GoAnywhereの脆弱性悪用した攻撃にMedusaランサムウェアが使われる　マイクロソフトが発表：CVE-2025-10035

nosa

2025.10.07

GoAnywhereのバグを悪用した攻撃にMedusaランサムウェアが使われる　マイクロソフトが発表（CVE-2025-10035）

The Record – October 7th, 2025

マイクロソフトは6日、Fortra社のファイル転送管理ソリューション「GoAnywhere」に存在する重大な脆弱性CVE-2025-10035の悪用活動を分析したレポートを発表した。

同社のレポートによると、この活動はサイバー犯罪グループStorm-1175の関与が疑われるもので、人気のファイル転送ツールの脆弱性を悪用する攻撃にMedusaランサムウェアの亜種を使っているとのこと。CVE-2025-10035を介して初期アクセスを獲得した後は、リモート監視・管理ツールのSimpleHelpとMeshAgentを使用し、侵入したネットワーク内のシステムを横断的に移動したとされる。Storm-1175はMedusaランサムウェアの展開に加え、公開アプリケーションを悪用して初期アクセスを獲得することで知られている。

CVE-2025-10035の悪用に成功すると、システムとユーザーの探索、長期的なアクセスの維持、そしてラテラルムーブメントやマルウェアのための追加ツールの展開が可能になるという。Fortraは当初、この脆弱性について9月18日に公表し、その1週間前に発見したと述べていたが、サイバー犯罪者による悪用を認識しているかどうかについては明言を避けていた。

米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）も先週、この脆弱性が悪用されたことを確認し、すべての連邦民間機関に対して10月20日までにパッチを適用するよう命じている。しかし、そのさらに数週間前からGoAnywhereユーザーに警告を発していたセキュリティ企業watchTowrの専門家は、「マイクロソフトによる今回の確認は、悪用が確認された事実や攻撃者が特定されたこと、そして攻撃者が1か月間有利な状況にあったという、非常に不快な状況を浮き彫りにしている」と述べた。Fortraはコメント要請に応じていない。

CISAとFBIによると、Medusaランサムウェアは2021年に出現して以来、重要インフラ分野の300組織以上を攻撃するために使用されている。2023年にはミネアポリスの公立学校への攻撃で大きな注目を集め、生徒の機微文書が大量に流出して10万人以上に影響を与えた。そのほかにもイリノイ州とテキサス州の政府機関、太平洋の島国トンガ、フランスの自治体、フィリピンの政府機関、そしてカナダの大手銀行2行が設立したテクノロジー企業も標的にしており、最近ではNASCARへの攻撃で犯行声明を出している。