侵害されたサイト管理パネルがサイバー犯罪市場のホットアイテムに

脅威行為者は、地下経済の一環として、ハッキングされたウェブサイトへのアクセスを公然と宣伝しています。最も有望な製品の1つは、侵害されたcPanelクレデンシャルです。これらのクレデンシャルは、商品レベルの価格設定で詐欺チャットグループを通じて数千単位で販売され、フィッシングや詐欺キャンペーン用のプラグアンドプレイのインフラとして販売されています。

新しいリサーチでは、Flare のセキュリティ研究者が、7 日間にわたって監視された詐欺グループの活動を分析し、大規模に運営されている構造化されたエコシステムを示しました。

私たちは、cPanelへのアクセスに言及した20万件以上の投稿を分析し、cPanelがどのようにして注目の商品となったのか、なぜそれが脅威行為者によって望まれているのか、そしてそれが脅威の全体像の中でどのように位置づけられるのかを説明しました。

Table of contents

cPanel – ウェブサイトをコントロールする1つの鍵
侵害された cPanel が大規模な攻撃を可能にする
侵害された認証情報をリアルタイムで検出
cPanelはさまざまな方法で侵害される
侵害されたcPanelはアンダーグラウンド市場で人気の商品
コモディティ化
検出と緩和
侵害された cPanel アカウントによる被害：アカウントの侵害からビジネスの危機へ

cPanel – ウェブサイトをコントロールする1つの鍵

cPanel は、世界で最も広く使用されている Linux ベースのウェブホスティングコントロールパネルの 1 つです。標準的なシステムサービスの上に、構造化された管理レイヤーを提供します。ホスティングアカウント、ドメイン、メールサービス、データベース、DNSゾーン、SSL証明書、ファイルシステムを管理するためのオーケストレーションおよび自動化インターフェイスとして機能します。

Shodan によると、cPanel ソフトウェアを搭載したインターネット接続サーバーは 150 万台以上あります。

Shodan search shows over 1.5 million cPanels — **Shodan の検索では、150 万以上の cPanel が表示されます。**

以下のヒートマップは、cPanel が主に米国で人気があることを示しています（検索結果は 100 万件以上）。

World map of cPanel distribution — **cPanel の世界分布図**

侵害された cPanel が大規模な攻撃を可能にする

個人的な使用や小規模なビジネスの運営、あるいは企業のウェブ資産の1つとして、ウェブサイトを所有しているとします。ひとたび脅威者が管理レイヤーにアクセスするための正当な認証情報を取得すると、さまざまな機能を利用できるようになります：

永続化のためのバックドアの導入
永続化のための新しい管理者ユーザーの作成
マルウェアの展開
サーバーのルート・アクセス権の獲得
正規ドメイン名のサブドメインとしてフィッシングキットを展開する。
フィッシングやスパムのキャンペーンを広めるために、ドメイン下にSMTPアカウントを作成する。
データベースから貴重なデータ（個人情報、機密情報）を盗み出す。

共有ホスティング環境では、1つのcPanelが数十のドメインへのアクセスを可能にし、組織レベルではウェブプレゼンス全体を危険にさらす可能性があります。

攻撃者は有効な認証情報を使用するため、従来のセキュリティ・コントロールでは、その行為にすぐに気づかなかったり、完全に見逃してしまうことがあります。悪用は、目に見える悪用が検知される前に、静かな送信メールや隠れたファイルのアップロードから始まるかもしれません。

a.fl_button { background-color：#border：1px solid #3b59aa; color：#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin：4px 2px; cursor: pointer; padding：12px 28px; } .fl_ad { background-color：#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border：1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color：color: #333; line-height: 24px; font-family：font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding：10px 0 10px 10px; } .fl_rig { padding：10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding：0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

侵害された認証情報をリアルタイムで検出

Flareは、脅威行為者が侵害されたcPanel認証情報、SMTPアクセス、ホスティングインフラを販売する地下Telegramチャンネルを監視します。

お客様のドメイン、ホスティングアカウント、認証情報が悪用される前に大量販売されたときにアラートを受け取ります。

無料トライアルを開始

cPanelはさまざまな方法で侵害される

歴史的に、脅威当事者は、クレデンシャルの乱用、Web アプリケーションの侵害、サーバーレベルの悪用などを組み合わせて cPanel 環境にアクセスしてきました。

最も一般的なベクターは、窃取されたクレデンシャルまたはブルートフォースされたクレデンシャルです。攻撃者は、フィッシングキャンペーン、データ侵害によるパスワードの再利用、クレデンシャルスタッフィング、および公開された cPanel ログインポータルに対する自動ブルートフォース攻撃を利用します。

センシティブなファイル（config.yaml、.env）をインターネットに公開したり、脆弱なパスワードを使用したり、多要素認証を使用しなかったりといった設定のミスは、従来から魅力的な侵入経路となっていました。

また、同じサーバー上でホストされている脆弱なウェブサイトを悪用する経路もよく見られます。WordPress、Joomla、またはDrupalのような時代遅れのCMSプラットフォームは、脆弱なプラグインやテーマとともに、攻撃者がウェブシェルをアップロードしたり、特権をエスカレートしたりすることを可能にします。

ホスティングアカウント内に侵入すると、攻撃者は横方向に移動したり、保存されている認証情報を取得したり、設定ファイル（wp-config.php など）にアクセスしたり、権限の昇格を試みて cPanel に広くアクセスしたりします。

