脅威インテリジェンスの専門家たちは、ファイル転送サービスGoAnywhere MFTにおいて、先週Fortaが公表した最大深刻度の脆弱性について、積極的な悪用や侵害の兆候に備え、不安な予感を抱いています。
Fortaはこの欠陥が実際に悪用されているとは宣言しておらず、CyberScoopからのその点に関する質問にも回答しませんでした。しかし、watchTowrの研究者たちは、この脆弱性が9月10日までさかのぼって実際に悪用されているという信頼できる証拠を入手したと述べています。
ベンダーと調査会社の間のこの見解の相違は、脆弱性の開示と管理の世界における頑固な難題を浮き彫りにしています。欠陥が当初ベンダーが報告したよりも深刻で、かつ実際に悪用されていることが判明すると、防御側や影響を受けたユーザーにとって不要な課題が生じます。
FortaはwatchTowrの最新の調査結果についても質問に答えず、反応も示していません。Fortaは9月11日の「セキュリティチェック」で脆弱性またはその潜在的な影響を発見したと主張していますが、その詳細はアドバイザリには含まれていません。
このサイバーセキュリティベンダーは以前、デシリアライズ脆弱性(CVE-2025-10035)についてセキュリティアドバイザリを更新しましたが、その内容の不明瞭さに一部の研究者は困惑しました。Fortaは、顧客のログファイルに存在する場合、「この脆弱性の影響を受けた可能性が高い」と示す侵害の指標(IOC)やスタックトレースを追加したと述べています。
watchTowrの創設者兼CEOであるBen Harris氏は、脆弱性に関するFortaの一部の公的発言を否定し、彼と研究チームは脆弱性が最初に公表された際に関連攻撃について抱いていた疑念を確認したと述べました。
「なんて混乱だ」と彼はCyberScoopに語りました。「ただ正直で透明であればよかったのに、スキャンダルにしてしまった。」
Fortaがアドバイザリを更新し、顧客がログファイルで監視すべき具体的な文字列を共有したことで、脅威ハンターたちの懸念はさらに高まりました。
Fortaのアドバイザリに追加されたIOCについて、「論理的に不安を感じる。なぜなら攻撃者がすでに活動している可能性を強く示唆しているからだ」とHarris氏は、実際の悪用を確認する前に述べていました。アドバイザリの「Am I Impacted?」セクションに追加された詳細は、「これは単なる仮説的リスクではないことを示唆している」とHarris氏は付け加えました。
Rapid7やVulnCheckの研究者も同様の結論を導き、ベンダーが確認された悪用がない新たな重大脆弱性についてIOCを公開するのは稀だと指摘しました。
「IOC自体は野生下での悪用を確認するものではないが、ベンダーがこの脆弱性がすでに、あるいは今後悪用されると考えていることを強く示唆している」とRapid7のシニアプリンシパルリサーチャー、Stephen Fewer氏は述べています。
秘密鍵、失われたリンク
脆弱性研究者たちは、攻撃者が悪用を達成するために踏むべき追加のステップ、特に特定の秘密鍵への説明のつかないアクセスについて、さらなる詳細を明らかにしました。
「リモートコード実行を成功させるには、攻撃者は署名済みのJavaオブジェクトをターゲットのGoAnywhere MFTサーバーに送信する必要がある。ターゲットサーバーは公開鍵を用いて署名オブジェクトを検証し、署名が有効であれば、安全でないデシリアライズ脆弱性が発生し、任意のコード実行が可能になる」とFewer氏は述べました。
「問題は、GoAnywhere MFTのコードベースに必要な秘密鍵が存在しない場合、攻撃者がどうやってこれを達成できるのかという点だ」と彼は付け加えました。
この鍵、その所在、そして攻撃者がどのようにしてアクセスできるのかという点が研究者たちを警戒させており、一部では秘密鍵が流出したか、あるいはクラウドベースのGoAnywhereライセンスサーバー(署名済みオブジェクトの正当性を担保するために設計されている)から盗まれたのではないかと推測されています。
研究者たちは秘密鍵を持っておらず、それなしでは動作するエクスプロイトを作成できていません。
「攻撃者は全体的に機会主義的だ」とVulnCheckのセキュリティリサーチ担当副社長、Caitlin Condon氏は述べました。「彼らが秘密鍵に何らかの形でアクセスできるというのは、かなり大きな問題だ。」
サイバー犯罪者が秘密鍵にアクセスした事例は過去にもあり、今月初めには攻撃者がSitecoreのゼロデイ脆弱性を、顧客がベンダーのドキュメントからコピー&ペーストしたサンプル鍵を使って悪用したことが証明されています。
2023年には、秘密鍵がMicrosoft Exchange Onlineに対する中国関与の大規模なスパイ攻撃の根本原因となり、米国政府高官らのメールが流出しました。Microsoftは、Storm-0558として追跡している脅威グループがどのようにして鍵を入手したのかを最終的に特定できず、連邦調査委員会は後にこの攻撃とその広範な影響について「一連のセキュリティ上の失敗」として同社を厳しく非難しました。
ベンダーの責任が問われる
ベンダーは、顧客が攻撃から身を守るために役立つ、タイムリーで実用的な情報、特に実際の悪用が行われていることを明確に認めることを提供する責任があると、専門家は述べています。
「これは、防御側が脆弱性の優先順位付けをより効果的に行えるように明確さと安心感をもたらし、推測やサードパーティの調査に頼らずに、サプライヤーが最も適切に対応できる質問に答えることを可能にする」とVulnCheckのセキュリティリサーチ担当副社長、Caitlin Condon氏は述べました。
「この脆弱性、あるいは他の脆弱性が悪用されたかどうかを知る最も簡単な方法は、ベンダーが顧客環境で確認された悪意ある活動を認識しているかどうかを明示的に開示することだ」と彼女は述べました。
CVE-2025-10035に付与された最大深刻度スコアは、重要なシグナルだとCondon氏は付け加えました。「ベンダーがCVSSスコアで満点の10を付与するのは、通常、脆弱性の詳細を検証し、攻撃者がどのようにして成功するかを確認した場合に限られる」と彼女は述べました。
Fortaはこれまでにも同様の経験があります。同社の顧客は2年前にも同じファイル転送サービスのゼロデイ脆弱性で広範囲に攻撃されました。FortraによるCVE-2025-10035の説明は、Clopによって悪用され、100以上の組織や少なくとも他に5つのランサムウェアグループが攻撃したCVE-2023-0669と著しい類似点があります。
Harris氏は、Fortraが重要な情報の共有に消極的であることを批判しました。
「野生下での悪用に関する透明性の文言を含むCISAのSecure By Design誓約に署名した組織として、この状況はかなり残念に思える」と彼は述べました。
企業、セキュリティ専門家、防御側は、露出状況を判断し、適切に対応するために正確なデータに依存しているとHarris氏は付け加えました。
「透明性が欠如していると、同じチームが暗中模索となり、リスク判断に必要な十分な情報が得られなくなる」と彼は述べました。「このソリューションが使われている文脈や、利用している組織を考えると、攻撃者がこれらの環境に長く滞在することの影響は過小評価できません。」
翻訳元: https://cyberscoop.com/goanywhere-vulnerability-active-exploitation-september-2025/
