🛡 概要
最近、FortraのGoAnywhere MFTツールに存在する脆弱性CVE-2025-10035が、ランサムウェア攻撃に悪用されていることが明らかになりました。この脆弱性は、デシリアライズによる不正データの処理に起因しており、リモートから低い難易度で攻撃が可能です。特に、Storm-1175と呼ばれるサイバー犯罪グループがこの脆弱性を利用した攻撃を行っており、9月11日から活動を開始しています。攻撃者は、GoAnywhere MFTの脆弱性を利用して初期アクセスを確保し、システム内での持続性を維持しています。
🔍 技術詳細
CVE-2025-10035は、GoAnywhere MFTのライセンスサーブレットにおけるデシリアライズの脆弱性です。この脆弱性は、ユーザーの介入を必要とせずにリモートから攻撃される可能性があります。具体的には、攻撃者はRMMツールを悪用し、ネットワーク内で横移動を行い、最終的にはランサムウェアを展開しました。Microsoftによると、CVE-2025-10035は9月10日以降、ゼロデイ脆弱性として利用されており、Fortraは9月18日にパッチをリリースしましたが、既に悪用されていたことが確認されています。
⚠ 影響
この脆弱性によって、GoAnywhere MFTを使用している組織は大きなリスクにさらされています。特に、米国の300以上の重要インフラ組織がMedusaランサムウェアの影響を受けているとの報告があります。攻撃者は、ネットワーク内の機密データを暗号化し、身代金を要求するため、早急な対応が求められます。影響を受ける組織は、システムの脆弱性を放置すると、さらなる攻撃のターゲットになる可能性が高まります。
🛠 対策
FortraとMicrosoftは、GoAnywhere MFTを使用している管理者に対して、最新バージョンへのアップグレードを強く推奨しています。また、ログファイルを確認し、SignedObject.getObjectという文字列を含むスタックトレースエラーがないかをチェックすることが重要です。これにより、脆弱性が悪用されたかどうかを判断できます。継続的な監視と適切なセキュリティ対策を講じることで、組織はこの脆弱性から身を守ることができます。
