Packet Pilot X (Twitter)
2025-11-10

RMMツールを悪用したランサムウェア攻撃の実態

サイバーセキュリティ研究者のZensecは、信頼されたリモート監視管理(RMM)インフラを悪用した高度なサプライチェーン攻撃キャンペーンを明らかにしました。この攻撃は、2025年初頭に複数の英国の組織を標的にし、SimpleHelp RMMソフトウェアの重大な脆弱性を利用して、管理サービスプロバイダーを通じて顧客に侵入しました。攻撃者は、MedusaおよびDragonForceという2つのランサムウェアグループを使用し、システムを暗号化し、データを盗み出しました。これにより、組織は信頼できる第三者の管理ツールが攻撃者のインフラに変わる危険性を認識する必要があります。

メトリクス

このニュースのスケール度合い

5.0 /10

インパクト

7.5 /10

予想外またはユニーク度

7.5 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

8.0 /10

このニュースで行動が起きる/起こすべき度合い

8.0 /10

主なポイント

  • Zensecの調査によると、SimpleHelp RMMソフトウェアの脆弱性を利用した攻撃が行われ、MedusaとDragonForceのランサムウェアが展開されました。
  • 攻撃者は、正当な管理ツールを悪用してシステムを暗号化し、データを盗み出す手法を用いました。

社会的影響

  • ! この攻撃は、企業が信頼する第三者の管理ツールがどのように悪用されるかを示しており、サプライチェーンのセキュリティの重要性を再認識させるものです。
  • ! 組織は、RMMツールの脆弱性を放置することで、重大なリスクを抱えることになります。

編集長の意見

今回の攻撃は、サプライチェーンセキュリティの脆弱性を浮き彫りにしています。特に、信頼されたRMMツールが攻撃者のインフラに変わることで、企業は従来の防御策では不十分であることを認識する必要があります。攻撃者は、正当な管理ツールを悪用することで、セキュリティ監視を回避し、被害者のネットワークに深く侵入することが可能です。これにより、企業は自社のセキュリティ対策を見直し、サプライチェーン全体のセキュリティを強化する必要があります。具体的には、第三者のリモートアクセスツールの監査を行い、ベンダーのパッチ状況を確認し、ネットワークセグメンテーションを実施することが重要です。また、異常なRMM活動の監視を強化することで、早期の侵入検知が可能になります。今後、企業はサプライチェーンのセキュリティを強化し、信頼できる管理ツールの使用に伴うリスクを軽減するための対策を講じる必要があります。

解説

信頼されたRMMが“配布網”に化ける—SimpleHelp脆弱性を起点にMSP経由でランサムウェアが横展開

今日の深掘りポイント

  • 管理プレーンが最大の攻撃面に変質している。RMMは“特権の集中点”であり、侵害されると一撃で多数顧客へ展開できる装置になります。
  • “Living off the Management”の時代。攻撃者は正規RMMの機能・証跡・許可済み通信を逆用し、EDRの警戒線の内側で活動します。
  • RaaSの複合運用(MedusaとDragonForce)が示すのは、侵入と収益化の分業深化です。脆弱性の発見者とオペレーターが一致する必要はもはやありません。
  • 技術対策は「パッチ」だけでは足りない。RMMのアイデンティティ、権限、機能フラグ、ネットワーク到達性を分離・絞り込み、被害半径を物理的に小さくする設計が要になります。
  • SOCは“RMMが実行するプロセス”のふるまい監視を最優先に。RMMサービスからのスクリプト・暗号化器の起動は高信頼シグナルになります。

はじめに

英国で、SimpleHelpというRMM(Remote Monitoring and Management)ソフトウェアの重大な脆弱性を起点とし、管理サービスプロバイダー(MSP)を踏み台に顧客ネットワークへ侵入、MedusaおよびDragonForceと報じられるランサムウェアまで展開したサプライチェーン型攻撃が観測されています。Zensecによる調査として報道され、2025年初頭に複数組織で被害が出たとされます。信頼された管理ツールが、攻撃者にとっては高効率な“配布インフラ”に転化することを示す事例です。

