認証プロセスを回避してランサムウェアをばらまく 巧妙な手口と使われたツールは？：Cybersecurity Dive

リモート監視、管理ツールの特権管理者を標的としたスピアフィッシング攻撃が数年前から続いていることを、セキュリティベンダーが発表した。どのような手口なのか。

[David Jones，Cybersecurity Dive]

　高度な認証情報収集キャンペーンが数年間に渡り、ConnectWiseのリモート監視、管理ツール（RMM）「ScreenConnect」の特権管理者に攻撃を仕掛けてきた可能性がある。2025年8月25日（米国時間）、セキュリティベンダーMimecastの研究者がブログで明らかにした（注1）。この攻撃は、ランサムウェア（身代金要求型マルウェア）への感染につながる恐れがある。

攻撃にはあの組織も関与　特権管理者を狙う手口とは

　攻撃はいつから続いていたのか。攻撃の内容はどのようなものなのか。

　ブログによると、攻撃者は、AWS（Amazon Web Services）が提供するメール配信サービス「Amazon Simple Email Service」（Amazon SES）のアカウントを悪用して、ScreenConnectの特権管理者にスピアフィッシング攻撃を仕掛けていた。攻撃者の狙いは、企業のリモートアクセス基盤を広範に制御できる特権管理者の認証情報を盗み出すことだ。

　「この攻撃のメリットは、攻撃者にとって望ましいレベルのアクセス権限を持つ人物から認証情報を入手するだけではない。組織のIT資産を把握し、準備が整った段階でランサムウェアを配布する手段としても有効だ」。Mimecastの研究者はCybersecurity Diveにこう説明する。

　ブログによると、このキャンペーンでは「Adversary-in-the-Middle」（AiTM）と呼ばれる中間者攻撃手法と、AiTMを実施するためのオープンソースツール「EvilGinx」が使われている。これによって攻撃者は認証プロセスを回避し、持続的なアクセスを維持できるという。

　キャンペーンは2022年に始まり、ランサムウェアグループ「Qilin」（別名：Agenda）も関与している。Qilinは特権管理者の資格情報を利用して、自ら管理するScreenConnectのインスタンスを複数の端末に同時にインストールする。これにより、ネットワークを横断的に移動してランサムウェアを拡散する能力が向上すると、Mimecastの研究者は述べている。

　サイバーセキュリティベンダーSophosの研究者は2025年4月、MSP（マネージドサービスプロバイダー）を標的とした攻撃について警告を発表した（注2）。この攻撃は、ScreenConnectの偽のログインアラートを使ったものだ。この事件では、Qilinの攻撃者が特権管理者の認証情報に不正にアクセスし、それを利用して下流のシステムに攻撃を展開できるようになった。

　Sophosのアンソニー・ブラッドショウ氏（グローバルMDRインシデント対応部門） によると、Qilinは「複数のシステムからデータを不正に持ち出し、暗号化した」上で、被害者に身代金要求のメモを残したという。Sophosはこの活動を「STAC4365」として追跡している。

　Qilinはマルウェアをランサムウェアアズアサービス（RaaS）として活用し、高度な攻撃を展開する組織だ。2025年2月に発生した、米国の大手新聞チェーンLee Enterprisesへの攻撃（注3）をはじめ、数多くの事件に関与している。同グループは同年8月に発生した製薬関係の受託研究会社Inotiv への攻撃についても犯行声明を出した（注4）。

（注1）ScreenConnect Super Admin Credential Harvesting（Mimecast）
（注2）Qilin affiliates spear-phish MSP ScreenConnect admin, targeting customers downstream（Sophos）
（注3）Lee Enterprises spent $2M for ransomware recovery（Cybersecurity Dive）
（注4）Pharmaceutical firm Inotiv investigating ransomware attack that disrupted operations（Cybersecurity Dive）

原文へのリンク