世界に公開された Redis・phpMyAdmin・Dev などの主要デジタル資産：グローバル OSINT 分析 | Criminal IP（クリミナルアイピー）

※本ブログは、X（旧 Twitter）を基盤とする脅威インテリジェンス専門家 Clandestine の分析内容を参考に作成されています。

近年、サイバー脅威がますます高度化する中で、多くの重要なデジタル資産が外部に露出し、攻撃者の標的となっています。このような環境においては、外部露出や新たな脅威を継続的に把握することが重要であり、攻撃者に狙われる前に脆弱な資産を先制的に特定することが不可欠です。

本稿では、インターネットに公開されている主要なデジタル資産の現状を特定・分析するために実施した、グローバルなオープンソース・インテリジェンス（OSINT）調査の結果を紹介します。今回の調査では、7つの高リスクなサービスカテゴリに焦点を当て、その結果、世界全体で33万件を超える公開インスタンスから構成される広範な攻撃表面が確認されました。

世界における公開状況の概要

Criminal IP IT資産検索を通して確認した、世界全体の公開資産概要チャートイメージ

Criminal IP IT資産検索を活用して、主要カテゴリ別に世界中で公開されている資産を分析した結果は、以下のとおり整理できます。

＃	公開資産カテゴリ別	Criminal IPIT資産検索クエリ	検索結果
1	Dev/Stanging	title:dev OR title:staging OR title:test AND port:443	136,612
2	Kubernetes Dashboard	title:”Kubernetes Dashboard” AND port:8443	140
3	Grafana Dashboard	title:Grafana AND port:3000 AND status_code:200	87,213
4	Elasticsearch	product:Elasticsearch AND port:9200	15,991
5	Redis	product:Redis AND port:6379	46,583
6	Jenkins CI/CD	product:Jenkins AND port:8080	241
7	phpMyAdmin	title:”phpMyAdmin” AND status_code:200	48,428

カテゴリ別詳細結果および分析

1. 公開された Development／Staging 環境

開発、ステージング、テスト環境は、本質的にセキュリティ水準が低いケースが多く、攻撃者が最初に狙う対象となりやすい領域です。検索結果から、これらの環境は世界中に分布しており、特に米国およびアジア太平洋地域に高い密度で集中していることが確認されました。さらに、これらの環境には実運用データが含まれていたり、脆弱な認証情報が使用されていたり、デバッグモードが有効化されている場合が多く、データ漏えいのリスクが高いだけでなく、より高度な攻撃へと発展する初期侵入ポイントとなる可能性が高いと考えられます。

公開された Development／Staging 資産に関する Criminal IP IT資産検索分析結果

Criminal IP 検索クエリ: title:dev OR title:staging OR title:test AND port:443

https://www.criminalip.io/ja/asset/search?query=title%3Adev+OR+title%3Astaging+OR+title%3Atest+AND+port%3A443

2. 公開された Kubernetes ダッシュボード

Kubernetes ダッシュボードの外部公開は、クラウド環境における最も致命的なセキュリティリスクの一つとされています。検索結果によると、世界全体で 合計 140 件の公開された Kubernetes ダッシュボードが確認されており、中国が最も多く、次いでドイツ、米国の順で高い割合を占めていました。ダッシュボードとあわせて 2379 や 10250 といった重要ポートが公開されている場合、攻撃者はクラスターに対する完全な制御権を取得し、機密情報の窃取やリモートコード実行が可能となります。これは、ランサムウェア感染、暗号資産マイニング（クリプトジャッキング）、さらにはサプライチェーン攻撃へと発展する恐れがあり、世界的に見ても極めて深刻な脅威です。

公開された Kubernetes ダッシュボードに関する Criminal IP IT資産検索分析結果

Criminal IP 検索クエリ: title:”Kubernetes Dashboard” AND port:8443

https://www.criminalip.io/ja/asset/search?query=title%3A%22Kubernetes+Dashboard%22+AND+port%3A8443

3. 公開された Grafana サーバー

外部に公開された Grafana サーバーは、ビジネスやインフラに関する中核的な情報が漏えいする可能性がある、非常に大きなリスク要因です。分析の結果、世界全体で 87,213 件の Grafana インスタンスが外部に公開されていることが確認されました。特に CVE-2021-43798 のような脆弱性が悪用された場合、攻撃者は任意のファイルを読み取ったり、データソースの認証情報を窃取したりすることが可能となり、世界中の組織における内部システムや運用情報に深刻な影響を及ぼす恐れがあります。

公開された Grafana サーバーに関する Criminal IP IT資産検索分析結果

Criminal IP 検索クエリ: title:Grafana AND port:3000 AND status_code:200

https://www.criminalip.io/ja/asset/search?query=title%3AGrafana+AND+port%3A3000+AND+status_code%3A200

