ConnectWiseが警告 国家による支援を受けたハッカーが脅威活動を実施：Cybersecurity Dive

ConnectWiseによると、ハッカーによるものと思われる活動が、トラブルシューティングツール「ScreenConnect」の一部の利用者に影響を及ぼしているという。

[David Jones，Cybersecurity Dive]

　ITプラットフォームを提供するConnectWiseは、トラブルシューティングツール「ScreenConnect」の利用者に影響する不審な活動について調査している（注1）。この活動には、国家から支援を受けたグループが関与している可能性があるようだ。

活動の概要とConnectWiseによる対応

　ConnectWiseは「影響を受けた全ての顧客に通知し、法執行機関に今回の攻撃を報告するとともに、調査支援のためにMandiantを起用した」と明かした。

　ConnectWiseの広報担当者は「当社は修正パッチを提供し、システム全体で監視強化と防御対策を実施している」と付け加えている。

　また、広報担当者は『Cybersecurity Dive』に対して電子メールで提供した声明の中で、次のようにも述べている。

　「現在も調査は継続中だ。しかしパッチを適用して以降、ScreenConnectのクラウドインスタンスで不審な活動は確認されていない」

　このパッチは「CVE-2025-3935」として追跡されている重大な脆弱（ぜいじゃく）性に対処するものだった（注2）。ScreenConnectのバージョン25.2.3以前には、ViewStateを悪用したコードインジェクション攻撃に対する脆弱性が存在していた可能性がある。

　ConnectWiseによると、「ASP.NET Web Forms」と呼ばれるWebアプリケーションフレームワークは（注3）、ページやコントロールの状態を保持するためにViewStateを使用しており、データはマシンキーによって保護されたBase64の形式でエンコードされているという。

　マシンキーが侵害されると、攻撃者は悪意のあるViewStateをWebサイトに送信できるようになり、それによってサーバ上でリモートコード実行が可能になる。

　Mandiantの広報担当者は、同社がフォレンジック対応を支援していることを認めたが、調査が継続中であることを理由にこれ以上の情報提供は控えるとした。

　過去にもハッカーは、ConnectWiseのソフトウェアに存在する脆弱性を悪用して攻撃を仕掛けている。2024年2月には「CVE-2024-1709」として登録された認証回避の重大な脆弱性を利用してScreenConnectのインスタンスに対してランサムウェア「LockBit」を展開しようとする試みがあった（注4）（注5）。

（注1）Latest Advisories（CONNECTWISE）
（注2）CVE-2025-3935 Detail（NIST）
（注3）ScreenConnect 25.2.4 Security Patch（CONNECTWISE）
（注4）ConnectWise ScreenConnect faces new attacks involving LockBit ransomware（Cybersecurity Dive）
（注5）CVE-2024-1709 Detail（NIST）

原文へのリンク