などの複合要因)。

攻撃例(想定)
攻撃者は特定の Outlook Web Access(OWA)エンドポイントへ crafted HTTP リクエストを投げ、バックエンドの PowerShell スクリプトを実行させ、内部メールサーバを乗っ取るシナリオが考えられます。

推奨対策

  • Exchange 2013 CU23、2016 CU20、2019 CU9 以上へ更新
  • Set-TransportConfig -ExternalPostmasterAddress などの設定確認と、未使用の OWA/ActiveSync を無効化
  • Exchange のフロントエンドを IDS/IPS で監視し、異常リクエストを遮断

🟠 High(CVSS 7.0 〜 8.9)の観測 CVE

CVE ID 製品 初回観測 最終観測 観測回数 観測国 CVSS 主な影響
CVE-2025-4123 Grafana 2026‑05‑31 2026‑06‑29 268 回 Andorra・Australia・...・United States 7.6 XSS+オープンリダイレクト、プラグイン経由で SSRF 可能
CVE-2026-4020 Gravity SMTP (WordPress) 2026‑06‑26 2026‑06‑26 1 回 United States 7.5 認証なしで内部 API にアクセスし、機密情報が取得可能
CVE-2024-20767 Adobe ColdFusion 2026‑06‑15 2026‑06‑17 3 回 France 7.4 任意ファイル読み取り、管理画面がインターネットに露出していると危険

⚪ CVSS 未確認の観測 CVE

CVE ID 製品 初回観測 最終観測 観測回数 観測国 備考
CVE-2020-13921 Apache SkyWalking 2026‑06‑01 2026‑06‑28 25 回 Australia・France・...・United States SQLi(DB種別依存)で評価待ち
CVE-2020-5902 BIG‑IP 2026‑06‑01 2026‑06‑01 1 回 Netherlands TMUI RCE、評価保留
CVE-2021-22893 Pulse Connect Secure 2026‑06‑01 2026‑06‑01 1 回 Netherlands 認証バイパス+RCE、評価待ち
CVE-2022-36804 Atlassian Bitbucket Server 2026‑06‑01 2026‑06‑01 1 回 Netherlands API 経由でコード実行、評価保留
CVE-2023-34362 MOVEit Transfer 2026‑06‑01 2026‑06‑01 2 回 Netherlands SQLi、評価待ち
CVE-2024-23897 Jenkins 2026‑06‑01 2026‑06‑01 2 回 Netherlands CLI パーサーのファイル読み取り、評価保留
CVE-2024-36104 Apache OFBiz 2026‑06‑01 2026‑06‑01 1 回 Netherlands パストラバーサル、評価保留
CVE-2024-38856 Apache OFBiz 2026‑06‑01 2026‑06‑01 1 回 Netherlands 認可不足による画面コード実行、評価保留
CVE-2022-22274 SonicWall SonicOS 2026‑06‑03 2026‑06‑28 16 回 Australia・...・United States バッファオーバーフローで DoS/コード実行、評価保留
CVE-2020-5410 Spring Cloud Config 2026‑06‑13 2026‑06‑17 2 回 Switzerland・United States ディレクトリトラバーサル、評価保留

まとめと対策の優先順位

優先度 対策対象 主な理由
★★★★★ FortiClientEMS(CVE‑2026‑21643) 516 回の観測と多国からのスキャンが示す攻撃集中度が最高。SQLi による認証バイパスは内部ネットワーク全体へ波及する可能性がある。
★★★★ SAP NetWeaver(CVE‑2025‑31324) 92 回観測で欧米から継続的に試行。バイナリアップロードはシステム全体の乗っ取りにつながる可能性がある。
★★★★ FortiOS/FortiProxy(CVE‑2023‑27997) SSL‑VPN は組織の外部アクセス入口。バッファオーバーフローは遠隔コード実行に直結。
★★★ Grafana(CVE‑2025‑4123) 268 回の XSS/SSRF 攻撃が観測され、プラグイン環境での被害拡大が懸念される。
★★ MOVEit Transfer(CVE‑2024‑5806)・Cisco HyperFlex(CVE‑2021‑1497) 認証バイパス・コマンドインジェクションは内部データ流出リスクが高い。
その他 High/未確認 CVE 観測回数が少ないが、既知の攻撃手法が報告されているため、可能な限り最新バージョンへ更新し、不要サービスは遮断することが推奨される。

実務的なアクション

  1. 即時パッチ適用:上位 3 優先度の製品はベンダー提供パッチを 48 時間以内に適用。
  2. アクセス制限の見直し:外部からの管理 UI・API へのアクセスは IP ホワイトリスト化、VPN 経由に限定。
  3. WAF/IPS ルール更新:SQLi、XSS、認証バイパスに対するシグネチャを最新版へ。
  4. 監査ログの有効化:認証失敗・不正 API 呼び出しを集中ログで収集し、SIEM で即時アラート化。
  5. 定期的な脆弱性スキャン:AIBOT RADAR の観測情報を月次でレビューし、未検出の脆弱性が出た場合は速やかに対策を構築。

今回の観測で気づいたこと

  • FortiClientEMS(CVE‑2026‑21643)が516回と突出しており、現在進行形で攻撃が試みられている
  • SAP NetWeaver は CVSS 10.0 にもかかわらず 5 月末から継続観測され、パッチ適用が遅れている環境が多いと推測される
  • 6 月初旬に多数の CVE が「Netherlands」単一国で 1 回だけ観測されているが、これは自動スキャナが横断的に探索している兆候
  • High スコアの Grafana XSS が 268 回と多数観測され、プラグインエコシステムへの注意喚起が必要
  • 未確認 CVE の中に過去に大規模被害を出した BIG‑IP(CVE‑2020‑5902)や Pulse Connect Secure(CVE‑2021‑22893)が含まれ、評価保留で放置するとリスクが蓄積する恐れがある

おわりに

AIBOT RADAR では今後も日本向けハニーポットで観測した攻撃動向を継続的に公開していきます。

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?