いっしー@Webエンジニア
Webツールプログラミング言語プログラミング学習ITニュースIT用語辞典ポートフォリオ

【ITニュース解説】GhostRedirector Hacks 65 Windows Servers Using Rungan Backdoor and Gamshen IIS Module

2025年09月05日に「The Hacker News」が公開したITニュース「GhostRedirector Hacks 65 Windows Servers Using Rungan Backdoor and Gamshen IIS Module」について初心者にもわかりやすいように丁寧に解説しています。

作成日: 更新日:

ITニュース概要

GhostRedirectorというグループがRunganバックドアとGamshen IISモジュールを使い、少なくとも65台のWindowsサーバを攻撃。主にブラジル、タイ、ベトナムのサーバが被害に。ESETの調査で判明。攻撃者はC++製のバックドアを仕込み、IISモジュールも展開した。

出典: GhostRedirector Hacks 65 Windows Servers Using Rungan Backdoor and Gamshen IIS Module | The Hacker News公開日:

ITニュース解説

GhostRedirectorと呼ばれる新たな脅威グループが、RunganというバックドアとGamshen IISモジュールを悪用して、少なくとも65台のWindowsサーバーを攻撃していることが明らかになった。主にブラジル、タイ、ベトナムに所在するサーバーが標的となっている。この攻撃に関する詳細は、スロバキアのセキュリティ企業ESETによって明らかにされた。

この攻撃の核心となるのは、Runganと呼ばれるC++で記述されたバックドアと、Internet Information Services(IIS)モジュールであるGamshenだ。まず、Runganは「パッシブバックドア」と呼ばれる種類のマルウェアだ。これは、感染したシステムから外部の攻撃者に対して積極的に通信を開始するのではなく、攻撃者からの指示を待機する。この性質から、Runganは検知されにくいという特徴を持つ。攻撃者は、Runganを通じて感染したサーバーにアクセスし、機密情報の窃取や、他のマルウェアのインストールなどの悪意のある活動を行うことができる。

IISモジュールであるGamshenは、Windowsサーバーでウェブサイトやアプリケーションをホストするために使用されるIIS(Internet Information Services)の機能を拡張する。Gamshenは、IISのトラフィックを監視し、特定の条件に合致するリクエストを、攻撃者が制御する別のサーバーにリダイレクトする機能を持つ。これにより、正規のユーザーがウェブサイトにアクセスしようとした際に、偽のウェブサイトに誘導され、個人情報や認証情報が盗まれる可能性がある。

攻撃の流れとしては、まずGhostRedirectorは、何らかの方法で対象となるWindowsサーバーに侵入し、Runganバックドアをインストールする。侵入経路は明確には特定されていないが、脆弱性の悪用、フィッシング攻撃、または認証情報の窃取などが考えられる。Runganがインストールされると、攻撃者は感染したサーバーを遠隔操作し、Gamshen IISモジュールを導入する。Gamshenが稼働すると、特定の条件(例えば、特定のIPアドレスからのアクセス、特定のURLへのアクセスなど)に合致するウェブトラフィックが、攻撃者の管理下にあるサーバーにリダイレクトされる。リダイレクトされたユーザーは、偽のログインページや悪意のあるコンテンツを含むウェブサイトに誘導され、そこで個人情報や認証情報を入力してしまう。

GhostRedirectorの攻撃は、標的となるサーバーの所在地がブラジル、タイ、ベトナムに集中している点も特徴的だ。これは、特定の地域を狙った標的型攻撃である可能性を示唆している。これらの地域では、セキュリティ対策が比較的脆弱なサーバーが多数存在し、攻撃者にとって侵入しやすい環境が整っていると考えられる。

システムエンジニアとして、このような攻撃からシステムを守るためには、いくつかの重要な対策を講じる必要がある。まず、WindowsサーバーおよびIISのセキュリティパッチを常に最新の状態に保つことが不可欠だ。セキュリティパッチは、ソフトウェアの脆弱性を修正し、攻撃者が悪用する可能性のある穴を塞ぐ役割を果たす。次に、強力なパスワードポリシーを実施し、推測されやすいパスワードの使用を禁止する。また、多要素認証を導入することで、認証情報の窃取による不正アクセスを防止することができる。

さらに、ファイアウォールや侵入検知システム(IDS)を適切に設定し、不審なトラフィックを監視することも重要だ。GamshenのようなIISモジュールによるリダイレクト攻撃を検知するためには、ウェブトラフィックの監視を強化し、異常なリダイレクトや不審なURLへのアクセスを検出する仕組みを導入する必要がある。

加えて、従業員に対するセキュリティ意識向上のためのトレーニングを実施することも重要だ。フィッシング攻撃やソーシャルエンジニアリング攻撃に対する防御策を学び、不審なメールやウェブサイトに注意を払うように促す。

GhostRedirectorの攻撃は、バックドアとIISモジュールを組み合わせた高度な攻撃手法を使用しており、システムエンジニアは常に最新の脅威情報に注意を払い、適切なセキュリティ対策を講じる必要がある。Runganのようなパッシブバックドアは検知が難しいため、定期的なマルウェアスキャンやセキュリティ監査を実施し、早期に感染を発見することが重要だ。GamshenのようなIISモジュールによる攻撃を防ぐためには、IISの設定を厳格に管理し、不要なモジュールを無効化するなどの対策も有効だ。