MOTEXのLANSCOPE脆弱性を狙った中国系APT攻撃が現実に
2025年中頃に発生した、中国の国家支援系ハッカーグループ「BRONZE BUTLER(別名:Tick)」によるMOTEX LANSCOPE Endpoint Managerの脆弱性悪用攻撃は、日本企業にとって極めて深刻な脅威となっています。
私たちCSIRTが現場で目撃してきた標的型攻撃の中でも、今回の事案は特に巧妙で組織的な手法が用いられており、多くの企業が同様の攻撃リスクに晒されていることが判明しました。
攻撃者が狙った致命的な脆弱性CVE-2025-61932とは
今回悪用されたCVE-2025-61932は、オンプレミス版のMOTEX LANSCOPE Endpoint Managerに存在する重大な脆弱性です。この脆弱性の恐ろしさは以下の点にあります:
- リモートからSYSTEM権限での任意コマンド実行が可能
- 認証なしでアクセス可能
- 管理系サーバでの権限昇格と横展開の起点となる
- CISAの既知悪用脆弱性カタログ(KEV)に追加済み
実際のフォレンジック調査では、攻撃者がこの脆弱性を突いて管理サーバに侵入し、わずか数時間でドメイン管理者権限を奪取するケースを確認しています。
BRONZE BUTLERの攻撃手順を段階別に解析
現役フォレンジックアナリストとして、今回の攻撃を時系列で詳しく分析してみましょう。
【第1段階】初期侵入:脆弱性悪用によるSYSTEM権限奪取
攻撃者はまず、LANSCOPE Endpoint ManagerのCVE-2025-61932脆弱性を悪用してSYSTEM権限を取得します。この段階で既に、攻撃者は対象サーバの完全な制御権を握ることになります。
実際の被害企業では、この初期侵入が平日の業務時間外に行われることが多く、監視体制の手薄な時間を狙った計画的な攻撃であることが分かります。
【第2段階】持続化:Gokcpdoorバックドアの展開
SYSTEM権限を確保した攻撃者は、即座にバックドア型マルウェア「Gokcpdoor」を展開します。2025年版のGokcpdoorは従来のKCPプロトコルを廃止し、より検知されにくい通信方式に進化しています:
- クライアント型:外部C2サーバへ自律的に接続
- サーバ型:内部で待ち受け、踏み台として機能
- 通信ポート:38000/38002/TCP等で待受開始
フォレンジック調査では、このマルウェアが正規のシステムファイル名(oci.dll等)を装って配置され、既存のアンチウイルスソフト
では検知が困難なケースが多数確認されています。
【第3段階】権限拡大:Active Directory情報の大量収集
Gokcpdoorによる持続化が完了すると、攻撃者は「goddi」ツールを使用してActive Directoryの構造と権限情報を一括収集します。この段階で以下の情報が窃取されます:
- ドメインユーザー一覧
- 管理者権限保有者情報
- グループポリシー設定
- 信頼関係情報
【第4段階】横展開:RDPと管理共有を悪用した侵害拡大
収集したAD情報を基に、攻撃者は組織内の重要サーバへの横展開を開始します。主な手法は以下の通りです:
- 正規の管理共有(ADMIN$、C$)を悪用
- リモートデスクトップ(RDP)接続の悪用
- 窃取した認証情報による正規ログイン偽装
【第5段階】情報窃取:巧妙なデータ持ち出し手法
最終段階では、標的となる機密ファイルを7-Zipで圧縮し、以下の外部サービスを使って持ち出しを図ります:
- file.io
- LimeWire
- Piping Server
これらのサービスはブラウザ経由でアクセス可能なため、通常のWebトラフィックに紛れて検知を回避できる点が攻撃者にとって有利です。
被害を防ぐための具体的対策
現役CSIRT担当者として、以下の対策を強く推奨します:
1. 即座に実施すべき緊急対策
- LANSCOPE Endpoint Managerの最新版への更新
- インターネット公開サーバの見直し
- 不要なRDP接続の無効化
2. 検知・監視体制の強化
組織のセキュリティレベルに応じて、以下のような多層防御を構築することが重要です:
個人事業主・小規模企業の場合:
高性能なアンチウイルスソフト
の導入により、マルウェアの侵入を水際で防止することが最優先です。また、リモートワーク時のセキュリティ確保のためVPN
の併用も効果的です。
中規模企業の場合:
Webサイト脆弱性診断サービス
を定期的に実施し、攻撃者の侵入経路となり得る脆弱性を事前に発見・修正することが重要です。
3. インシデント対応準備
万が一侵害が疑われる場合は、以下の緊急対応を行ってください:
- 該当サーバの即座のネットワーク隔離
- 関連する通信ログの保全
- フォレンジック専門家への相談
IoC(侵害指標)情報
今回の攻撃に関連する技術的指標を以下にまとめます:
マルウェアハッシュ値
- Gokcpdoor(oci.dll)MD5: 932c91020b74aaa7ffc687e21da0119c
- Havoc(MaxxAudioMeters64LOC.dll)MD5: 4946b0de3b705878c514e2eead096e1e
- goddi(winupdate.exe)SHA1: 8124940a41d4b7608eada0d2b546b73c010e30b1
通信先IP
- 38.54.56.57:443(Gokcpdoor C2)
- 38.54.88.172:443(Havoc C2)
- 38.54.56.10
- 38.60.212.85
- 108.61.161.118
※これらのIPアドレスは再割当ての可能性があるため、必ず脅威インテリジェンスとの照合を行った上で対策を実施してください。
今後の展望と継続的な対策
BRONZE BUTLERのような国家支援系攻撃グループは、今後も新たな脆弱性を発見・悪用し続けることが予想されます。組織としては以下の継続的な取り組みが不可欠です:
- 定期的な脆弱性診断の実施
- セキュリティパッチの迅速な適用
- 従業員のセキュリティ意識向上
- インシデント対応計画の定期的な見直し
特に中小企業では、限られたリソースの中で効果的なセキュリティ対策を実現するため、信頼できるセキュリティソリューションの選択が重要になります。
一次情報または関連リンク
BRONZE BUTLER exploits Japanese asset management software vulnerability
