Ivanti脆弱性を中国系ハッカーが悪用 – 低リスク評価から一転、重大な脅威に

2025年4月4日15:25

サイバーセキュリティニュース

Ivanti脆弱性を中国系ハッカーが悪用 - 低リスク評価から一転、重大な脅威に - innovaTopia - （イノベトピア）

Last Updated on 2025-04-04 15:26 by admin

中国関連のサイバースパイグループUNC5221が、Ivanti社の特定製品における脆弱性（CVE-2025-22457）を積極的に悪用している。この脆弱性は、Ivanti Connect Secure（バージョン22.7R2.5以前）、Policy Secure、ZTAゲートウェイ、およびサポート終了済みのPulse Connect Secure 9.xに影響する。

Ivanti社は2025年2月に脆弱性を修正したが、当初は低リスクと評価していた。しかし、4月3日に発表されたセキュリティアドバイザリでは、脅威アクターが高度な手法でこの脆弱性を悪用してリモートコード実行を行っていることが判明したため、CVSSスケールで10段階中9という重大な深刻度に評価を引き上げた。

Google傘下のMandiantセキュリティグループの調査によると、UNC5221はこの脆弱性を利用して「Trailblaze」と「Brushfire」という2つの新型マルウェアを標的システムに投下している。Trailblazeはドロッパーとして機能し、パッシブバックドアであるBrushfireを展開する。さらに、「Spawnsloth」（ログ改ざんツール）、「Spawnsnare」（暗号化ツール）、「Spawnant」（マルウェアインストーラー）など、以前のキャンペーンで使用されたツールも展開している。

Mandiantのシニアコンサルタント、マット・リン氏によると、UNC5221は2月のパッチ公開直後からこの脆弱性の悪用を開始した。また、同グループは2025年1月にIvantiが修正した別の2つのゼロデイ脆弱性（CVE-2025-0282とCVE-2025-0283）も2024年12月から悪用していたことが確認されている。

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、2025年4月初旬に脅威アクターがCVE-025-0282を悪用して「Resurge」マルウェアを展開していると警告を発した。

Ivanti社は影響を受ける製品の利用者に対し、Connect Secureはバージョン22.7R2.6への即時アップグレード、Policy Secureは4月21日リリース予定のパッチの適用、ZTAゲートウェイは4月19日に自動展開されるパッチの適用を推奨している。

from:China-Linked Threat Group Exploits Ivanti Bug

【編集部解説】

この事案は、サイバーセキュリティの世界で常に警戒されている「ゼロデイ脆弱性」の典型的な例と言えるでしょう。当初、Ivanti社はこの脆弱性を単なる「製品のバグ」と判断していましたが、実際には重大なリモートコード実行の脆弱性だったのです。これは、セキュリティ評価の難しさを如実に示しています。

特筆すべきは、この脆弱性が中国関連のハッカーグループによって悪用されていた点です。彼らは、Ivanti社が2月にリリースしたパッチを逆解析し、複雑なプロセスを経て脆弱性を悪用する方法を見つけ出しました。これは、国家レベルのサイバー攻撃者が持つ高度な技術力と執念深さを示しています。

VPN機器やファイアウォールなどのエッジデバイスが狙われる傾向は、ここ数年顕著になっています。これらのデバイスは組織のネットワークの「入り口」に位置するため、攻撃者にとって魅力的なターゲットとなるのです。

この事案が示唆するのは、セキュリティパッチの重要性だけでなく、パッチ適用後も継続的な監視が必要だということです。パッチが公開されると、攻撃者はそれを分析して新たな攻撃手法を見つけ出す可能性があるからです。

企業や組織にとって、この事案は自社のセキュリティ体制を見直す良い機会となるでしょう。特に、リモートワークが一般化した現在、VPNなどのリモートアクセス技術の安全性は極めて重要です。

最後に、この事案は国際的なサイバーセキュリティの課題も浮き彫りにしています。国家支援型のサイバー攻撃は増加傾向にあり、企業や組織だけでなく、国家レベルでの対応が求められています。

テクノロジーの進化とともに、サイバーセキュリティの脅威も進化し続けています。私たちは常に警戒を怠らず、最新の対策を講じる必要があるのです。

【用語解説】

Ivanti社:
米国ユタ州に本社を置くITセキュリティおよび管理ソフトウェアを提供する企業である。特にVPNやネットワークアクセス制御（NAC）ソリューションで知られている。

Connect Secure:
Ivantiが提供するSSL-VPNサービス。社内外のアクセスを統合的に管理し、多要素認証やゼロトラスト接続などの機能を備えている。

Policy Secure:
Ivantiのネットワークアクセス制御（NAC）ソリューション。認証されたユーザーとデバイスのみにネットワークアクセスを提供する。

バッファオーバーフロー:
プログラムが固定長のメモリ領域（バッファ）に、割り当てられた容量以上のデータを書き込もうとすると発生する脆弱性。攻撃者はこれを悪用して不正なコードを実行できる可能性がある。

リモートコード実行（RCE）:
ネットワーク経由でアプリケーションの入力検証の欠陥を悪用し、悪意のあるコードを実行する攻撃手法。攻撃者がシステムを完全に制御できる危険性がある。

サイバースパイ活動:
インターネット、ネットワーク、コンピュータを使用して、情報保有者の許可や知識なしに機密情報を入手する行為。個人、企業、政府などを標的にし、個人的、経済的、政治的、軍事的な優位性を得るために行われる。

CVSS（Common Vulnerability Scoring System）:
脆弱性の深刻度を評価するための標準化されたスコアリングシステム。10段階で評価され、スコアが高いほど深刻度が高いことを示す。

【参考リンク】

Ivanti公式サイト（外部）
Ivantiのセキュリティソリューションや製品情報を提供する公式サイト。

Ivanti Connect Secure（NEC）（外部）
NECが提供するIvanti Connect Secureの製品情報ページ。

CISA（外部）
米国の重要インフラのサイバーセキュリティを担当する政府機関。

Mandiant（外部）
Googleが所有するサイバーセキュリティ企業。

【編集部後記】

皆さんの組織ではVPNやリモートアクセスのセキュリティ対策はどのように行われていますか？今回のIvanti社の事例は、初期評価では「低リスク」とされた脆弱性が実は重大な脅威だったという点で興味深いケースです。日々進化するサイバー攻撃に対して、パッチ適用だけでなく継続的な監視体制が重要になってきています。皆さんの周りでも似たような「想定外の脆弱性発見」の経験はありますか？セキュリティ担当者の方々の知見を共有していただければ幸いです。