ハッカーがIISサーバーを侵害し、翌日にランサムウェアを展開
2026年6月、ハッカーがインターネットに接続されたMicrosoft IISサーバーを侵害し、24時間以内に新たなランサムウェア「Spirals」を展開しました。この攻撃は、迅速な権限昇格や自動的な横移動を伴う高度に調整された侵入チェーンを示しています。攻撃者は、ASP.NETウェブシェルを使用して足場を確保し、システムの操作や情報収集を行いました。最終的に、企業ネットワーク全体にランサムウェアを展開し、データ漏洩の脅威を伴う二重の脅迫モデルを採用しました。
メトリクス
このニュースのスケール度合い
インパクト
予想外またはユニーク度
脅威に備える準備が必要な期間が時間的にどれだけ近いか
このニュースで行動が起きる/起こすべき度合い
主なポイント
- ✓ 攻撃者はIISサーバーを侵害し、ASP.NETウェブシェルを使用して足場を確保しました。
- ✓ 新たなランサムウェア「Spirals」が展開され、企業ネットワーク全体に影響を及ぼしました。
社会的影響
- ! この攻撃は、企業のデータセキュリティに対する脅威を高め、特にIISサーバーを公開している組織にとって重大な警告となります。
- ! ランサムウェアの影響により、企業は業務の中断やデータ損失のリスクに直面し、経済的損失が発生する可能性があります。
編集長の意見
解説
外部公開IISの踏み台から24時間で全社ランサム展開——新顔「Spirals」が見せた“速さと整然さ”です
今日の深掘りポイント
- 外部公開のMicrosoft IISを初期足場に、ASP.NETウェブシェルで操作権を確立し、権限昇格と自動横展開を短時間で重ねる侵入チェーンです。
- 侵入から24時間でランサムウェア「Spirals」を企業ネットワーク全体に展開。手動操作と自動化を組み合わせた成熟度の高い運用です。
- 二重恐喝(暗号化+漏えい)モデルの採用により、可用性と機密性の両面で同時に圧力をかける手口です。
- 現場の守りはWAFだけでは不十分。アプリ層の侵入後を前提に、IISの権限設計・ログ可観測性・特権アカウントの隔離を中核に据えるべきです。
- “境界”ではなく“アイデンティティ”が被害半径を決める時代。IISワーカープロセスからADへ橋渡しされる瞬間を検知・遮断できる体制が鍵です。
はじめに
外部公開のIISサーバーが破られ、翌日には社内の多数端末で新種ランサム「Spirals」による暗号化が走る——このスピード感は、いまの犯罪経済がいかに分業化・自動化され、攻撃の“実装”が洗練されているかを物語ります。報告ではASP.NETウェブシェルで足場を固め、権限昇格と横移動を畳みかけて、二重恐喝で止めを刺す構図が描かれています。IISを外部公開している組織にとって、これは単なる注意喚起ではなく、設計思想の見直しを迫るシグナルです。境界の脆弱性だけを塞ぐ対症療法では、24時間の壁を超えて守り切れない時代になりました、です。
深掘り詳細
事実関係(公開情報から読み取れること)
- インターネット接続のMicrosoft IISサーバーが侵害され、ASP.NETウェブシェルで持続的な操作が可能な足場を確保した事案です。
- 侵入から24時間以内に新たなランサムウェア「Spirals」を展開。社内の数十台規模に影響が及んだと報告されています。
- 「Spirals」はAES-128による暗号化を用い、データ漏えいを絡めた二重恐喝モデルを採用しています。
- 攻撃者は迅速な権限昇格と自動化された横移動を組み合わせ、企業ネットワーク全域への展開に至りました。
- 南アジアのITサービス組織が標的となったケースが紹介されています。
- 出典: Gbhackersの報道です。
インサイト(編集部の視点)
-
24時間到達型の“戦術テンプレート”化です
侵入から暗号化までの短期決戦は、初期アクセスの取得、ウェブシェルの設置、権限昇格、資格情報奪取、横移動、暗号化の各段を自動化・半自動化でつないだ“使い回し可能なプレイブック”の存在を示唆します。個々の手口は目新しくなくても、連結の滑らかさが時間的アドバンテージを生んでいます、です。 -
守りの重心は「IIS × アイデンティティの接点」に置くべきです
w3wp.exe(IISワーカープロセス)からOS・ドメイン資産へ操作が波及する瞬間に、特権トークンの悪用やサービスアカウントの権限過多、ファイル書き込み権限の粗さが露呈します。ここを塞ぐには、アプリプールの実行アイデンティティ最小化、gMSAの適切利用、ローカル管理者権の剥奪、Webルートの書き込み最小化といった“地味だが効く”設計が決定打になります、です。 -
手動と自動のハイブリッドが検知をすり抜ける理由です
