米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Motex社のLanscope Endpoint Managerに存在する重大な脆弱性がハッカーに悪用されていると警告しています。
この脆弱性はCVE-2025-61932として追跡されており、重大度スコアは9.3です。受信リクエストの発信元の検証が不適切なことに起因し、認証されていない攻撃者が特別に細工したパケットを送信することで、システム上で任意のコードを実行できる可能性があります。
Motex(京セラコミュニケーションシステムの子会社)が開発したLanscope Endpoint Managerは、デスクトップとモバイルデバイスを統合管理できるエンドポイント管理・セキュリティツールです。
本製品はAWS(Amazon Web Services)を通じて資産・エンドポイント管理オプションとして提供されており、日本やアジアで特に人気があります。
ベンダーが今週初めに発表したセキュリティ情報では、悪用リスクの高まりを受け、最新アップデートの適用が急務であることが強調されています。
「エンドポイントマネージャー オンプレミスクライアントプログラム(以下MR)および検知エージェント(以下DA)に、リモートコード実行を可能にする脆弱性が存在します」とMotex は発表しました(機械翻訳)。
同社は、すでに一部の顧客環境で悪意のあるパケットが受信されていることを確認しており、この脆弱性がゼロデイとして悪用されていることを示しています。
「さらに、顧客環境において外部から不正なパケットが受信された事例がすでに確認されています」とMotexは述べています。
CVE-2025-61932はLanscope Endpoint Managerのバージョン9.4.7.2以前に影響し、以下のリリースで修正されています:
| 9.3.2.7 | 9.4.3.8 |
| 9.3.3.9 | 9.4.4.6 |
| 9.4.0.5 | 9.4.5.4 |
| 9.4.1.5 | 9.4.6.3 |
| 9.4.2.6 | 9.4.7.3 |
ベンダーは、この脆弱性はクライアント側に影響し、マネージャーのアップグレードは不要であると強調しています。
CVE-2025-61932には回避策や緩和策はなく、アップデートのインストールがセキュリティ問題への唯一の対処法です。
Motexは観測された悪意のある活動の詳細を公表していません。日本のJPCERTコーディネーションセンターも、国内組織を標的としたCVE-2025-61932の悪用に関する情報を受け取ったと警告しています。
BleepingComputerはベンダーに追加情報を問い合わせており、回答があり次第本記事を更新します。
CISAは昨日、CVE-2025-61932を既知の悪用済み脆弱性(KEV)カタログに追加し、BOD 22-01指令の対象となるすべての連邦機関および政府組織に対し、11月12日を必須パッチ適用期限と定めました。
この指令は特定の組織にのみ義務付けられていますが、KEVカタログは民間組織にとっても指針となるべきです。
まだCVE-2025-61932の悪用活動との関連は確認されていませんが、日本国内での攻撃活動は最近増加傾向にあります。国内の著名企業でも被害が公表されており、たとえばQilinランサムウェアによるアサヒビールへの攻撃や、無印良品のオンライン販売に影響を与えたアスクルのeコマース事業者への侵害などが挙げられます。