一次情報(ベンダーアドバイザリや公式CVE明細)の確認可能性は現時点の公開報道に依拠しますが、RMMという管理プレーンの性質上、脆弱性一発でMSPから多数顧客へ一斉横展開され得るリスクが改めて顕在化したと評価します。日本の自治体・医療・製造でもMSP/RMM依存は深く、対岸の火事ではありません。

参考報道: GBHackers: Medusa and DragonForce

深掘り詳細

事実(公開情報に基づく整理)

  • RMM「SimpleHelp」の重大な脆弱性が悪用され、MSPの管理面から顧客環境へ侵入・横展開されたと報じられています。侵入後、データ窃取と暗号化を伴うランサムウェア(Medusa、DragonForce)が展開され、二重恐喝の典型に沿うふるまいが確認されたとされます。
  • 攻撃は2025年Q1〜Q2に英国の複数組織で観測。RMMの正規機能を足場として、セキュリティ監視の盲点を突いた形で活動が進んだと伝えられています。
  • 一部報道では、脆弱性悪用により高い特権(SYSTEM相当)に到達し、そこから横展開に至った可能性が示唆されています。一次情報での技術詳細(具体的なCVEや認証回避/リモート実行の性質)は記事執筆時点で限定的です。

出典: GBHackersの報道

編集部インサイト(なぜ効いたのか/何が難しいのか)

  • 管理プレーンの集中と許容の設計が“効率的な攻撃面”に直結します。RMMは多テナント管理、広範なスクリプト配布、横断的な資格情報、広い到達性(ファイアウォール例外・許可済みC2)を前提に設計されています。これらは本質的に“拡散レバー”であり、ひとたび侵害されると加速度的に被害が広がります。
  • 防御側の難所は「正規操作と悪用の境界が薄い」点です。RMMエージェントがPowerShellやcmd、アーカイバ、バックアップ関連プロセスを起動するのは日常です。攻撃者はこの“日常”に寄り添い、EDRのしきい値を踏まずに目的を達成します。つまり、“Living off the Land”ではなく“Living off the Management”です。
  • RaaSの分業深化により、侵入経路と暗号化・恐喝の実行主体が分離・連携する傾向が見えます。脆弱性の発見・悪用、MSP環境での横展開、データ窃取の自動化、交渉・広報の運用はそれぞれ別の専門グループで最適化され、攻撃速度と回復不能性が増しています。
  • 単純な“パッチ適用”への依存は危険です。RMMの露出(公開到達性)、認証(MFA/JIT/PAM)、権限(テナント分離・スコープ最小化)、機能(リモートShell/ファイル転送のデフォルト無効化)、ログ(不可逆・外部転送)といった、設計からの分解が不可欠です。

組織運用への含意(メトリクスからの総合考察)

本件は緊急性・実行可能性が高く、かつ再現性の高いキャンペーンとして捉えるべきです。特に「一部のベンダーパッチ適用」では閉じない残余リスク(MSP資格情報の悪用、RMM正規機能の乱用、他RMMへの手口の水平展開)が大きく、運用面の即応(機能制限・到達性遮断・権限縮小)を同時に打つ必要があります。加えて、監査・検知の“観測点”をRMM中心にシフトさせない限り、SOCは攻撃の主戦場を見落とします。

脅威シナリオと影響

以下はMITRE ATT&CKに沿って仮説化したシナリオです(技術要素は公開報道に基づく推定を含み、一次情報の更新に応じて見直しが必要です)。

  • シナリオA:インターネットに公開されたSimpleHelpサーバの脆弱性悪用

    • 初期侵入: T1190(公開アプリケーションの悪用)
    • 実行: T1059(スクリプト実行), T1569.002(サービス経由)
    • 権限昇格: T1068(ローカル権限昇格の悪用)
    • 永続化: T1547(自動起動), T1136(新規アカウント)
    • 調査・移動: T1046(サービススキャン), T1021(リモートサービス), T1072(ソフトウェア展開ツール/RMMの横展開)
    • 防御回避: T1036(偽装), T1562(防御無効化), T1218(署名済みバイナリ悪用)
    • 情報搾取: T1005(データ取得), T1041(C2経由の流出)
    • 影響: T1486(暗号化), T1490(復旧妨害)