足場確立から探索・昇格までは人手で環境を見極め、その後の横移動と展開はスクリプトや既製ツールで一気に押し流す——この切り替えはアラートの“山”を短時間に作り、SOCの分析遅延を誘います。逆に言えば、最初の“人手ノイズ”(w3wp.exe起点のPowershell/コマンド実行、ログ掃除の試行、可視化回避)で捕まえられるかが勝負です、です。 -
ランサムは“終点”ではなく“計測器”です
今回のメッセージは「暗号化は最後に鳴るアラーム」に過ぎないということです。暗号化実行を阻止できなくとも、漏えい(転送)工程を途中で断ち切れば、二重恐喝の致命打を避けられます。取るべき指標は「外向きデータフローの異常」と「IIS配下の新規ファイル生成・スクリプト実行の相関」で、ここにアラート閾値を攻め気味に置くべきです、です。
脅威シナリオと影響
-
想定シナリオ(仮説)
- フェーズ1: 公開IISの脆弱性悪用または不正認証により初期侵入(MITRE ATT&CK: T1190 Exploit Public-Facing Application、またはT1078 Valid Accounts)です。
- フェーズ2: ASP.NETウェブシェル設置・実行で持続的な足場(T1505.003 Web Shell、T1059 Command and Scripting Interpreter)です。
- フェーズ3: 権限昇格の試行(T1068 Exploitation for Privilege Escalation、T1134.001 Access Token Impersonationの仮説)です。
- フェーズ4: 内部探索(T1018 Remote System Discovery、T1087 Account Discovery、T1046 Network Service Scanning)です。
- フェーズ5: 資格情報奪取(T1003 OS Credential Dumping、T1558 Kerberoastingの仮説)です。
- フェーズ6: 横移動(T1021 Remote Services: SMB/WinRM/RDP、T1077 Windows Admin Shares)です。
- フェーズ7: 防御回避(T1562 Impair Defenses、T1036 Masquerading、T1070 Indicator Removal)です。
- フェーズ8: データ収集と外送(T1567 Exfiltration to Web Services、T1041 Exfiltration Over C2 Channelの仮説)です。
- フェーズ9: 影響与奪(T1486 Data Encrypted for Impact、T1490 Inhibit System Recovery)です。
-
影響評価(業務・規制)
- 可用性低下: ファイルサーバー、アプリケーションサーバー、VDI/RDSなど広範囲に影響が及ぶと、復旧のクリティカルパスが長くなります、です。
- 機密性侵害: 二重恐喝により、個人情報・顧客データ・ソースコードなどの漏えいが脅しの材料になります、です。
- サプライチェーン拡大の懸念: ITサービス事業者での侵害は、管理対象の顧客環境へ横展開する“踏み石”リスクをはらみます(本件で実際に波及したかは未公表、あくまでリスク仮説)です。
-
現場の検知ポイント(実務メモ)
- w3wp.exeを親とするcmd.exe / powershell.exe / certutil.exe / mshta.exe / rundll32.exeの起動です。
- IISのWebルート(例: inetpub\wwwroot 配下)における短時間の新規. aspx/.ashx/.asmxファイル作成と直後の実行です。
- Windowsログ: 4688(プロセス作成)、4104(PowerShell Script Block)、4624/4625(ログオン/失敗)、4672(特権割当)、7045(新規サービス作成)、1102(監査ログ消去)、5140/5145(共有アクセス)などの組み合わせ異常です。
- 影響工程の兆候: vssadmin/wbadminによるシャドウコピー削除、バックアッププロセス停止の試行です。
セキュリティ担当者のアクション
-
いま直ちに(24–72時間)
- 露出の棚卸し: 外部公開IISの一覧化、不要公開の即時停止、ポート/エンドポイントの最小化を実施します。
- ハンティング1: w3wp.exe親のプロセスツリーに注目し、上記LOLBins(cmd、powershell、certutil、mshta、rundll32)起動を横断検索します。
- ハンティング2: Webルート配下の直近7日で生成された小型. aspx/.ashx/.asmx(数KB~数十KB)の新規ファイルを洗い、デプロイ予定と突合します。
- 迅速遮断: 異常が見つかったIISホストはネットワーク隔離、IISログ/WER/EDRテレメトリの保全、メモリダンプ取得のうえフォレンジックへ引き渡します。
