リモート管理ソフトウェアを悪用したサイバー攻撃が進行中 CISAが警告：Cybersecurity Dive

CISAはランサムウェアグループ「Play」があるリモート管理ソフトウェアの脆弱性を悪用して、公共料金請求システムを扱うソフトウェアベンダーの顧客に対し、攻撃が仕掛けられていることが分かった。

[Eric Geller，Cybersecurity Dive]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が2025年6月12日（現地時間、以下同）に警告したところによると（注1）、ランサムウェアグループがリモート管理ソフトウェア「SimpleHelp」の脆弱（ぜいじゃく）性を悪用して、公共料金請求用ソフトウェアのベンダーの顧客に対する侵害を実行したという。

リモート管理ソフトウェアを悪用した攻撃が進行中　脆弱性の詳細と緩和策

　この政府による警告は、CISAと米国連邦捜査局（FBI）が以前に発表した、ランサムウェアグループ「Play」に関連するハッカーがSimpleHelpの脆弱性を利用して（電力やガス、鉄道、空港などの）重要インフラ組織を標的にしているという警告に続くものである（注2）。

　CISAの新たな警告はベンダーが顧客にソフトウェアを提供する前にそのセキュリティを検証しないことによるリスクを強調している。

　ソフトウェアのサプライチェーンの複雑さはハッカーにとって好都合だ。プログラムを他社に提供する企業は、しばしば意図せずに脆弱性をその企業に引き継いでしまい、悪意ある攻撃者に隙を与えてしまう。

　今回の場合、脆弱性が見つかったSimpleHelpは、企業向けにリモートサポートおよび管理機能を提供する製品だった。SimpleHelpのバージョン5.5.7およびそれ以前のバージョンには複数の脆弱性が存在し、その中の一つである「CVE-2024-57727」について（注3）、CISAは「二重の恐喝を使ってサービスを中断するために、ハッカーが下流の顧客が使用している未修正のSimpleHelpにアクセスし、悪用した可能性が高い」と述べている。

　SimpleHelpはこの度の脆弱性と、他の2つの脆弱性を2025年1月中旬に公表し、その数週間後、ハッカーは未修正のシステムに対し、これらの脆弱性を組み合わせた攻撃を実行していた。同年5月下旬には、サイバーセキュリティ事業を営むSophosの研究者たちによって、これらの脆弱性を利用してマネージドサービスプロバイダーおよびその顧客が侵害されたと報告されている（注4）。

　2025年6月12日の警告において、CISAは「公共料金の支払いに役立つソフトウェアを開発するベンダーへの侵害は、攻撃が広いパターンを備えたものであることを示唆している」と述べた。

　CISAは、ソフトウェアベンダーおよび下流の顧客、エンドユーザーに対し、確認された侵害または侵害のリスクに基づき、本警告に記載された緩和策を直ちに実施するよう呼びかけた。

　CISAによると、ベンダーはSimpleHelpの脆弱なインスタンスを隔離し、ソフトウェアを更新して顧客に警告すべきだという。一方、顧客はSimpleHelpのエンドポイントサービスを実行しているかどうかを確認し、該当システムの隔離とアップデートを行った上で、SimpleHelpからの追加ガイダンスに従う必要があるようだ。

　CISAは被害者に対し、システムに接続したIPアドレスが所属する国や身代金を要求するメモや攻撃者が伝えた内容、その他の詳細を含む特定のインシデント情報をFBIに共有するよう促した。

（注1）Ransomware Actors Exploit Unpatched SimpleHelp Remote Monitoring and Management to Compromise Utility Billing Software Provider（CISA）
（注2）FBI, CISA warn Play ransomware targeting critical infrastructure with evolving techniques（Cybersecurity Dive）
（注3）CVE-2024-57727 Detail（NIST）
（注4）DragonForce actors target SimpleHelp vulnerabilities to attack MSP, customers（SOPHOS）

原文へのリンク