Ivanti Connect Secure脆弱性を悪用した新型マルウェア「DslogdRAT」が日本企業を標的に – 中国発サイバー攻撃の実態

2025年4月26日22:04

サイバーセキュリティニュース

Ivanti Connect Secure脆弱性を悪用した新型マルウェア「DslogdRAT」が日本企業を標的に - 中国発サイバー攻撃の実態 - innovaTopia - （イノベトピア）

Last Updated on 2025-04-26 22:04 by admin

サイバーセキュリティ研究者たちが、日本の組織を標的にした新種のマルウェア「DslogdRAT」について警告しています。

このマルウェアは2024年12月頃、Ivanti Connect Secure（ICS）のゼロデイ脆弱性CVE-2025-0282を悪用して日本の組織に対する攻撃で使用されました。この脆弱性は2025年1月初めに修正されましたが、それまでに中国関連のサイバースパイグループによって悪用されていました。

JPCERT/CCの研究者、増渕維摩氏が2025年4月25日に公開した報告書によると、DslogdRATはPerlのWebシェルを介して展開され、特定のCookieヘッダー値（DSAUTOKEN=af95380019083db5）を確認し、一致した場合にのみコマンド実行を許可する仕組みになっています。また、このマルウェアは8時から20時まで動作するように設定されており、外部サーバーと通信してシステム情報を送信し、リモートコマンド実行やファイル操作などの機能を持っています。

CVE-2025-0282はICSの重大なセキュリティ脆弱性で、認証なしでリモートコード実行を可能にするものです。この脆弱性は中国関連のサイバースパイグループ「UNC5337」によってゼロデイとして悪用され、SPAWNマルウェアエコシステムや、DRYHOOKやPHASEJAMなどの他のツールを配布するために使用されました。

同時に、脅威インテリジェンス企業GreyNoiseは、過去24時間で270以上のユニークIPアドレスから、そして過去90日間で1,000以上のユニークIPアドレスからICSとIvanti Pulse Secure（IPS）アプライアンスを標的とした不審なスキャン活動が9倍に急増したと警告しています。

from:DslogdRAT Malware Deployed via Ivanti ICS Zero-Day CVE-2025-0282 in Japan Attacks

【編集部解説】

今回報告されたDslogdRATマルウェアは、日本の組織を特に標的にした高度なサイバー攻撃の一環として注目すべき事例です。このマルウェアが2024年12月、つまり約4ヶ月前に日本企業を標的に使用されていたことが明らかになりました。

特に重要なのは、この攻撃がIvanti Connect Secure（ICS）というVPN製品のゼロデイ脆弱性を悪用していた点です。ゼロデイ脆弱性とは、開発者が修正パッチをリリースする前に悪用される脆弱性のことで、防御が非常に困難です。この脆弱性（CVE-2025-0282）は認証なしでリモートコード実行を可能にする重大なものでした。

JPCERT/CCの詳細な報告によると、攻撃者はまずPerlで書かれたWebシェルを設置し、それを通じてDslogdRATマルウェアを展開していたことがわかっています。このWebシェルは特定のCookieヘッダー値（DSAUTOKEN=af95380019083db5）を確認し、一致した場合にのみコマンド実行を許可するという巧妙な仕組みになっていました。

DslogdRATの実行フローも非常に洗練されており、複数の子プロセスを生成して本体を隠蔽し、C2（コマンド＆コントロール）サーバーとの通信を確立します。また、このマルウェアは8時から20時までの間だけ動作するように設定されており、勤務時間内のみ活動することで検知を回避する工夫も見られます。このような多段階の実行プロセスは、マルウェア検知を回避するための高度な手法です。

この攻撃は中国関連のサイバースパイグループの活動と関連している可能性があり、国家支援型の高度な持続的脅威（APT）の特徴を示しています。特にUNC5337やUNC5221といった中国系ハッキンググループが、同様の脆弱性を悪用して「SPAWN」ファミリーのマルウェアを展開していたことが確認されています。

こうした攻撃は単なるサイバー犯罪ではなく、産業スパイや知的財産の窃取など、戦略的な目的を持つ可能性があります。特に日本企業が標的になっていることから、日本の技術や情報に対する関心が高まっていることがうかがえます。

さらに懸念されるのは、ICSやIvanti Pulse Secureを標的とした不審なスキャン活動が急増していることです。脅威インテリジェンス企業GreyNoiseの報告によると、過去24時間だけで270以上のユニークIPアドレスからのスキャンが検出され、90日間では1,000以上に達しています。これは新たな大規模攻撃の前兆である可能性があります。

企業のセキュリティ担当者は、特にVPN製品やリモートアクセスソリューションの脆弱性に注意を払う必要があります。リモートワークの普及により、これらの製品は組織のセキュリティ境界の重要な部分となっており、その脆弱性は組織全体のセキュリティを危険にさらす可能性があります。

今回の事例から学べることは、サイバーセキュリティは技術だけでなく、人と組織のプロセスも含めた総合的なアプローチが必要だということです。最新のパッチ適用はもちろん、不審なネットワークアクティビティの監視、多層防御戦略の採用、セキュリティインシデント対応計画の策定など、複合的な対策が求められます。

デジタルトランスフォーメーションが進む現代社会において、こうしたサイバー脅威は今後も増加・高度化していくことが予想されます。企業や組織は、最新の脅威情報に常に注意を払い、適切な対策を講じることが、デジタル時代の生存に不可欠となっています。

【用語解説】

Ivanti Connect Secure (ICS):
企業のリモートアクセスを可能にするSSL-VPN製品。以前はPulse Connect Secureという名称で知られていた。社内ネットワークに安全にアクセスするための仮想プライベートネットワーク技術を提供している。

ゼロデイ脆弱性:
開発者がパッチを作成して配布する前に悪用される脆弱性のこと。「ゼロデイ」という名称は、開発者が問題を認識してから対処するまでの「0日間」という意味に由来する。

Webシェル:
攻撃者がウェブサーバーに不正にアップロードする悪意のあるスクリプト。これにより攻撃者はサーバーに対してリモートからコマンドを実行できるようになる。

C2（コマンド＆コントロール）サーバー:
マルウェアを遠隔操作するために攻撃者が使用するサーバー。感染したコンピュータに指示を送り、データを盗み出すなどの活動を指揮する。

TOR出口ノード:
TORネットワーク（匿名通信を可能にするシステム）の最終中継点。ここからインターネットへの接続が行われる。これは匿名の手紙を送るために使われる最後の郵便局のようなものだ。

APT（Advanced Persistent Threat）:
高度な持続的脅威。特定の標的に対して長期間にわたり執拗に行われる組織的なサイバー攻撃。国家支援型の攻撃が多い。

【参考リンク】

Ivanti公式サイト（外部）
Ivantiの製品やソリューションに関する情報を提供する公式サイト。セキュリティ、IT管理、サービス管理などの製品を扱っている。

JPCERT/CC（外部）
日本のコンピュータセキュリティインシデント対応チーム。サイバーセキュリティに関する情報提供や支援を行っている。

【参考動画】

【編集部後記】

最新のサイバー攻撃事例から、皆さんの組織ではVPN製品のセキュリティ対策はどのように進められていますか？リモートワークが一般化した今、こうした攻撃はどの企業も他人事ではありません。日本企業を標的にした攻撃が増えている今、「うちは大丈夫」という思い込みが最大のリスクかもしれません。セキュリティ担当者だけでなく、一般の社員も含めたセキュリティ意識の向上が、組織を守る第一歩になるのではないでしょうか。皆さんの組織ではどのようなセキュリティ対策を講じていますか？