記事本文(要約)
IT管理ソフトウェアプロバイダーのConnectWiseは、国家支援の脅威アクターによるネットワーク侵害を受けたことを顧客に警告しました。特に、ScreenConnectの顧客の一部に影響があったと説明しています。同社は、影響を受けた全ての顧客に通知し、Mandiantと共に調査を進めており、法執行機関にも報告済みです。
インシデントは、CVE-2025-3935という高リスクの脆弱性に関連しており、この脆弱性によりScreenConnectのバージョン25.2.3以前のものがViewStateコードインジェクション攻撃に晒されました。この攻撃を成功させるには、攻撃者が事前に機械キーを取得し、特権システムレベルのアクセスが必要です。ConnectWiseは、2024年12月にその問題をマイクロソフトから知らされました。
同社はセキュリティ強化対策を講じ、追加情報を随時共有する方針です。
※この要約はChatGPTを使用して生成されました。
公開日: Fri, 30 May 2025 10:36:03 +0000
Original URL: https://www.securityweek.com/connectwise-discloses-suspected-state-sponsored-hack/
詳細な技術情報
以下は、ConnectWiseに関連するセキュリティインシデントに関する詳細な分析です。
CVE番号と脆弱性の仕組み
- CVE-2025-3935: この脆弱性はScreenConnectのバージョン25.2.3およびそれ以前に存在する高危険度の脆弱性で、ViewStateコード注入攻撃を可能にします。この脆弱性により、リモート攻撃者がサーバー上で任意のコードを実行することができます。
攻撃手法
- ViewStateコード注入攻撃: 攻撃者は、ASP.NETフレームワークが使用するViewStateの保護に使われるマシンキーを取得し、それを利用してサーバーにコードを注入します。これを実現するには、攻撃者が特権的なシステムレベルのアクセス権限を得る必要があります。
潜在的な影響
- 任意コード実行: この脆弱性が悪用されると、攻撃者はサーバー上で任意のコードを実行可能になり、システムの完全な制御権を得る可能性があります。
- データ盗難やランサムウェア展開: ScreenConnectが自社システムに情報管理やリモートデスクトップ機能を提供しているため、攻撃者が企業のネットワークに侵入し、データの窃取やランサムウェアの配置を行うリスクがあります。
推奨される対策
- パッチの適用: ConnectWiseが提供する最新のパッチを適用することで、CVE-2025-3935脆弱性を修正します。
- マシンキーの保護: ASP.NETのマシンキーが一般に公開されないよう、適切な管理を行う必要があります。
- 特権アクセスの管理: 最小特権の原則に従い、システムアクセスを厳格に管理し、特権アクセス権の不必要な付与を避けます。
- 監視と監査の強化: システムの監視を強化し、異常行動の早期検出に努めるとともに、定期的なセキュリティ監査を実施します。
- セキュリティ意識の向上: 組織内でのセキュリティ教育を強化し、従業員に対して攻撃手法や適切な防御策についての理解を促進します。
その他の情報
- ConnectWiseは、この問題の対応としてMandiantと協力し、環境全体の監視とセキュリティの強化を行っています。また、法執行機関にも連絡し、さらなる支援を得ています。
- 脆弱性は初めMicrosoftによって野生での悪用が観察され、ConnectWiseに通知されました。
