Datadog Security Labsは2026年2月4日、nginxの設定ファイルを書き換えてWebトラフィックを乗っ取る サイバー攻撃 キャンペーンを確認したと報告しました。本キャンペーンは、正規ユーザーのアクセスを攻撃者が用意したバックエンドへ中継させ、通信内容やセッション等の悪用につなげる「Web Traffic Hijacking(トラフィックハイジャック)」を狙います。
目次
何が起きているのか(攻撃の狙い)
攻撃者は、侵害したサーバ上のnginx設定に悪性の location ブロック等を差し込み、特定パス配下のアクセスを攻撃者ドメインへ proxy_pass で転送します。これにより、利用者から見るといつも通りのWebサイトにアクセスしているように見えても、実際には攻撃者のバックエンド経由で処理される状態になり得ます。
標的(狙われやすい環境・ドメイン傾向)
Datadogによると、標的には以下の特徴が見られます。
-
nginxを使用するサーバ、および Baota(BT)などの管理パネル環境
-
アジア系TLD(.in / .id / .pe / .bd / .th など)
-
政府・教育系TLD(.gov / .edu)
-
中国系ホスティング基盤(Baota Panelが多い環境)
侵入経路(推定)
Datadogは、初期侵入についてReact2Shell(CVE-2025-55182)の悪用と関連がある可能性を「中程度の確度」で示しています(時系列の一致、インフラ重複、RCE後の挙動として整合的、などからの推定)。ただし、nginx設定改変そのものは観測事実として高い確度で分析できる一方、初期侵入は状況証拠に基づく推定である点に注意が必要です。
悪性nginx設定の典型パターン
報告では、攻撃者ツールが注入する設定例として、概ね以下のような構造が示されています(要旨)。
-
location /%PATH%/で特定パスをフック -
rewriteにより、元のURLやクエリを保持したまま攻撃者側へ渡す -
proxy_set_headerで Host / X-Real-IP / X-Forwarded-For / User-Agent / Referer 等を付与し、見かけ上の整合性を保つ -
proxy_passで 攻撃者ドメインのバックエンドへ転送
さらに、TLDやパスの組み合わせにより転送先(攻撃者のプロキシドメイン)を切り替えるテンプレート運用が示されています(例:.edu/.gov/.th/.vn向け、.in/.id/.pe/.bd向け、汎用向け)。
ツールキット分析(多段階スクリプト)
Datadogは、侵害後に投入されるツールキットを多段階で解説しています。主な流れは以下の通りです。
-
Stage 1(zx.sh):後続ステージの取得・実行を統括(curl/wgetが無い場合に
/dev/tcpを使ってHTTP通信を自前実装するフォールバックも) -
Stage 2(bt.sh):Baota(BT)環境を狙い、
/www/server/panel/vhost/nginxなどを探索して注入 -
Stage 3(4zdh.sh):より広いパス(
/etc/nginx/sites-enabled、/etc/nginx/conf.d等)を対象に高度に注入、nginx -tで整合性検査も実施 -
Stage 4(zdh.sh):Linux/コンテナ寄りの限定的な探索で注入、必要に応じて
pkill等で再起動 -
Stage 5(ok.sh):ハイジャック状況のマップを作成し、C2へ送信(持ち出し)
影響(リスク)
この手口が成立すると、サイトの一部トラフィックが攻撃者バックエンドへ流れ、以下のような二次被害につながり得ます。
-
利用者の入力情報やセッションの悪用(状況により)
-
正規サイトの信頼を利用した誘導・改ざん(リダイレクト、偽コンテンツ配信など)
-
長期的な透明な中継による監視・収集(設定改変が残る限り継続)
※Datadogの報告は、攻撃が「Webトラフィックを攻撃者バックエンドへ迂回させる」点を中核として説明しています。
IoC(侵害指標)
Datadogが提示している代表的なIoCは以下の通りです。
-
悪性バックエンド(例):
xzz.pier46[.]com/ide.hashbank8[.]com/th.cogicpt[.]org -
C2(アップロード先IP):
158.94.210[.]227 -
追跡・永続化ファイル:
/tmp/.domain_group_map.conf
対策(推奨アクション)
Datadogの観点を踏まえ、現実的に優先度が高い対策は次の通りです。
-
NGINX設定ファイルの改変監視(FIM):
/etc/nginx/**など設定ディレクトリ配下の.conf更新を検知するルールの整備(Datadogは検知例も提示) -
不審な
location/proxy_passの棚卸し:未知の外部ドメインへ転送する設定、突然追加されたパス(/help、/news、/pgslot等)を重点確認 -
管理パネル(Baota/BT等)の防御:管理画面の公開範囲制限、強固な認証(MFA等)、不要公開の停止
-
侵入起点の芽を潰す:RCE系脆弱性への迅速なパッチ適用、WAF/IPS、最小権限化
-
侵害時の封じ込め手順:
nginx -t/nginx -s reloadのログ・実行履歴、設定差分、関連スクリプト(.sh)の探索・隔離、既知IoCへの通信遮断
出典
Web Traffic Hijacking: When Your Nginx Configuration Turns Malicious








