複数企業で発見されたP2PInfectによるKubernetes侵害

文●フォーティネットジャパン 編集●ASCII

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「構成ミス、ボットネットへの参加、そして潜伏:P2PInfectによるKubernetes侵害の詳細」を再編集したものです。

米国時間2026年5月20日に掲載されたフォーティネットブログの抄訳です。

影響を受けるプラットフォーム:Linux、Windows、コンテナ、Kubernetes
脅威タイプ         :ワーム、ボットネット
影響            :影響を与えることを目的としたデータ暗号化と、コンピューティングリソースの乗っ取り
深刻度           :モデレート(早期のボットネット感染、長期間にわたる潜伏)

FortiGuard Labsは新たに、複数の顧客企業のGoogle Kubernetes Engine(GKE)クラスタ内で、P2Pinfectの持続的な活動を確認しました。そのうちの1社では、侵害が6か月間にわたって継続していました。これらの侵害は、外部に公開されたRedisインスタンスを起点としており、ボットネットはそこから最初の足掛かりを築いていました。また、ボットネットによるビーコン通信は、FortiCNAPPの複合アラートで繰り返し検知されており、構成ミスが1つあるだけでクラウド環境が長期的に侵害される可能性を浮き彫りにしています。さらに、複数の顧客環境で観測されたIOCには重大な共通点がありました。

フォーティネットのテレメトリでは、第2段階のペイロードが実行された形跡は確認されませんでしたが、このボットネットは実環境において、長期間潜伏した後にランサムウェアやクリプトマイナーを展開していることが確認されています。P2Pinfectクライアントの一部の亜種には、ユーザーモードでルートキットを実行する能力もあります。

また、新たなP2Pinfectクライアントをインストールするために使用される新しい展開用スクリプト(deployer.sh(80676a539765a9e117f20b6b99887eca))も特定されています。また、感染した一部のRedisノードが、2025年11月にReactの脆弱性であるCVE-2025-11953(別名「Metro4Shell」)を悪用して展開されたP2Pinfectピアと通信していたことも確認されています。これは、P2Pinfectの攻撃対象がRedisだけでなく、Reactにも拡大していることを示しています。さらに、確度は低いものの、フォーティネットはP2PinfectボットネットがCVE-2025-49844(別名「RediShell」)を攻撃手法に組み込んでいる可能性もあると考えています。RediShellには、P2Pinfectで確認されている攻撃ベクトルであるCVE-2022-0543と同じサンドボックス回避の脆弱性が存在しており、感染したホストもこの脆弱性の影響を受ける状態にありました。

また、外部公開されていたRedisノードのうち4台では、クリプトマイナーも確認されました。これは、2025年12月に実施されていた別系統のReact2Shell攻撃キャンペーンによるものと判断されています。

脅威の背景: P2Pinfect

図1:攻撃チェーン

P2Pinfectは、ワームのような自己拡散能力と、分散型ボットネットアーキテクチャを組み合わせた自己増殖型マルウェアです。このピアツーピア(P2P)アーキテクチャにより、シンクホール化やインフラ停止への耐性が非常に高くなっています。シンクホール化とは、悪意あるボットネット通信を制御された環境(シンクホール)へリダイレクトし、ボットネットを隔離、妨害、無力化する手法です。これは主に、攻撃者のC2サーバーではなく、シンクホール用のIPアドレスを返すようDNSを構成することで実施されます。このボットネットはRustで記述されており、2023年半ばに初めて発見されました。

P2Pinfectは主にRedisの脆弱性を攻撃して拡散し、基本的なSSHパスワードスプレー機能も備えています。また、P2Pinfectが「ボットネットをサービスとして提供する」プラットフォームとして運営されていることを示すいくつかの証拠も存在します。運用者は感染規模の拡大を重視しており、可能な限り多くのホストを感染させてボットネットに参加させ、永続的なアクセスを維持することに注力しています。顧客はアクセスを購入し、その後、自分が用意した第2段階ペイロードを展開します。このモデルはフォーティネットのテレメトリにも反映されています。第2段階ペイロードの実行は確認されていませんが、ボットネットピア間の継続的な通信が確認されています。長期間にわたる潜伏は、P2Pinfectボットネットで過去に確認され文書化されている動作であり、複数の異なる顧客向けに大規模なボットネットを運営している実態とも一致しています。

P2Pinfectクラスタ分析

侵害されたホストが接続していたボットネットピアノードを特定およびマッピングするため、FortiCNAPPの複合アラートから、キャンペーン期間中に感染したサーバーで観測された異常なアウトバウントネットワーク通信を相関分析しました。  

