ConnectWise ScreenConnect脆弱性CVE-2025-3935：国家支援型攻撃が暴くリモートアクセスセキュリティの新たな脅威

2025年5月28日、米ConnectWiseはリモートアクセスツール「ScreenConnect」のクラウド環境で国家支援型とみられる攻撃者による不審な活動を公表した。

影響は限定的で、同社はGoogle Mandiantと連携し、全顧客への連絡と法執行機関との協力を進めた。攻撃はCVE-2025-3935（CVSS 8.1）という認証不備の脆弱性を突いたもので、ViewStateコードインジェクション経由でリモートコード実行が可能となる。

該当脆弱性はScreenConnectバージョン25.2.3以前に存在し、2025年4月24日公開の25.2.4で修正された。CISAは6月2日に本脆弱性を既知の悪用済みリストに追加し、米政府機関には6月23日までのパッチ適用を求めている。

From: Questions Swirl Around ConnectWise Flaw Used in Attacks

【編集部解説】

今回のConnectWise事件は、リモートアクセスツールの「管理者権限集中リスク」を再認識させる事例です。ASP.NETのViewState機構という基盤技術の脆弱性が、国家支援型攻撃者に悪用された点が特徴的です。

技術的盲点：プラットフォーム依存のリスク
CVE-2025-3935はScreenConnect単体の欠陥ではなく、ASP.NET Web Formsの設計に起因します。ViewStateの暗号化に用いるmachine keysが漏洩すると、攻撃者は正当なリクエストを偽造可能になります34。この問題は、多くの企業が依存する.NETフレームワークの根本的な課題を露呈しています。

サプライチェーン攻撃の新たな様相
攻撃者がMSP（管理サービスプロバイダー）のツールを迂回経路に利用した点が注目されます。ScreenConnectクラウドの侵害により、攻撃者は複数顧客のシステムに同時アクセス可能だったと推測されます16。これは、サプライチェーンの「水平展開型リスク」の典型例と言えるでしょう。

規制動向への影響
CISAが脆弱性をKEVリストに追加したことで6、米国政府機関は6月23日までにパッチ適用が義務付けられます4。日本では経済産業省の「サイバーセキュリティ経営ガイドライン」改定（2025年10月予定）で、類似事例を踏まえたMSP向け基準が追加される見込みです。

未来への示唆：ポスト量子暗号の必要性
本件で問題となったmachine keysは、将来的に量子コンピュータによる解読リスクに直面します。編集部が推奨する「量子耐性ハイブリッド暗号」の導入（例：NIST標準のCRYSTALS-Kyberと従来暗号の併用）が、中長期的な対策として有効です。

取るべき3つのアクション

1. 特権アクセスの分離：リモート管理ツールの管理者権限を最小限に絞り、多要素認証を必須化
2. ログの時系列分析：パッチ適用後72時間は、Event ID 4648（特権ログイン）と4688（プロセス作成）の関連性を監視
3. サプライヤー評価の見直し：MSP契約時に「CVE対応SLA（目標修復時間）」の明文化を要求

今回の事件は、テクノロジーの進化がもたらす「管理のパラドックス」を象徴しています。ツールの利便性向上とリスク管理のバランスが、今後のセキュリティ戦略の鍵となるでしょう。

【用語解説】

ViewStateコードインジェクション：ASP.NET Web Formsで状態管理に使われるViewStateの改ざんを通じて、攻撃者がサーバー上で任意のコードを実行できる攻撃手法。

machine key：ViewStateなどの改ざん防止や暗号化に使うASP.NETの秘密鍵。
CVE-2025-3935：ScreenConnect（25.2.3以前）に存在した認証不備によるViewStateコードインジェクション脆弱性。

リモートコード実行（RCE）：ネットワーク経由でサーバー上に任意のプログラムやコマンドを実行される状態。

【参考リンク】

ConnectWise公式サイト（外部）
IT管理・リモートアクセス・セキュリティ製品を提供する米国企業の公式サイト。

ScreenConnect公式サイト（外部）
ConnectWiseが提供するリモートサポートツールの公式製品サイト。

Mandiant公式サイト（外部）
Google傘下のサイバーセキュリティ企業の公式サイト。脅威インテリジェンスを提供。

CISA公式サイト（外部）
米国のサイバーセキュリティ・インフラ保護機関の公式サイト。脆弱性情報を発信。

【参考動画】

【参考記事】

ConnectWise ScreenConnect Vulnerability Exploited: CISA – CRN
CISAによるCVE-2025-3935の悪用確認とパッチ適用推奨、攻撃の技術的詳細、影響範囲を解説。

ConnectWise warns of threat activity linked to suspected nation-state actor – Cybersecurity Dive
ConnectWiseが国家支援型攻撃者によるScreenConnect顧客への不審な活動を公表し、Mandiantと調査を進めている状況を報道。

ConnectWise ScreenConnect Breach and CVE-2025-3935 – SOCRadar
CVE-2025-3935の技術的詳細、攻撃シナリオ、パッチ情報、CISAによる緊急対応指示などをまとめている。

【編集部後記】

リモートアクセスやIT管理ツールの脆弱性は、日常業務の裏側で静かに組織のリスクを高めています。みなさんの環境では、アップデートやアクセス権限の見直しがどのように行われているか、ぜひ一度振り返ってみてください。ご自身の身近なIT資産や運用体制に目を向けるきっかけになれば幸いです。

サイバーセキュリティニュースをinnovaTopiaでもっと読む