【警告】CVE-2025-22457 脆弱性悪用事例と対策
–サイバー脅威の全貌–

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

本記事は、Google Cloud Blogで2025年4月3日に公開された「Suspected China-Nexus Threat Actor Actively Exploiting Critical Ivanti Connect Secure Vulnerability(CVE-2025-22457)」の情報をもとに、脆弱性の概要、攻撃手法、最新の悪用事例、そして推奨対策について解説します。

瓦版号外記事(CVE-2025-22457悪用事例)サムネイル

はじめに

昨今、エッジデバイスやVPNシステムを狙ったサイバー攻撃が急増しています。その中でも、Ivanti Connect Secure(ICS)における脆弱性「CVE-2025-22457」が、2025年4月3日にIvantiによって公開され、実際に悪用されていることが確認されました。MandiantとIvantiの共同調査により、ライフサイクルが終了したICS 9.Xや、ICS 22.7R2.5以前のバージョンが標的となっています。

脆弱性の概要とその影響

CVE-2025-22457は、バッファオーバーフローに起因する重大な脆弱性です。攻撃者がこの脆弱性を悪用すると、リモートから任意のコードが実行可能となり、企業のVPNシステムに対して深刻なセキュリティリスクが生じます。対象は、ICS 22.7R2.5以前のバージョンおよび旧バージョン(ICS 9.X)で、攻撃成功時には不正アクセス、情報漏洩、システムの乗っ取りなどが懸念されます。

悪用事例と新たなマルウェアの動向

調査によると、初期の悪用は2025年3月中旬に確認されています。攻撃が成功すると、以下のような新たなマルウェアファミリーが展開されることが判明しました。

  • TRAILBLAZE
    シェルスクリプト形式のインメモリオンリードロッパー。システム内の特定プロセスに不正コードを注入する足がかりとなります。
  • BRUSHFIRE
    SSL_readのフックを利用するパッシブバックドアで、不正な通信を密かに行います。
  • SPAWNエコシステム
    SPAWNSLOTH、SPAWNSNARE、SPAWNWAVE など、連携してシステム内の不正操作やログ改ざんを実施するツール群です。

これらのマルウェアは、シェルスクリプトドロッパーを起点に、ターゲットプロセス内へ段階的に展開される仕組みとなっており、システム再起動後にも再展開される可能性があるため、持続的な監視と迅速な対策が求められます。

技術的な攻撃手法の解説

攻撃の初期段階では、シェルスクリプトが以下のような手順で実行されます。

  1. プロセスの特定
    ターゲットとなる/home/bin/webプロセス(特に、子プロセスとして実行中のもの)を検出
  2. 一時ファイルの生成
    /tmpディレクトリに、対象プロセスのPIDやメモリマップ、バイナリのベースアドレス、さらにマルウェア本体が格納された一連のファイルが作成される
  3. マルウェアの注入
    生成された一時ファイルを利用し、TRAILBLAZEドロッパーが実行。これにより、BRUSHFIRE パッシブバックドアが対象プロセス内へ注入される
  4. クリーンアップ
    一時ファイルや不要なプロセスは削除され、攻撃自体は非永続的な形で行われる

この攻撃手法は非常に巧妙であり、既存のパッチ対策や監視体制を回避するために設計されています。

脅威アクターとその背景

調査機関GTIG(Google Threat Intelligence Group)の報告によると、今回の攻撃は、中国関連の疑いがある諜報グループ「UNC5221」によるものと見られています。UNC5221は、過去にもゼロデイ攻撃やエッジデバイスへの不正侵入を実施しており、今回の攻撃でも従来の脆弱性を細かく解析した上で悪用していると評価されています。

推奨対策と今後の対応

MandiantとIvantiは、以下の対策を強く推奨しています。

  • 迅速なパッチ適用
    2025年2月11日にICS 22.7R2.6で公開されたパッチを、対象システムに速やかに適用すること
  • 監視体制の強化
    不審なコアダンプや、Integrity Checker Tool(ICT)の異常な動作が確認された場合、即座に対応する体制を整えること
  • セキュリティツールの活用
    内部および外部の監視ツールを併用し、システムの健全性を定期的にチェックすること

これらの対策により、攻撃によるリスクを最小限に抑え、企業全体のセキュリティレベルの向上が期待されます。

まとめ

CVE-2025-22457 の悪用事例は、エッジデバイスを狙った攻撃が日々進化している現状を示しています。企業や組織は、最新パッチの適用と継続的な監視を徹底し、サイバー攻撃に対する防御策を強化する必要があります。今後も最新のセキュリティ情報に注意を払い、信頼性の高い情報源からのアドバイスを参考にすることが重要です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

ウェビナー開催のお知らせ

  • 2025年4月9日(水)13:00~14:00
    今さら聞けない!スマホアプリのセキュリティあれこれ
  • 2025年4月16日(水)14:00~15:00
    知っておきたいIPA『情報セキュリティ10大脅威 2025』~セキュリティ診断による予防的コントロール~
  • 2025年4月23日(水)14:00~15:00
    今知るべき!サポート切れのソフトウェアへのセキュリティ対策ガイド
  • 2025年4月30日(水)13:00~13:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像