クラスタを分析した結果、ボットネットインフラ全体で一貫した運用パターンが確認されました。ピアノードからダウンロードされ通信するP2Pinfectの複数の亜種が確認されています。また、複数のピアと通信する展開用シェルスクリプトも特定されています。いくつかのピアノードは、SSH攻撃およびエクスプロイト攻撃に関与しているとして個別に検知されていました。  

P2Pinfectピア間の通信は、標準以外のポートを使用して行われています。ペイロードの配信では、すべてのピアで統一されたURI構造(/Linux、/Windows、/IP)が使用されており、バイナリの配信に一貫して利用されていました。このクラスタから取得されたP2Pinfectサンプルは、すべてRustで実装されており、その多くはUPXでパックされていました。

図2:P2Pinfectクラスタ

展開用スクリプト

スクリプト名:deplyoer.sh 
MD5:80676a539765a9e117f20b6b99887eca 

このシェルベースのドロッパーは、http://8[.]210[.]50[.]65:60126/linuxからP2Pinfectクライアントのバイナリを取得し、/top/RarF51vUe0(MD5:5d1ca537c4bedebf2f4d276d4199ea95)に書き出します。その後、Base64でエンコードされた大きな引数BLOBを付与して、このバイナリを実行します。これは、P2Pinfectで確認され文書化されている動作と一致しています。

図3:deplyoer.sh

クライアントバイナリは、Linux x86_64を対象にした、UPXでパックされたRust実行ファイルです。実行時にバイナリへ渡されるBase64形式の引数BLOBは、使用前にChaCha20ストリーム暗号によって処理されます。しかし、暗号化キーとnonceの両方がすべてゼロバイトで構成されているため、この暗号化は実質的には意味を持たず、単に難読化レイヤーとして機能しています。このペイロードデータを復号するとノードリストが表示されます。このリストは構造化されており、2バイトのヘッダーと後続のIP:Portレコードから構成されています。これらのレコードは、マルウェアが初回実行時にボットネットメッシュへ参加するために使用する、P2Pブートストラップ用ピアリストを構成する公開IPアドレスです。

また、感染したRedisサーバーが接続していたP2Pinfectピアの1つで使用されていた別の引数BLOBをデコードしたところ、似た暗号化手法とノードリストレコードが観測されました。

図4:P2Pinfectブートストラップノードリスト

Metro4Shellとの関連

2025年11月から2026年2月にかけて、侵害されたRedisホストは、通常のP2Pinfectボットネット活動の一環として、多数のピアに対してアウトバウントのP2Pメッシュ接続を行っていることが観測されました。そのうち6つのピア(8[.]218[.]225[.]42、8[.]210[.]178[.]40、47[.]86[.]5[.]176、178[.]62[.]63[.]125、47[.]237[.]140[.]12、47[.]83[.]124[.]121)では、同一のP2Pinfect Linuxクライアント(MD5:a1a35afebb585917675534de3d610c93)が確認されました。別のピア47[.]86[.]33[.]195では、Windows用のP2Pinfectクライアント(MD5:08ad2c2877edda9a050b81d011c1c003)が確認されています。これらのクライアントはさらに、React NativeのMetro開発サーバーに存在する、未認証でのリモートコード実行の重大な脆弱性、CVE-2025-11953(通称「Metro4Shell」)を悪用した攻撃とも関連付けられています。

VulnCheckは、2025年12月から2026年1月にかけて、ハニーポット上でこの脆弱性の悪用を確認したことを報告しています。フォーティネットの調査では、この脆弱性を攻撃して配信されていたペイロードが、WindowsおよびLinux向けのUPXでパックされたP2Pinfectクライアントであることを確認しました。これらのクライアントは、フォーティネットのデータセットで確認されたバイナリ(a1a35afebb585917675534de3d610c93、08ad2c2877edda9a050b81d011c1c003)と一致しています。さらに、感染したRedisサーバーが通信していたピア47[.]86[.]33[.]195は、VulnCheckのレポートで指摘されていたペイロード配信インフラと同じでした。

フォーティネットのテレメトリにおけるこれらのピアおよびバイナリの重複から、P2Pinfectの運営者は、脆弱性が報告された2025年11月、そしてPOCが公開されてから1週間後の2025年11月16日の時点で、Metro4Shellを新たなボットネットノードを獲得するための初期アクセスベクトルとして利用し始めていた可能性があります。

RediShellが攻撃ベクトルとして使われた可能性

図5:RediShellのパッチ適用状況とインシデントのタイムライン

RediShell(CVE-2025-49844)は、認証されたユーザーが悪意あるLuaスクリプトを作成して送信し、ガベージコレクタを操作することでLuaサンドボックスを回避し、ネイティブコード実行を可能にする重大なリモートコード実行の脆弱性です。

