ConnectWiseは、セキュリティ上の懸念から、ScreenConnect、ConnectWise Automate、およびConnectWiseリモート監視管理(RMM)実行ファイルの署名に使用されるデジタルコード署名証明書をローテーションする計画を明らかにしました。
同社は、”ScreenConnectが以前のバージョンで特定の設定データをどのように処理していたかについて、第三者の研究者からの懸念が提起されたため”と述べています。
問題の性質について公に詳述はされていませんが、同社の顧客のみがアクセスできる非公開のFAQ(後にRedditで共有)でより詳細が明らかにされています –
懸念は、ScreenConnectがインストーラーの署名されていないがインストーラーの一部である利用可能な領域に設定データを保存する能力を使用していることに起因しています。この能力を使用して、エージェントとサーバー間の接続情報(エージェントがコールバックすべきURLなど)を署名を無効にせずに伝達しています。署名されていない領域は、カスタマイズのために我々のソフトウェアや他のソフトウェアによって使用されていますが、リモートコントロールソリューションの機能と組み合わさると、現代のセキュリティ基準では安全でない設計パターンを生み出す可能性があります。
新しい証明書の発行に加えて、同社はScreenConnectで前述の設定データの管理方法を改善するためのアップデートをリリースすると述べています。
デジタル証明書の失効は、6月13日午後8時ET(6月14日午前0時UTC)までに行われる予定です。ConnectWiseは、この問題がシステムや証明書の侵害を含まないことを強調しています。
ConnectWiseはすでにAutomateとRMMのすべてのクラウドインスタンスで証明書とエージェントを自動的に更新するプロセスを進めています。
しかし、オンプレミス版のScreenConnectまたはAutomateを使用している場合は、最新のビルドに更新し、すべてのエージェントが締め切り日までに更新されていることを確認する必要があります。サービスの中断を避けるためです。
“証明書管理と製品強化の改善をすでに計画していましたが、これらの取り組みは加速されたタイムラインで実施されています。”とConnectWiseは述べています。この移行が課題を生む可能性があることを理解しており、移行をサポートすることを約束します。
この開発は、同社が明らかにした、国家的な脅威アクターがCVE-2025-3935を悪用してViewStateコードインジェクション攻撃を行い、少数の顧客に影響を与えたという報告から数日後に行われました。
また、攻撃者がScreenConnectなどの正当なRMMソフトウェアを利用してステルス性の高い持続的なリモートアクセスを得ることが増えている中でのことです。これにより、通常の活動に溶け込み、レーダーの下を飛ぶことが可能になります。
この攻撃手法は、Living-off-the-land(LotL)と呼ばれ、リモートアクセス、ファイル転送、コマンド実行のためのソフトウェアの本来の機能を乗っ取ることが可能です。
翻訳元: https://thehackernews.com/2025/06/connectwise-to-rotate-screenconnect.html