時間の経過とともに、自動化はこれらのテクニックを増幅させ、ボットネットは公開されたログインパネル、既知の CVE、および設定ミスを継続的にスキャンし、スパム、フィッシングインフラ、改ざん、またはアンダーグラウンド市場での転売を通じてアクセスを収益化します。

侵害されたcPanelはアンダーグラウンド市場で人気の商品

Flareのリサーチャーは、200,000件以上の投稿からなる7日間のサンプルを収集しました。その結果、投稿の90％が重複していることがわかりました。

これは、様々なチャネルを介して何千回も増幅された数百のユニークな投稿で、高度に商品化された市場を示している可能性があります。

価格段階は、品質、地域、インフラの評判を区別する。一括割引は規模の拡大を促す。

A cPanel advertisement — **cPanelの広告**
*Flareのリンクから投稿する。まだ顧客でない場合は、無料トライアルにサインアップしてアクセスする。*

コモディティ化

私たちの分析は、明確な価格言及を含む何千もの明確な投稿に基づいています。cPanelは通常、一括で販売されます。その理由は、多くの場合、最初のアクセスがすでに検出されていたり、認証情報が失効していたり、アクセスが制限されていたりするためです。

購入者はリスクを負うことを理解しており、それが価格設定とボリュームベースの販売モデルに反映されています。

私たちが90％以上の重複を発見したという事実は、おそらくテンプレート化された広告や自動再投稿ツールを使用して、売り手が複数の詐欺的なチャットグループにわたって同じ在庫を繰り返し広告していることを示しています。

リスティングには、「新鮮」、「高品質」、「スパムクリーン」、または「郵送準備完了」などのマーケティング用語が頻繁に含まれており、商業的な販売戦術を反映しています。

cPanelsのオファーは、通常のマーケットとまったく同じように振る舞います：

品質	数量	価格
プレミアム	100	$75
プレミアム	500	$289
プレミアム	1,000	$645
レギュラー	1,000	$23
レギュラー	3,000	$42
レギュラー	5,000	$58

品質の差別化は簡単である：

.govや.milのような信頼性の高いトップレベルドメインは、より高い正当性が認識されます。その結果、これらのドメインを利用したフィッシングや詐欺のキャンペーンは成功する確率が高くなります。
対照的に、.xyzや.netのようなドメインは、一般的にアンダーグラウンド市場では価値の低い資産と見なされている。
プレミアム品質パネルを良いSEO指標、評判の良いサーバープロバイダーと定義した投稿もある。
アクティブSMTPサーバーは商品の価格を上げる。これにより、購入者は直ちに制限やブラックリストに登録することなく、正当なドメインから送信メールを送信できるようになります。これにより、脅威行為者は信頼できるインフラストラクチャから直接フィッシングメールやスパムメールを送信できるため、侵害されたcPanelの価値が高まり、配信率とバイパス率が大幅に向上します。
米国やEUを拠点とするホスティング会社やドメインの侵害されたcPanelは、特にフィッシング目的で公開された場合、より高価になります。

Selling cPanel in a dedicated black-market store — **ブラックマーケット専用ストアで cPanel を販売**
*Flare リンクを投稿する。まだ顧客でない場合は、無料トライアルにサインアップしてアクセスする。*

検出と緩和

組織は、すべてのホスティングコントロールパネルアカウントで多要素認証（MFA）を有効にし、強力で一意のパスワードを強制し、可能な限りIPアドレスによる管理アクセスを制限する必要があります。

アウトバウンドSMTPアクティビティを継続的に監視してスパムの不正使用を検出し、ファイルの完全性を監視して不正な変更を特定する。

新しく作成されたホスティングアカウント、予期しないcronジョブ、または設定変更を追跡することは、侵害の早期指標となり得る。

初期感染後にホスティング認証情報が頻繁に取引されるため、ステラーログやアンダーグラウンドマーケットプレイスにおける認証情報の露出を監視することも同様に重要です。

CMSプラットフォームとそのプラグインは、完全にパッチを適用し、未使用のサービスを無効にし、ホスティング環境全体で最小特権の原則を適用する必要があります。

侵害された cPanel アカウントによる被害：アカウントの侵害からビジネスの危機へ

組織にとって、侵害された cPanel アカウントの影響は即座に深刻なものとなります。脅威行為者の行為によってドメインや IP がブラックリストに登録され、風評被害や業務の中断につながる可能性があります。さらに深刻なケースでは、ウェブサイトのコンテンツが盗まれたり、改ざんされたり、あるいは暗号化されて身代金を要求されたりして、単なるアカウントの侵害が本格的な事業継続インシデントに発展することもあります。

盗まれたホスティング認証情報は、パッケージ化され、等級付けされ、アンダーグラウンド市場で大規模に販売されるなど、在庫として扱われるようになっています。サイバー犯罪の経済がエクスプロイトの開発からアクセスの仲介に移行すると、ホスティング認証情報を保護することは、フィッシング、スパム、詐欺行為のインフラとして再利用されることに対する最前線の防御となります。

このアクセス主導のエコシステムでは、ホスティング認証情報は企業環境への価値の高いゲートウェイとなります。現在の傾向が続けば、これらのクレデンシャルの自動ハーベスティングと大量再分配はこのモデルをさらに産業化し、信頼できるドメインとIPスペースを求めるフィッシングオペレーターの参入障壁を下げるだろう。

その結果、悪用のサプライチェーンが拡大し、侵害されたホスティングアカウントはもはや偶発的なものではなく、サイバー犯罪のオペレーションにおける戦略的資産となるのです。

詳しくは、無料トライアルにご登録ください。

スポンサーおよび執筆：Flare