Medusaランサムウェアの攻撃者、重大なFortra GoAnywhereの脆弱性を悪用

読了時間：5分

出典：Zoonar GmbH（Alamyストックフォト経由）

Medusaランサムウェアを用いる脅威アクターが、FortraのGoAnywhereマネージドファイル転送（MFT）製品に存在する最大深刻度のセキュリティ脆弱性を積極的に悪用しており、すでに謎の多いこの脆弱性についてさらなる疑問が生じている。

月曜日のブログ投稿で、Microsoft Threat Intelligenceは、Medusaランサムウェアを展開する金銭目的のサイバー犯罪グループ「Storm-1175」が、実際にGoAnywhereの脆弱性を悪用していると警告した。活動の規模は明らかではないが、Microsoftは少なくとも1つの侵害された環境でMedusaランサムウェアの展開が成功したことを確認したと述べている。

Fortraはこのデシリアライズ脆弱性（CVE-2025-10035として追跡）を9月18日に公開し、顧客に修正版へのアップグレードを促した。先月のアドバイザリで、FortraはCVE-2025-10035が9月11日に発見されたと述べたが、発見者として特定の個人や組織には言及しなかった。

一方、Microsoft Defenderの研究者は複数の組織で悪用活動を発見し、9月11日に「関連する活動」を観測したと、月曜日のブログ投稿で述べている。

Rapid7のシニアプリンシパルセキュリティリサーチャーであるStephen Fewer氏は、Microsoftのブログ投稿は注目に値すると述べている。「このレポートでは2024年9月11日に悪用が観測されており、これはベンダーのアドバイザリで脆弱性が発見されたと報告された日と同じであり、ベンダーパッチの7日前です」とFewer氏はDark Readingに語る。「これは、この脆弱性がゼロデイとして実際に悪用されたことを裏付けています。」

しかし、Fortraのアドバイザリには悪用活動についての記載はなく、その理由は不明である。また、Microsoftが最初に脆弱性を発見し、Fortraに報告したのかどうかも明らかではない。

Dark Readingはコメントを求めてMicrosoftとFortraに連絡したが、Microsoftはこれ以上のコメントを控え、Fortraは記事掲載時点でコメントを提供しなかった。

CVE-2025-10035">CVE-2025-10035の謎が深まる

Fewer氏は、Microsoftの調査により「悪用が実際に可能であり、特に脅威アクターが問題の悪用に必要な秘密鍵要件を満たすことができた」ことが確認されたとも述べている。

Fortraのアドバイザリでは、「正規に偽造されたライセンス応答署名を持つアクター」がデシリアライズ脆弱性を悪用できると記載されており、これが当初セキュリティ研究者の間で混乱を招いた。9月24日のCVE-2025-10035の技術分析で、Rapid7の研究者は、認証用エイリアス「serverkey1」の秘密鍵なしに不正なアクターがどのようにその署名を偽造できるのか不明だと述べている。

同様に、9月24日のWatchtowr Labsのレポートでも秘密鍵要件が指摘され、パッチの分析ではソフトウェアの署名検証ロジックが「全く変更されていない」ことが示された。これにより、研究チームはFortraが秘密鍵を誤って公開した、もしくは脅威アクターに盗まれた可能性を推測した。

「すべてが謎です。正当な秘密鍵なしにこれを悪用する道筋は見えません」とWatchtowrの投稿は述べている。「理論上は、このバグはそれで無効になるはずです。一方で、CVSSスコアは満点の10であり、ベンダーはIoCを公開しているため、実際に現実的な脅威であることを示しています。」

翌日のフォローアップレポートで、Watchtowr Labsは匿名の個人から「実際の悪用の信頼できる証拠」を受け取ったと述べている。米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は9月29日にGoAnywhereの脆弱性を既知の悪用脆弱性（KEV）カタログに追加した。

Fortraの秘密鍵の謎

CVE-2025-10035の分析で、Rapid7の研究者は秘密鍵なしに脅威アクターがどのように脆弱性を悪用できるのか明確な答えを持っていなかった。約2週間経った今も、Fewer氏は状況は変わっていないと述べている。

しかし、分析では脅威アクターがデシリアライズ脆弱性を悪用できた理由を説明する仮説的なシナリオがいくつか示された。最初のシナリオでは、Fortraが過去の製品リリースで秘密鍵を誤って同梱し、それが脅威アクターに露出した可能性がある。Rapid7の研究者はGoAnywhere MFTおよびGoAnywhere Gatewayの過去バージョンを「完全ではないが」調査したが、鍵が漏洩した証拠は見つからなかった。

Fewer氏は、FortraがGoAnywhere製品ラインをLinoma Softwareというベンダーから買収したため、調査は限定的だったと述べている。「そのため、元ベンダー時代の過去リリースの多くにはアクセスできず、アーカイブまで遡ることができませんでした」と彼は語る。「しかし、秘密鍵の公開漏洩があれば積極的に監視しています。」

他のシナリオとしては、脅威アクターが未知の方法で悪意のあるライセンス応答を偽造した、またはリモートライセンスサーバーのコンポーネントに悪意のあるオブジェクトへの署名を強要した可能性がある。

しかしFewer氏は、最も可能性が高いのは脅威アクターがFortraのシステム（リモートライセンスサーバーなど）を侵害したシナリオだと述べている。

「これにより、脅威アクターは秘密鍵を知ることができ、悪用のための署名要件を正しく満たせるようになります」と彼は語る。「攻撃者がリモートシステム（リモートライセンスサーバーなど）に悪意のあるオブジェクトへの署名を強要するシナリオも考えられますが、システム自体が直接侵害されるよりは可能性が低いです。」

GoAnywhere顧客およびその先へのリスク

GoAnywhereの脆弱性は近年、他のマネージドファイル転送（MFT）製品の脆弱性と同様に、脅威アクターの標的となっている。2023年には、悪名高いClopランサムウェア集団がGoAnywhereのゼロデイ脆弱性（CVE-2023-0669）を悪用し、Fortraの顧客の機密データにアクセスした。

Clopのキャンペーンは複数の組織に影響を与え、Community Health Systems、Hitachi Energy、Rubrikなどが含まれていた。MFTインスタンスが侵害され機密データにアクセスされると、下流の顧客や個人にもリスクが及ぶ。

GoAnywhereの修正版へのアップグレードに加え、Microsoftは組織に対し、境界ファイアウォールやプロキシサーバーを確認し、システムがインターネットへの任意の接続を制限されていることを確認するよう促している。また、Storm-1175による攻撃のインジケーター（IoC）も公開されており、Microsoft Defender製品に組み込むことで顧客環境内の悪意ある活動を検出できる。

現時点で攻撃の範囲は不明だが、Fewer氏は、Storm-1175（中国拠点のサイバー犯罪グループ）がゼロデイとして脆弱性を悪用し、秘密鍵を保持していることを示していると改めて述べている。

「これらすべてが、能力の高い脅威アクターによる高度なキャンペーンであることを示しています」と彼は語る。