Next.jsを足掛かりに766ホストからシークレットを“収穫”——UAT‑10608が示すサーバサイド認証情報狩りの現在地です

今日の深掘りポイント

• 攻撃者はエンドポイントのマルウェアではなく、Webアプリ（Next.js）側の脆弱性からサーバに入り、.envやSSH鍵、クラウドトークンなど“高価値シークレット”を一括収穫しています。
• 収集資産は「NEXUS Listener」というWebアプリで管理され、検索・統計が可能な“シークレット在庫”として利活用されている点が特異です。
• Talosの公開では少なくとも766ホストが侵害され、データベース認証情報やSSH鍵を含むホストが多数確認されています。単発侵害ではなく、横展開と二次加害を前提に設計された作戦です。
• いま必要なのはパッチ適用だけではなく、Webサーバに“保存されているべきでないシークレット”を退場させ、短寿命化・スコープ最小化・出口制御で「獲っても使えない」状態を作ることです。
• 指標の示す緊急度・実行可能性は高く、対策のタイムボックス（48〜72時間）を明確に区切ってローテーションと狩り込みを同時進行させることが肝です。

はじめに

Cisco Talosが、UAT‑10608と名付けた脅威クラスターによる大規模な自動化型の認証情報収集作戦を公開しました。初期侵入は主にNext.jsアプリケーションの脆弱性悪用で、侵害後は多段のツール群を投下してデータベース資格情報、SSH秘密鍵、クラウド関連トークンなどを体系的に掘り出しています。Talosは少なくとも766ホストの侵害を観測し、攻撃者が「NEXUS Listener」というWebアプリで戦利品を可視化・運用している実態も示しています。公表に合わせ、Talosは該当組織への警告や業界パートナー連携による“危険な認証情報の隔離”にも踏み込んでいます。Cisco Talosの分析はこちらです。

このキャンペーンの本質は、クライアント側のフィッシングやインフォスティーラーでは捉えきれない「サーバサイドのシークレット散在」を産業化して刈り取る点にあります。Webアプリの機能やデプロイの利便性と引き換えに、環境変数や設定ファイルに滞留しがちな認証情報が、攻撃者の自動化パイプラインにとって最良の餌場になっているのです。

深掘り詳細

事実関係（Cisco Talosの公開から）

• 脅威クラスター「UAT‑10608」は、主にNext.jsアプリの脆弱性を突いて初期アクセスを取得し、侵入後に多段のツールを展開してサーバ上の認証情報を広く収集しています。Talos。
• Talosは少なくとも766ホストの侵害を確認しており、データベース資格情報を含むホストが多数、SSH秘密鍵を含むホストも多数観測されています。収集対象にはクラウド関連トークンも含まれます。同上。
• 収集データは「NEXUS Listener」というWebアプリで集約・管理され、攻撃者側で統計や検索ができる運用基盤が整えられています。同上。
• Talosは影響組織への通知とともに、業界パートナーと連携して危険な認証情報の隔離（無効化・ローテーション誘導）を進めています。同上。

注：本稿での事実はTalosの公開情報に依拠し、推測は明示します。

編集部のインサイト（なぜ今、何が新しいか）

• サーバサイド“収穫型”の進化です
  端末上のクッキーやブラウザセッションを盗む従来型から、Webアプリが保持する本丸級シークレット（DB、SSH、クラウド）を直接抜き取る方向に、攻撃者の効率化が進んでいます。獲物の価値が高いため、侵害1件あたりの収益性が跳ね上がります。
• フレームワークの便利さが攻撃面を広げる構図です
  Next.jsのようなモダンフレームワークは、環境変数やサーバ側レンダリング機構を前提に設計されます。運用の現場ではデバッグや迅速なデプロイを優先し、秘密情報がWebサーバ上に長居することが珍しくありません。攻撃者は“そこにあるもの”を拾うだけで横移動のチケットを得ます。
• “盗品管理”の内製化はサービス化の前段に見える、という仮説です（仮説）
  NEXUS Listenerの存在は、認証情報収集の内部オペレーションが整備され、再利用・転売・アフィリエイト分配に向けて標準化が進む前触れに映ります。数カ月〜四半期スパンで「シークレット収穫 as a Service」が台頭する可能性を見ています。
• 収集内訳の示唆（仮説）
  Talosが挙げるDB資格情報やSSH鍵の比率を見るに、データの直接搾取（DB）と継続的な横展開（SSH/クラウド）の両輪を意図していると推測します。秘密鍵は組織境界をまたぐ二次侵害の媒体になりやすく、供給網全体への波及を早めます。