4. 公開された Elasticsearch

外部に公開された Elasticsearch は、大規模なデータ漏えいにつながり得る代表的な攻撃ベクターの一つです。分析の結果、世界全体で 15,991 件の Elasticsearch インスタンスが外部に公開されていることが確認されました。一部の資産は認証なしでアクセス可能な状態で運用されており、攻撃者が保存されているすべてのデータにアクセスしたり、改ざん・削除したりできる深刻なリスクを内包しています。さらに、CVE-2014-3120（RCE）のような脆弱性が悪用された場合、サーバーに対する完全な制御権の奪取にまで発展する可能性があり、特に注意が必要です。

公開された Elasticsearch に関する Criminal IP IT資産検索分析結果

Criminal IP 検索クエリ: product:Elasticsearch AND port:9200

https://www.criminalip.io/ja/asset/search?query=product%3AElasticsearch+AND+port%3A9200

5. 公開された Redis 資産

外部に公開された Redis は、OS レベルのコマンド実行が可能となる点で、極めて致命的なセキュリティリスク要因です。分析の結果、世界全体で 46,583 件の Redis 関連インスタンスが外部に公開されていることが確認されました。攻撃者は Redis を悪用して Web シェルを設置したり、authorized_keys に SSH 鍵を追加して永続的なアクセス権を確保したりすることが可能であり、当該サーバーを足掛かりとして内部ネットワークへの攻撃を展開する恐れもあります。

さらに、セッション情報やキャッシュデータの窃取も、世界的に見て深刻なセキュリティ脅威となり得ます。

公開された Redis 資産に関する Criminal IP IT資産検索分析結果

Criminal IP 検索クエリ: product:Redis AND port:6379

https://www.criminalip.io/ja/asset/search?query=product%3ARedis+AND+port%3A6379

6. 公開された Jenkins サーバー

外部に公開された Jenkins は、サプライチェーン攻撃に直結し得る高リスクな攻撃ベクターです。分析の結果、世界全体で 241 件の Jenkins インスタンスが外部に公開されていることが確認されました。Jenkins への不正アクセスが発生した場合、ソースコードや運用環境の認証情報が窃取されるだけでなく、ビルドパイプラインに悪意あるコードを注入され、ソフトウェア開発プロセス全体が侵害される可能性があります。特に CVE-2024-23897 は、認証情報の窃取や、その後の高度な攻撃の起点として悪用されるケースが多いことが知られており、十分な注意が必要です。

公開された Jenkins サーバーに関する Criminal IP IT資産検索分析結果

Criminal IP 検索クエリ: product:Jenkins AND port:8080

https://www.criminalip.io/ja/asset/search?query=product%3AJenkins+AND+port%3A8080

7. 公開された phpMyAdmin

phpMyAdmin は、広範に利用されていることに加え、弱い認証情報やデフォルト認証情報が頻繁に使用されているため、攻撃者にとって最も好まれる標的の一つであり続けています。分析の結果、世界全体で 48,428 件の phpMyAdmin インスタンスが確認されました。

公開された phpMyAdmin に関する Criminal IP IT資産検索分析結果

Criminal IP 検索クエリ: title:”phpMyAdmin” AND status_code:200

https://www.criminalip.io/ja/asset/search?query=title%3A%22phpMyAdmin%22+AND+status_code%3A200

結論

今回の分析結果は、インターネットに公開された主要サービスが形成する、広範なグローバル攻撃表面を明確に示しています。特に、Criminal IP のような OSINT ツールを活用することで、これらの資産を非常に容易に特定できるという点は、先制的なセキュリティ対応体制の必要性を一層浮き彫りにしています。

すべてのカテゴリに共通して適用すべき主な対策は、以下のとおりです。

管理インターフェースをインターネットへ直接公開しない
VPN、IP ホワイトリスト、認証プロキシを活用し、外部からの直接アクセスを遮断する必要があります。
強固な認証体制の導入
匿名アクセスを無効化し、多要素認証（MFA）を必ず導入することを推奨します。
ソフトウェアの最新状態を維持
既知の CVE に対応するため、セキュリティパッチを継続的に適用してください。
最小権限の原則を適用
RBAC を構成し、サービスアカウントには必要最小限の権限のみを付与してください。
継続的なモニタリング体制の構築
Criminal IP ASM のような攻撃対象領域管理（ASM）ツールを活用し、外部露出をリアルタイムで検知してください。

現代のサイバーセキュリティ環境においては、単一の指標だけで脅威を把握することは困難です。複数のクエリやデータを相互に関連付けて分析することで、世界規模で運用されている攻撃者インフラや進行中の攻撃キャンペーンを効果的に特定できます。今後、組織は従来の断片的なセキュリティ対策から脱却し、外部攻撃対象領域を継続的に管理する戦略的アプローチへと移行していく必要があります。

なお、関連してCriminal IP Dorksチートシート : 実践的な脅威インテリジェンスクエリガイド（第1回）を参照してください。

データソース: Criminal IP(https://www.criminalip.io/ja), MITRE (2024). Common Vulnerabilities and Exposures (https://www.cve.org/).