サイバー犯罪者が全文検索エンジン「Elasticsearch」のサーバを狙うのは、法人組織におけるその人気と普及を考えると珍しいことではありません。事実、2019年第1四半期にはElasticsearchサーバの脆弱性やセキュリティの不備を突く攻撃の急増が見られました。トレンドマイクロの確認では、これらの攻撃は主に仮想通貨発掘マルウェアを送り込むものでした。
しかし最近、直接的に金銭的な利益をもたらすマルウェアではなく、バックドア型マルウェア「Setag(別名:BillGates、トレンドマイクロでは「ELF_SETAG.SM」として検出)」を送り込む攻撃が確認されました。これにより攻撃者は分散型サービス拒否(Distributed Denial of Service、DDoS)攻撃のためのボットネットを構築します。
図1:攻撃の流れ
