日本製の資産管理ソフトウェアのゼロデイ脆弱性を悪用 中国の脅威アクターの手口：セキュリティニュースアラート

中国国家の支援を受けた脅威アクターは、エムオーテックスの「LANSCOPEエンドポイントマネジャー オンプレミス版」のゼロデイ脆弱性（CVE-2025-61932）を悪用し、サイバー攻撃キャンペーンを実行していることが分かった。その手口とは。

[後藤大地，ITmedia]

　SophosのCTU（Counter Threat Unit）リサーチチームは2025年10月30日（現地時間）、中国国家が支援する脅威集団「BRONZE BUTLER」（別名：Tick）による日本の資産管理ソフトウェアの脆弱（ぜいじゃく）性を悪用したサイバー攻撃キャンペーンを確認したと報告した。

　このサイバー攻撃集団は、エムオーテックスの「LANSCOPEエンドポイントマネジャー オンプレミス版」のゼロデイ脆弱性（CVE-2025-61932）を悪用し、機密情報を窃取しているという。

日本製の資産管理ソフトウェアの脆弱性を悪用　中国の脅威アクターの手口

　Sophosによると、攻撃者はCVE-2025-61932を悪用し、「SYSTEM」権限で任意コマンドを実行していたという。公開用に配置されているLANSCOPEサーバのうち直接の露出は限られるとの解析結果が示されているが、サイバー攻撃者は侵害済みの内部ネットワークの脆弱な端末を悪用し、横展開や権限昇格を試みることが可能だった。

　CTUリサーチチームは、今回の攻撃に使われたマルウェア「gokcpdoor」の進化版についても詳細を報告した。gokcpdoorはこれまでコマンド・アンド・コントロール（C2）通信にKCPプロトコルを使用していた。しかし最新版では、KCPプロトコルを廃し、第三者ライブラリーによる多重化通信機能を取り入れていた。

　gokcpdoorには受信待機のサーバ型と接続発信のクライアント型があり、ポートはサンプルによって38000や38002が観測されている。幾つかの環境ではオープンソースのC2フレームワーク「Havoc」が使われ、マルウェア「OAED Loader」が実行フローを複雑化させる手口が見られた。

　攻撃者は正規のツールやサービスを悪用して横展開や情報抜き取りも実行している。オープンソースの「Active Directory」情報抽出ツールやリモートデスクトップ経由の操作、アーカイブツールによるデータ集約、Webブラウザ経由でのクラウド保存サービスへのアクセスが観測されている。これらの振る舞いによって識別が難しくなり、ログと通信の両面での詳細な追跡が必要になっている。

　CTUリサーチチームは、対策としてLANSCOPEサーバの更新を優先するよう勧告している。加えて公開用に配置されているLANSCOPEクライアントや検知エージェントの存在を精査し、公開が業務上不要な場合は露出を抑えることを推奨している。