
2025年6月5日、脅威インテリジェンス企業 GreyNoise は、Apache Tomcat Managerインターフェースを標的とした大規模なブルートフォース攻撃の急増を観測したと発表しました。これは明らかに組織的かつ意図的なスキャン・侵入の試みであり、今後の攻撃キャンペーンの前兆である可能性があると見られています。
Tomcatは広く使われているJavaベースのWebアプリケーションサーバであり、中小規模な業務システムでも採用されているケースが多く、日本国内でも注意が必要です。
目次
攻撃の規模と内容:異常に高い活動量
GreyNoiseの観測によれば、2025年6月5日に次のような動きが確認されました。
-
ブルートフォース攻撃を行ったIP:250件(通常は1~15件程度)
-
ログイン試行を行ったIP:298件(通常は10~40件程度)
-
ほとんどがDigitalOcean経由のIPから発信されたもの
-
合計約400のIPが、Tomcatの管理インターフェースに絞ってアクセス
つまり、“どこにTomcat Managerが開いているか”を組織的に探し、総当たりで侵入を試みる行為が、一斉に始まっているということです。
これはゼロデイ攻撃か? ─いいえ、「よくある設定ミス」を狙っています
今回の攻撃は、特定の脆弱性を突いたものではありません。
言い換えれば、「パスワードが甘かった」「管理画面に制限をかけていなかった」そんな設定ミスを探しているだけです。
でも、その“だけ”が、後々深刻な被害につながることは、これまでの多くのインシデントが証明しています。
システム管理者として、今できること
Tomcat Managerがインターネットからアクセス可能になっていないか?
「今は誰も使っていないけど、昔の開発環境がそのまま公開されている」──
こうしたケースは意外と多く、今回のような攻撃の標的になりやすいです。
ID・パスワードは簡単すぎないか?
admin/admin、tomcat/tomcat などの既定値は当然NGですが、パターン化されたID/PWも危険です。
総当たり攻撃は“辞書”を持っているので、文字数だけで防げるものではありません。
ログイン試行のログ、見ていますか?
Tomcatのアクセスログや認証ログは、普段見落としがちですが、短時間に複数の失敗ログが並んでいれば、まさに今回のような攻撃の兆候です。
SIEMやIDSを導入していない場合でも、簡易的な監視から始める価値はあります。
セキュリティの世界では、“無差別で広範囲にスキャンする動き”は、大規模攻撃の予兆として扱われます。
最後に
今回のような動きは、数週間後・数か月後に、新たな脆弱性やゼロデイと組み合わされて、本格的な攻撃に繋がるケースもあります。
「何も起きていないから大丈夫」ではなく、「今のうちに小さな穴を塞いでおく」。
それが、実際にインシデントを防ぐ一番現実的な方法です。
参照
https://www.greynoise.io/blog/coordinated-brute-force-activity-targeting-apache-tomcat-manager