出荷時リセットでも排除できない Ivantiデバイスに展開されたマルウェアに警戒を：セキュリティニュースアラート

Mandiantは、Ivantiデバイスに攻撃を仕掛ける脅威アクターUNC5325が使用するマルウェアが、システムアップグレードやパッチ適用後も排除できないと伝えた。数千ものデバイスに影響を及ぼしている可能性がある。

[後藤大地，有限会社オングス]

　Mandiantは2024年2月27日（現地時間）、脅威アクター「UNC5325」がIvantiデバイスに対して攻撃を仕掛けていると発表した。システムアップグレードやパッチ適用、工場出荷時へのリセットなどを実行しても排除できないマルウェアを展開しているという。

Mandiantは脅威アクター「UNC5325」の動向を報じた（出典：MandiantのWebサイト）

Ivantiデバイスに関する深い知識を持つUNC5325とは何者か？

　Mandiantは、2023年12月上旬に「Ivanti Connect Secure」と「Ivanti Policy Secure VPN」に見つかった脆弱（ぜいじゃく）性を狙ったゼロデイ攻撃を継続的に調査しており、今回の発表はそこから新たに明らかになったものとなる。

　発表時点で判明している内容は以下の通りだ。

• Ivantiデバイスのゼロデイ脆弱性を悪用したサイバー攻撃は、米国の防衛産業基盤部門など、さまざまな業種の数千ものデバイスに影響を及ぼしている可能性が高い
• UNC5325は中国によるサイバースパイ活動の可能性がある
• UNC5325が使ったマルウェアの一部には中国のサイバースパイ「UNC3886」によって使用されたマルウェアと重複するコードがある。なお、MandiantはUNC3886を「VMware ESXi」ホストに影響を与える技術を活用する中国のサイバースパイグループとして特定している
• MandiantはUNC5325とUNC3886が同一グループの可能性があると考えている
• UNC3886は、UNC5221と類似した「進化する戦術、技術、手順」（TTPs）を使っているが、同一グループであることを証明する十分なデータはないとされる
• 以前のパッチはUNC5325が組織に侵入する前に適用された場合に限り有効である
• MandiantはUNC5325が脅威キャンペーン「Volt Typhoon」に関連していると示す証拠は持っていない

　Mandiantは、UNC5325がIvanti Connect Secureアプライアンスについて詳細な理解と重要な知識を持っていると判断し、Ivantiデバイスのユーザーに迅速な対処を促している。

　Mandiantは、Ivantiのセキュリティアドバイザリーの内容を確認して指示に従い作業を実施すること、Ivantiの新しい外部整合性チェッカーを使用すること、Mandiantの強化ガイドを確認して対処することを推奨している。