脅威シナリオと影響

以下はTalosの公開を踏まえた、MITRE ATT&CK準拠の仮説シナリオです（仮説）：

• 初期侵入（Initial Access）
  • Exploit Public-Facing Application（T1190）
    公開されたNext.jsアプリの脆弱性を突いてRCE相当の実行権を獲得します。
• 実行（Execution）
  • Command and Scripting Interpreter（T1059）
    Node.js/OSコマンドを介してローカル探索・収集用スクリプトを走らせます。
• 発見（Discovery）
  • File and Directory Discovery（T1083）
    既知の格納場所（例：ホームディレクトリ、アプリ設定ディレクトリ、環境ファイル）を走査します。
• 認証情報アクセス（Credential Access）
  • Unsecured Credentials: Credentials In Files（T1552.001）
    アプリ設定ファイル・環境ファイルから資格情報を抽出します。
  • Unsecured Credentials: Private Keys（T1552.004）
    SSH秘密鍵などの鍵素材を回収します。
• 収集（Collection）
  • Data from Local System（T1005）
    抽出データを圧縮・整形し、送信準備を行います。
• 流出（Exfiltration）
  • Exfiltration Over C2 Channel（T1041）またはExfiltration Over Web Service（T1567）
    NEXUS Listener等の管理基盤へアップロードします。
• 横展開・影響（Lateral Movement / Impact）
  • Valid Accounts（T1078）
    盗んだ資格情報でDBやSSH、クラウド環境へ正規ログインし、二次侵害・データ搾取・リソース悪用を進めます。

想定されるビジネス影響は次の通りです。

• 二次侵害の連鎖：盗難SSH鍵・クラウドトークン経由でサプライヤや顧客環境まで到達し、被害範囲が境界を越えます。
• 継続的な搾取：DB資格情報から低ノイズでデータを吸い出し、監視をすり抜ける“静かな被害”が長期化します。
• アカウント乗っ取り経済への供給：NEXUS Listenerによる在庫管理が、転売・再利用の効率を高め、被害の寿命を延ばします。

全体評価として、緊急性と実行可能性が高く、攻撃成功確率も高い部類に映ります。一方で手口自体の新規性は“サーバ側での自動収穫の産業化”という運用面にあり、検知・抑止は原理的には可能です。いま打てる手を、確実に、素早く、です。

セキュリティ担当者のアクション

優先順位とタイムボックスを明確にして動くことを推奨します。

• 0〜24時間：緊急封じ込め
  • 公開Next.js資産の棚卸しと暫定遮断
    影響バージョンや脆弱構成の有無を即時確認し、該当が疑われるインスタンスはWAFで一時防御・IP制限・メンテナンスモード等で露出を下げます。
  • シークレットの強制ローテーション計画を同時始動
    DBアカウント、SSH鍵、クラウドの長寿命トークンを対象に、業務影響の小さい順でローテーションを着手します。とくにサーバ上に平文・長寿命で滞留しているものを優先します。
  • ハンティング着手（高シグナル重視）
    • Webサーバ上での不審なOSコマンド実行（/bin/sh, curl/wget, tar/zip, base64等）をEDR・監査ログから遡及確認します。
    • Node.js/Next.jsプロセスから外部宛の大量POST・未知ドメインへのアウトバウンド通信をネットワークログから確認します。
    • サーバ上での.envや鍵素材（“BEGIN OPENSSH PRIVATE KEY”など）への直近アクセス痕跡をファイル監査で確認します。
• 24〜72時間：持続性排除と二次侵害対策
  • サーバからシークレットを退場させる設計への切り替え
    環境変数・設定ファイル直書きを廃し、短寿命のフェデレーション/OIDCやSTSを用いた都度発行に移行します。必要最小スコープ・短TTLを徹底します。
  • 出口対策の強化
    Webサーバからインターネットへのアウトバウンドを原則遮断し、必要先（更新レジストリ、社内API、観測基盤等）のみ許可します。未知のWebサービス宛のPOST/PUTをブロックします。
  • 認証強化
    管理系・クラウド系の高リスクアカウントはFIDO2/WebAuthnベースの耐フィッシングMFAへ移行し、パスワード＋TOTPのみ運用を極力排します。
  • 二次侵害モニタ
    クラウド側での新規アクセストークン発行・地理的異常ログイン・認証失敗スパイク、DBのサイレントダンプ（大きなSELECT/EXPORT）を監視します。
• 7〜30日：構造的な再発防止
  • シークレット管理の原則整備
    • サーバに永続的なSSH鍵・長寿命APIキーを置かない（ゼロ・ペルシステンス）
    • すべてのシークレットに自動ローテーションと期限（TTL）を設定
    • スコープは最小権限、IP/国別制限などのコンテキストバインドを適用
  • ソフトウェアサプライチェーン健全化
    依存パッケージのSCA、署名検証、CI/CDでのシークレットスキャン（誤コミット検出）を標準化します。
  • ログとテレメトリ設計
    Webアプリ層（Next.js）からOS層、ネットワーク層、クラウド層までの相関を意識した可観測性を整え、認証情報流出の“間接シグナル”（急な失効・再発行、失敗と成功の連続、異常転送量）を検知します。
  • ベンダ・取引先連携
    自社以外のNext.js運用主体（委託先・パートナー）にも注意喚起を配布し、鍵・トークンの同時ローテーションを促します。供給網の“弱い輪”を放置しないことが全体最適につながります。

最後に、今回の事案の現場的教訓はシンプルです。攻撃者は「あるものを、ある場所から、手間なく盗む」方向に磨きをかけています。私たちは「置かない・短くする・出さない」の三原則で、盗れても使えない世界線を実装するだけです。やるべきことは多いですが、一つひとつは難しくありません。48時間、確実に動く——それが被害の連鎖を断ち切る最短路です。

参考情報

• Cisco Talos: UAT-10608: Inside a large-scale automated credential-harvesting operation targeting web applications（2026-04-02）: https://blog.talosintelligence.com/uat-10608-inside-a-large-scale-automated-credential-harvesting-operation-targeting-web-applications/