IvantiのVPNに脆弱性、1700台以上で侵害の証拠を確認 日本も標的に：セキュリティニュースアラート

Volexityは「Ivanti Connect Secure VPN」の脆弱性を悪用した攻撃が広がっていると伝えた。日本を含む全世界で被害が確認されている。

[後藤大地，有限会社オングス]

　Volexityは2024年1月15日（現地時間）、「Ivanti Connect Secure VPN」の脆弱（ぜいじゃく）性を悪用したサイバー攻撃が広がっていると指摘した。

訂正のお知らせ

本文中の「ICS」の定義が誤っており、誤解を招く表現となっていたことをお詫び申し上げます。タイトルおよび本文の該当箇所を訂正しました（2024年1月19日12時57分更新）。

Ivanti Connect Secure VPNの脆弱性を悪用したサイバー攻撃が広がっている（出典：VolexityのWebサイト）

Ivanti Connect Secure VPN攻撃が拡大中

　被害者は中小企業から大企業まで多岐にわたっており、全世界1700台以上のデバイスで侵害の証拠が見つかっている。Volexityによると、主要な脅威アクター以外の攻撃者もエクスプロイトを実行できる状況にあり、積極的にデバイスを侵害しようとしており注意が必要だ。

　VolexityはIvanti Connect Secure VPNを標的としたエクスプロイトの進行状況を以下のタイムラインで伝えている。

• 2023年12月3日：　最初のエクスプロイトを観測
• 2024年1月10日：　VolexityがCVE-2023-46805およびCVE-2024-21887に関するエクスプロイトの詳細情報を公開
• 2024年1月11日：　脅威アクター「UTA0178」がエクスプロイトを悪用して大量の侵害を試みている証拠を発見
• 2024年1月12日：　Mandiantが同エクスプロイトに関する情報を公開
• 2024年1月15日：　Veloxityが少なくとも1700台のIvanti Connect Secure VPNで大規模な悪用と侵害の疑いの証拠があることを開示

　Volexityは当初、このサイバー攻撃のスキャンを実施し、少数の組織に限定されたものだと結論付けた。しかし後にこのサイバー攻撃が複数のデバイスにも適用されていることを確認した。さらに調査を続けた結果、1700台以上のVPNアプライアンスが侵害を受けていることを発見したという。

　サイバー攻撃を受けたIvanti Connect Secure VPNは日本にも存在が確認されている。このサイバー攻撃は情報が公開された2024年1月15日（現地時間）時点でも継続している。

　Volexityはこのサイバー攻撃が、現在確認されているよりも多く、数千台のマシンに影響を与えており、現在も感染が広がっている可能性があるとして、アップデートや緩和策の実施、整合性チェックツールの実行、侵害を受けている場合は侵害後の対応に取り組むことを推奨した。