Last Updated on 2025-03-31 10:05 by admin
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Ivanti Connect Secure(ICS)アプライアンスの脆弱性CVE-2025-0282を標的とした新たなマルウェア「RESURGE」について情報を公開した。
この脆弱性はIvanti Connect Secureのバージョン22.7R2.5未満、Ivanti Policy Secureのバージョン22.7R1.2未満、Ivanti Neurons for ZTAゲートウェイのバージョン22.7R2.3未満に影響する。
RESURGEマルウェアは、以前から知られていた「SPAWNCHIMERA」マルウェアの機能を含みつつ、新たに3つの特徴的なコマンドを備えている。これらのコマンドにより、「ld.so.preload」への自己挿入、ウェブシェルの設定、整合性チェックの操作、ファイルの変更、認証情報収集、アカウント作成、パスワードリセット、権限昇格、そしてIvantiの実行中ブートディスクへのウェブシェルのコピーとcorebootイメージの操作が可能になる。
Google傘下のセキュリティ企業Mandiantによると、この脆弱性は「SPAWN」エコシステムと呼ばれるマルウェア群を配信するために悪用されており、その使用は中国関連のスパイグループ「UNC5337」に起因している。
また、2025年3月初旬にMicrosoftは、同じ脆弱性が別の中国関連脅威グループ「Silk Typhoon(旧Hafnium)」によってもゼロデイとして悪用されていることを明らかにした。
CISAは、ある重要インフラ事業体のICSデバイスから、RESURGE内に含まれる「SPAWNSLOTH」の変種と、カスタムの64ビットLinux ELFバイナリも発見している。
組織に対しては、Ivantiインスタンスの最新バージョンへのアップデート、特権・非特権アカウントの認証情報リセット、パスワードのローテーション、アクセスポリシーの見直し、関連アカウント認証情報のリセット、異常活動の監視などの対策が推奨されている。
from:RESURGE Malware Exploits Ivanti Flaw with Rootkit and Web Shell Features
【編集部解説】
高度化するサイバー攻撃の実態
Ivantiの脆弱性を悪用する「RESURGE」マルウェアの出現は、サイバーセキュリティの世界における攻撃手法の高度化を示す重要な事例です。今回のケースでは、中国関連の脅威アクターがVPN製品の脆弱性を標的にし、巧妙な手法で侵入・潜伏する様子が明らかになっています。
特に注目すべきは、RESURGEマルウェアが「SPAWNCHIMERA」の機能を継承しながらも、さらに高度な機能を備えている点です。システム再起動後も生存可能な永続性に加え、ウェブシェルの設置や整合性チェックの操作、ファイル改変といった機能を持ち、攻撃者に強力な権限を与えます。
CISAの分析によると、RESURGEは単なるマルウェアではなく、ルートキット、ドロッパー、バックドア、ブートキット、プロキシ、トンネラーの機能を併せ持つ複合的な脅威です。これは攻撃者が単に侵入するだけでなく、長期間にわたって標的システム内に潜伏し、情報収集や横展開を行うことを目的としていることを示しています。
攻撃者の巧妙な手法
特筆すべきは、攻撃者がIvantiのセキュリティ機能を回避するために用いた巧妙な手法です。Ivantiの製品には整合性チェック機能が組み込まれており、システムファイルの改変を検知します。しかし攻撃者はこれを回避するため、改変したファイルのハッシュ値を再計算し、マニフェストファイルに挿入するという高度な手法を用いています。
また、攻撃者はウェブシェルを利用して認証情報を窃取する機能も実装しています。このような手法は、単なるシステム侵入にとどまらず、長期的な情報窃取を目的としていることを示しています。
複数の脅威アクターによる攻撃
今回の脆弱性(CVE-2025-0282)は複数の脅威アクターによって悪用されていることも重要なポイントです。Googleのセキュリティ企業Mandiantによれば、「SPAWN」エコシステムと呼ばれるマルウェア群は中国関連のスパイグループ「UNC5337」に起因しています。
さらに、Microsoftは同じ脆弱性が別の中国関連脅威グループ「Silk Typhoon(旧Hafnium)」によってもゼロデイとして悪用されていることを明らかにしています。これは、同一の脆弱性が複数の攻撃グループによって独立して発見・悪用されている可能性を示唆しています。
