ブロードバンドタワーは2026年2月24日、2025年12月に公表していたサイバー攻撃について「最終報」を公表し、調査結果と今後の対応をまとめました。
最終報によれば、攻撃は2025年12月5日深夜から12月8日早朝にかけて発生し、c9 Flexサービス Vシリーズの特定仮想サーバ3台と、運用に関わる仮想サーバ3台の合計6台が不正アクセスの対象だったとしています(対象サーバは停止済みで復旧は行わず、対策を施した新規構築で復旧する方針)。また、EDRによる監視を継続した結果、12月8日早朝以降の追加の不正アクセスは検知していないとしています
概要
ブロードバンドタワーの最終報によると、本件は2025年12月6日にクラウド基盤を構成する一部ネットワーク機器へのログイン試行が検知されたことをきっかけに調査が開始され、その後の分析で、同社のc9 FlexサービスVシリーズ上で稼働していた特定の仮想サーバが不正アクセスを受けていたことが判明しました。
さらに、その侵害された仮想サーバが踏み台として利用され、内部ネットワークに位置する運用関連の仮想サーバにも不正アクセスが及んでいたと説明しています。
調査の結果、不正アクセスの対象となったサーバはVシリーズの特定仮想サーバ3台と運用関連仮想サーバ3台の合計6台に特定され、サーバ上の一部データ削除も確認された一方で、Vシリーズ以外のクラウドサービス、社内ネットワーク、データセンターサービス、ストレージサービスへの侵害や影響は確認されていないとしています。
また、EDRによる監視を継続した結果、2025年12月8日早朝以降に追加の不正アクセスは検知していないとしており、対象サーバは停止済みで、復旧は既存環境を戻すのではなく対策を施した新規構築で行う方針を示しています。
原因
最終報では侵入経路と侵入手法について、次の見解が示されています。
-
攻撃者は、c9 Flexサービス Vシリーズの特定仮想サーバに存在した既知の脆弱性を悪用し、インターネットから当該サーバへ侵入
-
その後、侵入したサーバを踏み台にし、内部ネットワークの運用サーバに対しても既知の脆弱性を悪用して不正アクセス
フォーラムでのハッカーが犯行声明
2025年12月にハッキングフォーラム上では、「ByteToBreach」と名乗る人物がブロードバンドタワーのロゴ画像とともに犯行声明を投稿している様子が確認されています。
関連:ブロードバンドタワーにサイバー攻撃-ハッカーがフォーラムで「多数ホストを侵害し顧客情報等を窃取」と主張
投稿の内容を要約すると、攻撃者はまず
-
sk.bbtower.co.jp上の、Basic認証で保護された管理者・開発者向けのWebページから侵入した
と主張しています。その後、社内ネットワーク内で
-
MovableType
-
F5 BIG-IP
-
Mongo Express など
複数の脆弱性を足掛かりに横移動を繰り返し、資格情報(ID・パスワードなど)を収集しながら権限を拡大していったと説明しています。
なお、ハッカーは自身の功績を大げさに吹聴する場合があり、注意が必要です。
実際過去、IIJへのサイバー攻撃を主張したハッカーがいましたが、公開FTPへのサイバー攻撃だった事例もあります。
関連記事
ブロードバンドタワーにサイバー攻撃-ハッカーがフォーラムで「多数ホストを侵害し顧客情報等を窃取」と主張
ブロードバンドタワーへサイバー攻撃、クラウド上の特定仮想サーバで不正アクセスの痕跡、情報流出の可能性も調査中
ブロードバンドタワーへのサイバー攻撃、データセンターサービスに影響なし
ユーチューバーへ偽の著作権侵害の警告を行い、マルウェアの拡散を脅迫
ランサムウェア 事例|2022年
ランサムウェア グループ「ダークエンジェルズ」が過去最高額の身代金 約7500万ドル(約11.2億円)の支払いを受け取る
サンリオピューロランド、ランサムウェアによるサイバー攻撃からの復旧進む
ケリングが不正アクセスによるサイバー攻撃でグッチ,バレンシアガ,マックイーンの個人情報漏洩の恐れ
ジャガーランドローバーへのサイバー攻撃 被害で最大15億ポンド(約3,000億円)公的保証
