日本組織も標的に：中国関連アクターがIvanti EPMMの脆弱性悪用に関与か（CVE-2025-4428）

佐々山 Tacos

2025.05.22

日本組織も標的に：中国関連アクターがIvanti EPMMの脆弱性悪用に関与か（CVE-2025-4428）

EclecticIQ – May 21, 2025

Ivanti Endpoint Manager Mobile（EPMM）における脆弱性CVE-2025-4427およびCVE-2025-4428の進行中の悪用について、EclecticIQが報告。同社は、日本を含む世界各地における重要部門の組織を狙ったこれらの攻撃は、中国関連のスパイグループ「UNC5221」によるものであろうと高い確度で評価している。

CVE-2025-4427およびCVE-2025-4428は2025年5月13日に開示された脆弱性で、連鎖させて認証なしでのRCEを達成することが可能。その時点でIvantiは、ごく少数の顧客の環境で本脆弱性の悪用を確認していると述べていた。

EclecticIQのアナリストが観測したところによると、現在進行中で行われているこれらの脆弱性を悪用した攻撃はヨーロッパ、北米、アジア太平洋地域の保健医療、電気通信、航空、地方自治体政府、金融、防衛部門の組織を標的にしたもの。「高度な電子装置とパワートレインシステムで知られる日本の自動車部品サプライヤー」も影響を受けた組織の1つだという。

5月15日に初めて観測されたこれらの攻撃群では、UNC5221が関与した過去のキャンペーンで使われたのと一致する戦術が使われていた。また、UNC5221によるものとされるSAP NetWeaverの悪用キャンペーン（CVE-2025-31324）で使われていた中国でホストされるIPアドレス「27.25.148[.]183」が、今回のIvanti EPMMに対するキャンペーンでも観測されている。これらの事実から、EclecticIQは同キャンペーンの首謀者がUNC5221であろうと高い確度で結論づけている。

EclecticIQのレポート記事では、持続的なリモートアクセスのためにKrustyLoaderやSliverバックドアが展開されていたことや、Ivanti EPMMにおけるハードコードされたMySQL認証情報を利用して機微なデータの抽出が試みられたこと、ネットワークの偵察およびラテラルムーブメントのためにリバースプロキシツールのFRP（Fast Reverse Proxy）がインストールされていたことなどが報告された。また同時期に公開されたWizのブログ記事でも、CVE-2025-4427およびCVE-2025-4428を悪用した進行中の攻撃に関する詳細やIoCが共有されている。