サイバー犯罪者が、Fortra社の**GoAnywhere Managed File Transfer(MFT)ツールに存在する重大なデシリアライズ脆弱性(CVE-2025-10035)**を悪用し、Medusaランサムウェアを展開していたことを、Microsoftが月曜日に明らかにしました。
Microsoftによると、この攻撃キャンペーンは同社がStorm-1175として追跡しているグループによるもので、ファイル転送インフラが再び大規模攻撃の足掛かりとして悪用された事例となっています。
攻撃の概要
Microsoftの報告によれば、Storm-1175はこの脆弱性を利用してターゲットネットワークへの初期アクセスを獲得。内部侵入後、攻撃者はSimpleHelpやMeshAgentといったリモート管理ツールを展開し、権限昇格や横展開を実施しました。
影響は深刻で、脆弱性を悪用した後、攻撃者はシステムおよびユーザーの調査を行い、長期的なアクセスを維持しつつ、ランサムウェアを展開するための環境を準備していました。
脆弱性の仕組み
CVE-2025-10035は、GoAnywhere MFTのLicense Servletに存在するもので、安全でないデシリアライズ処理に起因します。
攻撃者は「有効なライセンス応答署名」を偽造し、サーブレットに攻撃者が制御するオブジェクトをデシリアライズさせることで、コマンドインジェクションを引き起こします。
Fortra社はアドバイザリでこの欠陥を確認し、バージョン7.8.4(およびサステインリリース7.6.3)で修正版を公開しました。
セキュリティ研究者によると、この脆弱性は単体ではなく、複数の脆弱性を組み合わせた多段階の攻撃チェーンの一部だとされています。
Rapid7は、2023年から存在するアクセス制御バイパスと、今回のデシリアライズ欠陥、さらに未確認のライセンスキー構造に関する要素を組み合わせたチェーンを報告しています。
攻撃には、GoAnywhereの管理コンソールまたはライセンスエンドポイントが外部からアクセス可能である必要があります。
なお、GoAnywhereプラットフォームは2023年にもCVE-2023-0669を通じて侵害を受けており、その際もランサムウェア運営者によって悪用されました。攻撃者がGoAnywhereを価値ある標的と見なしていることがうかがえます。
ファイル転送からMedusaランサムウェア展開へ
攻撃者はGoAnywhereのインスタンスを突破した後、MFT環境内に偽装したウェブシェルをアップロードし、初期の足場を確立します。
Microsoftの観測によると、侵入後の横展開はリモート監視ツールの利用から始まり、偵察活動を経てMedusaのペイロードが配置されました。
この攻撃チェーンでは、脆弱性そのものがファイル暗号化を直接行うわけではなく、ネットワーク内部への侵入口として機能していたことが分かっています。
侵入後に選定された被害者システム上で、最終的にMedusaランサムウェアが展開・暗号化を実行しました。
Storm-1175はランサムウェア界隈で活動を続けており、初期アクセス獲得のために外部公開アプリケーションを標的とする傾向があります。
今回のGoAnywhere悪用は、既知のツールを新しい攻撃ベクトルで再利用する犯罪者の柔軟性を示しています。
Medusaランサムウェア自体は、これまでに300以上の重要インフラ組織を標的としており、二重恐喝戦術やリークサイトを用いて被害者に圧力をかけています。
サイバー脅威インテリジェンス企業Cybleによると、このグループの活動件数は2025年には前年比45%増加したとのことです。
検知と防御のポイント
Microsoftのアドバイザリでは、ネットワークおよびホストの両方の痕跡分析に関する検出ヒントが提示されています。
インシデント対応者は以下のような兆候を確認するよう推奨されています:
・管理エンドポイントへの異常なHTTP POST通信
・webappパス内で新規作成されたJSP/WARファイル
・不審なスケジュールタスク
・異常なJavaプロセスの呼び出し
Microsoftは**IOC(侵害指標)**を公開し、観測された特定のウェブシェルのファイル名やハッシュを基にしたハンティングを推奨しています。
また、MFTサーバーユーザーに関連するプロセスコマンドラインやファイル書き込みイベントのテレメトリ収集も推奨されています。