フォーティネットのテレメトリによると、P2Pinfectに感染したホストは、少なくとも2025年11月29日まではRediShellに対して脆弱な状態にありました。また、P2Pinfectが利用していることが確認されている別のRedisエクスプロイトとして、RedisのLuaサンドボックスを回避することでリモートコード実行を可能にする脆弱性CVE-2022-0543があります。

一方で、P2Pinfectは実環境において、SLAVEOFコマンドを悪用し、発見した公開Redisノードを攻撃者サーバーのフォロワーへ変更することでコード実行権限を取得する挙動も確認されています。外部に公開されたRedisサーバーで、同様の手法が使われた可能性があります。

このため、確度は高くありませんが、RediShellは、P2Pinfectの初期アクセスベクトルとして利用された可能性があります。その根拠は主に以下の2点です。

1. P2Pinfectが確立している攻撃手法と、RediShellが類似している。
2. 構成ミスがあり、パッチが適用されておらず、インターネットに公開されていたRedisホストにおける、P2Pinfectによる最初のインシデントのタイミングが、脆弱性が公開された直後からパッチ適用が広まるまでの期間の日和見的な攻撃と一致している。

結論

P2Pinfectは、侵害されたコンピュータ同士によるP2Pメッシュを利用する耐性のあるボットネットであり、単一障害点を排除することで、シンクホール化やテイクダウンを著しく困難にしています。このマルウェアはRustで記述されており、Linux、Windows、ルーターなど複数のプラットフォームを標的としています。P2Pinfectの運営者は、引き続き感染規模の拡大を重視しており、初期アクセスベクトルとしてMetro4Shell、さらに推測段階ではあるもののRediShellも取り込んでいます。

最近公開された脆弱性を迅速に武器化しているタイムラインから、積極的な開発活動と日和見的な攻撃が示唆されます。このマルウェアは長期間にわたり潜伏し、実環境ではクリプトマイナーやランサムウェアのホスティングおよび展開に利用されていることも確認されています。今回のキャンペーンの経緯は、一つの構成ミスが、クラウド環境における長期的な侵害につながる恐れがあることを浮き彫りにしています。

フォーティネットのソリューション

FortiCNAPPは、構成ミスのあるクラウド環境やランタイム脅威を特定します。また、不審または異常なアウトバウント通信を行う侵害されたRedisノードを検知します。さらに、FortiCNAPPは、セキュリティポスチャ、アイデンティティ、動作にわたってリスクを相関分析し、悪用される前に、重大な脆弱性を優先的に対応できるように支援します。

図6:FortiCNAPPの複合アラート

図7:FortiCNAPP複合アラートのポリグラフ

さらに、FortiGateFortiClientFortiEDRなどのフォーティネット製品によって、エンドポイントおよびネットワークレイヤー向けの保護機能が追加で提供されます。これらのすべての製品は、FortiGuard AntiVirusエンジンを利用して、マルウェアを検知して組織を防御します。これらの製品を導入し、最新の保護機能を適用している顧客は、以下のアンチウイルスシグネチャによって、本レポートで説明している脅威から保護されます。

・Linux/Agent.XM!tr
・Linux/Agent.XL!tr
・W64/GenKryptik.HJPA!tr
・Riskware/Miner

また、FortiCNAPP Agentの新機能であるRiskWatchは、稼働中のクラウドワークロードを継続的に監視し、攻撃者が悪用可能な脆弱性を正確に特定します。既知の脆弱なコードがシステムで実行された場合に検知し、エクスポージャーに関する具体的な証拠とともに、明確な修復手順を提供します。 

さらに、FortiGateおよびFortiWebで利用可能なFortiGuard IPレピュテーションサービスアンチボットネットサービスは、クリプトマイニング、C2活動、ドロッパーインフラに関連する既知の悪意のあるソースIPアドレスをブロックします。このサービスは、FortiSandbox、ハニーポット、CERT、信頼できるパートナーなどの、フォーティネットのグローバル脅威インテリジェンスネットワークからデータを集約しています。

また、ユーザーがフィッシングやその他のソーシャルエンジニアリング攻撃を特定して防御するのに役立つ、フォーティネットの無償のNSEトレーニングモジュールであるFCF(フォーティネット認定ファンダメンタルズ)もぜひ活用してください。 

このブログでお伝えした脅威またはその他のサイバーセキュリティ脅威の影響を自組織が受けている可能性がある場合は、速やかにFortiGuardインシデントレスポンスチームまでご連絡ください。

IOC(Indicators of Compromise:侵害指標)

P2Pinfectボットネットピア

P2Pinfect引数ノードリスト

React2Shell攻撃のクリプトマイナーペイロード

■関連サイト

Fortinet トップへ

本記事はアフィリエイトプログラムによる収益を得ている場合があります