- 送信先注視: 外向きのHTTPS/HTTPで未知ドメイン宛の大量POSTや長時間セッションを検知・遮断し、二重恐喝の成立を阻止します。
- バックアップ防衛: バックアップサーバーへの到達経路(SMB/WinRM/RDP)を一時遮断し、資格情報再発行とネットワーク分離を行います。
-
今四半期内(設計の作り直し)
- IISハードニング
- アプリプール実行IDを最小権限(Network Serviceや専用gMSA)に固定し、LocalSystem/Administrators権の回避を徹底します。
- Webルートの書き込み権限を原則拒否。アップロードが必要な場合は隔離フォルダ+拡張子制限+AV/AMSIスキャン+サイズ/内容検査を組み合わせます。
- 不要モジュール(WebDAV等)の無効化、ハンドラ/拡張子のホワイトリスト化、要求フィルタリング(メソッド/ダブル拡張/隠しセグメント)を厳格化します。
- ログ強化: W3C拡張ログでUser-Agent、Referrer、Cookie、URI-Query、X-Forwarded-For等を記録。FREB(失敗要求トレース)を高リスクエンドポイントに限定有効化します。
- アイデンティティ衛生
- Tier分離(管理者/サーバー/ワークステーション)とPAW(専用管理端末)を導入し、Webサーバーからの横展開で高権限に触れられない構造を作ります。
- LAPS/Windows LAPSでローカル管理者パスワードを一意化、サービスアカウントはgMSA+最小権限+委任(Kerberos)設定見直しを行います。
- NTLMの縮退(可能な限り無効化)、SMB署名、RDPのインターネット露出禁止、WinRMはHTTPS+証明書相互認証に限定します。
- 可観測性と検知
- PowerShell Script Block/Module Logging、プロセス作成(4688)、新規サービス(7045)、セキュリティログ削除(1102)を中央集約し、w3wp.exe子プロセスに特化したアラートを準備します。
- EDRでIISワーカーの子プロセス生成、Webルート新規ファイル+即時実行、net.exe/whoami/ipconfig等の偵察連鎖を高優先で検知します。
- IISハードニング
-
恒常対策(運用の型)
- デプロイガードレール: CI/CDからの変更以外はWebルート差分を拒否する“封印”運用(署名済みパッケージ+改ざん検知)を標準化します。
- 復旧耐性: 3-2-1のバックアップ原則、イミュータブル/エアギャップの導入、年2回の復旧リハーサルでRTO/RPOを実測します。
- プレイブック: 「IIS侵害→ウェブシェル→横移動→暗号化」の想定で机上演習を実施し、隔離判断と通信遮断、資格情報ローテーションのタイムラインを詰めます。
-
レッドチーム/TTXの論点(MITRE ATT&CK準拠の検証テーマ)
- 初期侵入(T1190/T1078)からWeb Shell(T1505.003)、権限昇格(T1068/T1134.001)、横移動(T1021)、暗号化(T1486)までのエンドツーエンド検知とレスポンスタイムを計測します。
- 指標は「w3wp.exe子プロセスのMTTD」「不審Webファイル作成から封じ込めまでのMTTR」「外向きデータ転送の検知率」を中核にします。
—
今回のスコアリングからは、緊急性・実行可能性・信頼性が高いタイプの事案であることが読み取れます。特に“速さ”が最大の武器である以上、組織側は「IIS境界で足を止める」「アイデンティティ層で広がりを止める」「外向きで恐喝の成立を止める」という三段の“止めるポイント”を設計に埋め込む必要があります。攻撃者は自動化で一気に駆け上がる一方、必ずどこかで人手の“逡巡”が挟まります。そこに、こちらの検知の光を当てたいところです、です。
参考情報
- Gbhackers: “Hackers Breached Organizations’ IIS Server, Deployed New Spirals Ransomware Within 24 Hours” https://gbhackers.com/iis-server-breached/ です。
背景情報
- i Microsoft IISサーバーは、インターネット上で広く使用されているウェブサーバーであり、攻撃者はこのサーバーを利用して初期アクセスを得ました。攻撃者は、ASP.NETウェブシェルをアップロードし、システムの操作を行うためのコマンドを実行しました。
- i ランサムウェア「Spirals」は、AES-128暗号化を使用してファイルを暗号化し、データ漏洩の脅威を伴う二重の脅迫モデルを採用しています。この攻撃は、迅速な権限昇格や自動的な横移動を伴う高度な手法を示しています。