Cloudflareのトンネルを悪用するマルウェア「Serpentine#Cloud」、日本でも警戒を
2025年6月18日、サイバーセキュリティ企業Securonixの脅威研究チームが、ローカルサーバーを安全にインターネットへ公開するツール「Cloudflare」のトンネル機能を悪用する新たな攻撃キャンペーンを発見したと公表した。
この攻撃キャンペーンは「Serpentine#Cloud」と呼ばれ、Cloudflareのトンネル機能を悪用し、Pythonベースのマルウェアを配信。フィッシングメールを通じて偽装されたPDFファイルを介し、米国、英国、ドイツなど欧米を中心に広く展開されている。
日本でも同様のリスクが浮上しており、企業は早急な対策が求められる。本記事では、攻撃の概要と対策をまとめる。
参考サイト:Sneaky Serpentine#Cloud slithers through Cloudflare tunnels to inject orgs with Python-based malware
Cloudflareのトンネル機能とは
Cloudflareのトンネル機能(Cloudflare Tunnel)は、ローカルサーバーやプライベートネットワーク上のリソースをインターネットに安全に公開するためのツールだ。軽量なデーモン「Cloudflared」をローカル環境にインストールし、Cloudflareのグローバルネットワークと暗号化された接続を確立する。
これにより、開発者はローカルホスト(例:localhost:8080)を外部公開でき、企業は内部リソースを認証されたユーザーに限定して提供可能だ。主な特徴は以下の通りだ。
- セキュアな通信:TLS証明書による暗号化で、外部からの直接アクセスを防止。
- パブリックIP不要:ファイアウォールやNATの背後でも運用可能。
- 動的サブドメイン:トンネル作成時にランダムなサブドメイン(例:xxxx.trycloudflare.com)が割り当てられる。
特に「TryCloudflare」は、開発者がテストやデモ用に無料で利用できるサービスだが、今回の攻撃ではこの機能が悪用されている。
攻撃の構造と手法
攻撃キャンペーン「Serpentine#Cloud」は、TryCloudflareのトンネルサービスを悪用し、悪意あるペイロードをホストおよび配信する。
本来、開発者がローカルサーバーを一時公開するための正当なツールが、攻撃者によって正規トラフィックに偽装され、セキュリティを回避する手段として利用されている。攻撃は以下のように進行する。
- フィッシングメール:支払いや請求書を装ったメールが送信され、ZIP形式の添付ファイルに偽装されたWindowsショートカット(.lnk)ファイルが含まれる。
- 初期ペイロード:.lnkファイルの実行により、Windowsの「robocopy」を利用してCloudflareのトンネルサブドメイン(trycloudflare.com)から次のペイロードがダウンロードされる。
- 多層スクリプト:VBScriptベースの軽量ローダーが実行され、UTF-16LEエンコーディングや動的変数置換を用いた難読化バッチファイル(例:kiki.bat)を展開。
- 最終ペイロード:Pythonベースのシェルコードローダーが「Early Bird APCインジェクション」を活用し、ディスクへの書き込みを回避しながらAsyncRATやRevenge RATといったリモートアクセストロジャン(RAT)をメモリ内に注入。攻撃者は長期的なシステムアクセスを確保する。
この攻撃は、CloudflareのTLS証明書によるHTTPS通信やファイルレス実行により、エンドポイントセキュリティやアンチウイルスを巧妙に回避している。
攻撃の規模と影響
Securonixのシニア研究者Tim Peck氏は、このキャンペーンが「中~大規模」で現在も活動中であると指摘。特定の業界や地域に限定せず、欧米を中心に感染が広がっている。日本でもビジネスメールを悪用したフィッシングが増加しており、警戒が不可欠だ。
推奨対策
| 対策 | 詳細 |
|---|---|
| フィッシングメールの警戒 | 請求書や支払い関連の不審なメールの添付ファイルやリンクを開かない。送信元を慎重に確認する。 |
| ファイル拡張子の検証 | Windowsの設定でファイル拡張子を常に表示し、.lnkファイルがPDFとして偽装されていないか確認する。 |
| Python実行の制限 | 業務上不要な場合、Pythonの実行を制限。不審なPythonスクリプトの監視を強化する。 |
| Cloudflareトラフィックの監視 | trycloudflare.comサブドメインへの異常なトラフィックを監視し、必要に応じてアクセス制限を設ける。 |
| TLSインスペクション | HTTPS通信を検査可能な仕組みを導入し、暗号化されたペイロードの検出能力を向上させる。 |
まとめ
日本ではクラウドサービスの利用が急拡大し、Cloudflareのような信頼性の高いプラットフォームが広く採用されている。
しかし、今回の攻撃は、トンネル機能のような正当なインフラが悪用される危険性を露呈した。リモートワークの普及に伴い、フィッシングを介した初期侵入リスクが高まっており、企業は従業員教育とセキュリティ強化を急ぐ必要がある。
Securonixは、攻撃者がAIや大規模言語モデルを活用してスクリプトのコメントを生成している可能性も指摘。攻撃のさらなる高度化が予想される中、日本企業は最新の脅威インテリジェンスを活用したプロアクティブな防御が求められる。
この記事をシェア
