Apache Tomcat Managerを狙った大規模ブルートフォース攻撃をGreyNoiseが観測

セキュリティニュース

投稿日時: 更新日時:

Apache Tomcat Managerを狙った大規模ブルートフォース攻撃をGreyNoiseが観測

2025年6月5日、脅威インテリジェンス企業 GreyNoise は、Apache Tomcat Managerインターフェースを標的とした大規模なブルートフォース攻撃の急増を観測したと発表しました。これは明らかに組織的かつ意図的なスキャン・侵入の試みであり、今後の攻撃キャンペーンの前兆である可能性があると見られています。

Tomcatは広く使われているJavaベースのWebアプリケーションサーバであり、中小規模な業務システムでも採用されているケースが多く、日本国内でも注意が必要です。

攻撃の規模と内容:異常に高い活動量

GreyNoiseの観測によれば、2025年6月5日に次のような動きが確認されました。

  • ブルートフォース攻撃を行ったIP:250件(通常は1~15件程度)

  • ログイン試行を行ったIP:298件(通常は10~40件程度)

  • ほとんどがDigitalOcean経由のIPから発信されたもの

  • 合計約400のIPが、Tomcatの管理インターフェースに絞ってアクセス

つまり、“どこにTomcat Managerが開いているか”を組織的に探し、総当たりで侵入を試みる行為が、一斉に始まっているということです。

これはゼロデイ攻撃か? ─いいえ、「よくある設定ミス」を狙っています

今回の攻撃は、特定の脆弱性を突いたものではありません。

言い換えれば、「パスワードが甘かった」「管理画面に制限をかけていなかった」そんな設定ミスを探しているだけです。

でも、その“だけ”が、後々深刻な被害につながることは、これまでの多くのインシデントが証明しています。

システム管理者として、今できること

Tomcat Managerがインターネットからアクセス可能になっていないか?

「今は誰も使っていないけど、昔の開発環境がそのまま公開されている」──
こうしたケースは意外と多く、今回のような攻撃の標的になりやすいです。

ID・パスワードは簡単すぎないか?

admin/admin、tomcat/tomcat などの既定値は当然NGですが、パターン化されたID/PWも危険です。
総当たり攻撃は“辞書”を持っているので、文字数だけで防げるものではありません。

ログイン試行のログ、見ていますか?

Tomcatのアクセスログや認証ログは、普段見落としがちですが、短時間に複数の失敗ログが並んでいれば、まさに今回のような攻撃の兆候です。
SIEMやIDSを導入していない場合でも、簡易的な監視から始める価値はあります。

セキュリティの世界では、“無差別で広範囲にスキャンする動き”は、大規模攻撃の予兆として扱われます。

最後に

今回のような動きは、数週間後・数か月後に、新たな脆弱性やゼロデイと組み合わされて、本格的な攻撃に繋がるケースもあります。

「何も起きていないから大丈夫」ではなく、「今のうちに小さな穴を塞いでおく」。
それが、実際にインシデントを防ぐ一番現実的な方法です。

参照

https://www.greynoise.io/blog/coordinated-brute-force-activity-targeting-apache-tomcat-manager