Ivanti製品のゼロデイ悪用、中国スパイグループUNC5337が関与か（CVE-2025-0282）

2025年1月9日：サイバーセキュリティ関連ニュース

Ivanti VPNのゼロデイ悪用、中国スパイグループUNC5337が関与か（CVE-2025-0282）

Securityonline[.]info – January 8, 2025

Ivanti Connect Secureにおける脆弱性CVE-2025-0282の悪用は、中国関連のサイバースパイグループUNC5337によるものである可能性が浮上した。この攻撃を調査しているMandiantが、9日に公開したブログ記事の中で詳しく解説している。

CVE-2025-0282はConnect Secure含む複数製品に影響を与えるバッファオーバーフローの脆弱性。Ivantiは既に8日公開の公式アドバイザリ内で同脆弱性が悪用されていることを伝えており、Connect Secureを修正済みバージョンへアップグレードするよう呼びかけていた。

詳しくはこちらの記事で：

この脆弱性の悪用によって侵害されたデバイスを分析したMandiantによれば、これらのデバイスからはSPAWN系マルウェア（SPAWNANTインストーラー、SPAWNMOLEトンネラー、SPAWNSNAILバックドアなど）や、新たなマルウェアファミリーのDRYHOOKおよびPHASEJAMが発見されたという。DRYHOOKは認証情報を窃取するために展開されるPythonスクリプトで、PHASEJAMはIvanti Connect SecureアプライアンスのコンポーネントにWebシェルを挿入できるドロッパー。これらのツールを利用することで、攻撃者はアクセスを持続させたり、ラテラルムーブメントを実施したり、データの抽出を行ったりできるようになるという。

Mantiantは、2024年12月中旬から始まったこの攻撃はUNC5337というアクターによるものだと、中程度の確度で評価。UNC5337は中国との繋がりを持つサイバースパイグループで、UNC5221の一部だと考えられている。なおUNC5221は、これまでにもSPAWNSNAILやSPAWNMOLEなどのカスタムマルウェアを使ってIvanti Connect Secureを攻撃してきた歴史を持つという。

IvantiとMandiantは、以下の対策を実施して攻撃リスクを緩和するよう推奨している。

• 早急なパッチ適用：Connect Secureの利用者には、修正済みのバージョン（22.7R2.5以降）へのアップグレードが求められる。
• Integrity Checker Tool（ICT）の利用：IvantiはICTをその他のセキュリティモニタリングツールと併せて利用し、侵害有無を検知することを推奨している。
• ファクトリーリセットの実行：侵害が見つかったアプライアンスに関しては、ファクトリーリセットを実施してデプロイメント前の状態に戻すことが推奨されている。

EU裁判所、データプライバシー法違反で欧州委員会に賠償金の支払いを命じる

TechCrunch – January 8, 2025

EU一般裁判所は8日、欧州委員会がEU一般データ保護規則（GDPR）に違反したとして、あるドイツ国籍を持つ人物に400ユーロ（約410ドル）の賠償金を支払うよう命じた。同裁判所の声明によると、欧州委員会は適切な保護措置を講じずに個人データの一部を米国へ転送したことで、GDPRの「十分に重大な違反があった」と説明されている。

この人物は欧州委員会が管理する会議に参加するため、EUログインページの「Facebookでサインイン」オプションを使用。その際に同会議のWebサイトをホストする米企業AmazonおよびFacebookを運営するメタへIPアドレス、ブラウザ、デバイスに関する情報が転送され、GDPRに定められた自身の権利が侵害されたと主張していた。

このニュースを最初に報じたロイター通信は、GDPRをめぐって欧州委員会が賠償を命じられた初めてのケースと伝えている。ヨーロッパ27か国を対象とするGDPRは世界で最も厳格なデータプライバシー規則の1つで、違反した組織には年間売上の最高4％までの金額で制裁金を科すことができる。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

地政学レポート

インテリジェンス要件定義に関するガイドブック

ディープ＆ダークウェブレポート