企業や組織への影響と対策
このような高度な攻撃は、特に重要インフラや政府機関、大企業にとって深刻な脅威となります。CISAが「重要インフラ事業体のICSデバイス」から証拠を発見したと報告しているように、攻撃者は戦略的に重要なターゲットを選んでいる可能性があります。
対策としては、まず影響を受けるIvantiの製品を最新バージョンにアップデートすることが最も重要です。さらに、CISAは以下の対策を推奨しています:
最高レベルの信頼性を確保するため、工場出荷時の状態にリセットする
特権・非特権アカウントの認証情報をリセットする
すべてのドメインユーザーとローカルアカウントのパスワードをリセットする
アクセスポリシーを見直し、影響を受けるデバイスの権限を一時的に取り消す
関連するアカウント認証情報またはアクセスキーをリセットする
異常なアクティビティの兆候についてアカウントを継続的に監視する
今後の展望と教訓
今回の事例は、サイバー攻撃が日々高度化していることを示す重要な警鐘です。特に注目すべきは、攻撃者が単にシステムに侵入するだけでなく、検知を回避し長期間潜伏するための巧妙な手法を開発していることです。
企業や組織は、単にセキュリティパッチを適用するだけでなく、異常な活動を検知するための監視体制の強化や、侵害を前提とした「ゼロトラスト」アプローチの採用を検討する必要があるでしょう。
また、今回のような高度な攻撃に対しては、セキュリティベンダーやCISAなどの政府機関が提供する情報を積極的に活用し、迅速に対応することが重要です。サイバーセキュリティは単なるIT部門の問題ではなく、組織全体で取り組むべき経営課題となっています。
【用語解説】
ルートキット:
コンピューターやサーバーに不正アクセスした後、攻撃者が気づかれることなく情報を盗み続けるためのツール群。管理者権限(ルート)を奪うことが目的で、一般的なセキュリティソフトでは検出が難しい。家に侵入した泥棒が、警報装置を無効化し、監視カメラの映像を改ざんしながら長期間住み着くようなものである。
ウェブシェル:
Webアプリケーション開発言語で作られた悪意ある小規模プログラムで、Webサーバーに配置されると、攻撃者がコマンド実行や情報窃取などを行える。正規のWebサイトに紛れ込むため発見が難しく、HTTPSを利用するため通信の検知も困難である。
ゼロデイ攻撃:
セキュリティ脆弱性が公表される前、または修正パッチが提供される前に行われる攻撃。開発者が対策を講じる「0日目」に行われることからこの名称がついている。
CVE(Common Vulnerabilities and Exposures):
公開された情報セキュリティの脆弱性に対する共通識別子。CVE-2025-0282のような形式で表記され、脆弱性情報を一意に特定する。
CISA(Cybersecurity and Infrastructure Security Agency):
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁。米国の重要インフラを保護するための連邦政府機関。
【参考リンク】
Ivanti(外部)
米国に本社を持つIT管理ソリューション企業。ネットワークセキュリティソリューションを提供している。
Ivanti Connect Secure(外部)
Ivantiが提供するSSL-VPNソリューション。安全なリモートアクセスを実現する。
Ivanti Policy Secure(外部)
ネットワークアクセス制御ソリューションを提供するIvantiの製品。
Mandiant(外部)
Google傘下のサイバーセキュリティ企業。サイバー攻撃の調査・分析・対応を専門とする。
JPCERT/CC(外部)
日本のコンピュータセキュリティインシデント対応チーム。セキュリティ対策を支援。
【編集部後記】
皆さんの組織ではVPN製品のセキュリティ対策はどのように進めていますか?今回のRESURGEマルウェアのケースは、単なるパッチ適用だけでは不十分な時代に入っていることを示しています。定期的な認証情報のリセットや異常な活動の監視など、「侵害されることを前提とした」セキュリティ対策を検討する良い機会かもしれません。サイバーセキュリティは日々進化する攻防の世界。皆さんの組織での取り組みや課題についてぜひSNSでシェアしていただければ幸いです。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
