サイバーセキュリティ研究者らが、中国と関連があるとされる脅威アクター「UAT-8099」による新たな攻撃キャンペーンを発見しました。2025年後半から2026年初頭にかけて実行されたこの攻撃は、アジア地域のInternet Information Services(IIS)サーバーを標的としており、特にタイとベトナムに集中しています。
この記事のポイント
- 中国系脅威アクターUAT-8099がアジアのIISサーバーを攻撃
- BadIIS SEOマルウェアを使用した検索エンジン最適化(SEO)詐欺を展開
- タイとベトナムが主要なターゲット地域
攻撃の概要と発見経緯
Cisco Talosの研究チームが発見したこの攻撃キャンペーンは、脆弱性を持つIISサーバーを狙った組織的な活動です。IISはMicrosoftが提供するWebサーバーソフトウェアであり、世界中の多くの企業や組織で利用されています。攻撃者は、パッチが適用されていないサーバーや設定ミスのあるサーバーを探し出し、侵入を試みています。
UAT-8099は、過去にも同様の手法でアジア太平洋地域を標的にしてきた実績があり、今回の攻撃もその延長線上にあると考えられています。攻撃の規模については現在も調査が進行中ですが、相当数のサーバーが影響を受けている可能性があります。
BadIIS SEOマルウェアとは
BadIISは、侵害されたIISサーバー上で動作するマルウェアで、主にSEO詐欺(検索エンジン最適化詐欺)を目的としています。このマルウェアに感染したサーバーは、攻撃者が指定した悪意のあるWebサイトへのトラフィックを誘導するために悪用されます。
具体的には、検索エンジンのクローラーがアクセスした際に、正規のコンテンツとは異なる悪意のあるコンテンツを表示させることで、不正なサイトの検索順位を人為的に上昇させます。これにより、詐欺サイトやフィッシングサイトが検索結果の上位に表示され、一般ユーザーが被害に遭うリスクが高まります。
標的となる地域と組織
今回の攻撃キャンペーンは、アジア全域のIISサーバーを対象としていますが、特にタイとベトナムに焦点を当てています。これらの国では、経済発展に伴いデジタルインフラの整備が進む一方で、セキュリティ対策が追いついていない組織も少なくありません。
攻撃者は、政府機関、教育機関、中小企業など、セキュリティリソースが限られている組織を優先的に狙う傾向があります。これらの組織は、専任のセキュリティチームを持たないことが多く、脆弱性の発見や対応が遅れがちです。
防御策と対応
組織がこの脅威から身を守るためには、いくつかの基本的なセキュリティ対策を講じる必要があります。まず、IISサーバーに対する最新のセキュリティパッチを適用することが最も重要です。Microsoftは定期的にセキュリティアップデートを提供しており、これらを迅速に適用することで既知の脆弱性を塞ぐことができます。
また、サーバーの設定を見直し、不要なサービスや機能を無効化することも効果的です。ファイアウォールやIDS/IPSなどのセキュリティ製品を導入し、異常なトラフィックパターンを監視することで、早期に攻撃を検知できる可能性が高まります。
知っておくと便利なTips
- IISサーバーのログを定期的に確認し、不審なアクセスパターンがないかチェックする
- URLRewriteモジュールを使用して、疑わしいリクエストをブロックするルールを設定する
- 定期的な脆弱性スキャンを実施し、設定ミスや未パッチの脆弱性を特定する
まとめ
中国系脅威アクターUAT-8099によるこの攻撃キャンペーンは、アジア地域のIISサーバー管理者にとって重大な警告となっています。BadIIS SEOマルウェアは、単にサーバーを侵害するだけでなく、組織の評判を傷つけ、さらには一般ユーザーを詐欺サイトに誘導する可能性があります。
特にタイとベトナムの組織は警戒を強める必要がありますが、アジア全域の組織がこの脅威を認識し、適切な対策を講じることが求められます。基本的なセキュリティ対策の徹底と、最新の脅威情報への注意が、組織を守る第一歩となるでしょう。
📎 元記事: https://thehackernews.com/2026/01/china-linked-uat-8099-targets-iis.html
コメント