  • シナリオB:MSP技術者アカウントの資格情報/トークン悪用(脆弱性非依存)

    • 初期侵入: T1078(正規アカウント)
    • 横展開: RMMのスクリプト配布機能でマルウェアを全顧客にプッシュ(T1072)
    • 影響: 同上(暗号化+窃取)

  • シナリオC:顧客側オンプレRMMの自己ホスト環境が個別に侵害

    • 初期侵入: T1190/T1133(外部リモートサービス)
    • 横展開: ドメイン資格情報の奪取(T1003)からADを掌握、復旧妨害(T1490)

想定影響

  • MSP一社の侵害が数十〜数百拠点へ連鎖する可能性があります。医療・自治体・教育など、24/7稼働の現場では業務停止リスクと機微データ流出が重層化します。
  • データ窃取と暗号化の二重恐喝により、法的・規制対応(報告義務・罰金・契約違反)とサプライチェーン上の信用低下が並行して発生します。
  • RMM正規通信の悪用でC2やデータ流出が“許可済みトラフィック”に紛れるため、検知・封じ込めの遅延が被害規模を拡大させます。

セキュリティ担当者のアクション

優先順位と時間軸で整理します。ベンダーの最新アドバイザリに沿ったパッチ適用・緩和策は前提として、並走で運用対策を進めます。

  • 48時間以内(緊急抑止)

    • 露出の即時縮小: SimpleHelp(および他RMM)の管理コンソール・ゲートウェイをインターネット直結から隔離し、到達元をMSP/管理拠点の固有IPに制限します。ゼロトラストプロキシ/IdP前段に強制統合します。
    • 機能フラグの制限: 全テナントで「リモートShell」「任意スクリプト配布」「ファイル転送」をデフォルト無効化し、JIT承認ワークフローを導入します。
    • 身元と権限の絞り込み: MSP/管理者アカウントは強制MFA、時間帯・地理・デバイス制限、特権はテナント単位の最小化。共有資格情報は即廃止し、APIトークンは全失効・再発行します。
    • 監視の即時強化: RMMサービス/エージェントが起動するプロセスの親子関係監視を有効化し、以下を高優先アラート化します。
      • RMMサービス(例:Windowsサービス名やエージェント実体)からのcmd.exe/powershell.exe、7zip/winzip、vssadmin/wmic、bcdedit、wbadmin、schtasksの起動
      • 短時間での大量ファイル拡張子変更・高エントロピー名生成
      • RMMコンソールからの一斉タスク配布・失敗率の急変
    • 侵害の有無確認: 管理サーバ上の新規管理者・APIキー・未知プラグイン、Webシェル痕跡、ログの欠落を点検します。

  • 2週間以内(恒久化と被害半径の縮小)

    • ネットワーク分離: RMM管理面を“管理VPC/セグメント”に隔離し、顧客面とは踏み台/JIT踏破しか通らない構造にします。RMMからの横断的SMB/WMI/WinRMは原則拒否、必要最小許可に絞り込みます。
    • テナント分割の徹底: 顧客ごとに論理・暗号学的境界を設定し、RMM側のクロステナント操作を原理的に不可能にします。スクリプト署名とホワイトリストを適用します。
    • ログの不可逆化: RMMの監査ログは即時に外部SIEMへ転送・Immutable保管。管理操作(ログイン、設定変更、配布ジョブ)はリアルタイム検知ルールを標準化します。
    • 復旧計画の前倒し演習: 「RMMを失った前提」での事業継続(代替リモート手段、バックアップからのベアメタル復旧、オフラインの“緊急手作業”Runbook)を検証します。

  • 30〜90日(設計の刷新)

    • 供給網の契約見直し: MSP/SaaSに対し、MFA/条件付きアクセス、JIT/JEA、ログの可視化・保全、侵害時の隔離スイッチと通報SLA、脆弱性管理・レッドチームの義務化を契約化します。
    • 同種リスクの水平防御: SimpleHelpに限らず、全RMM/リモート運用ツール(RDPゲートウェイ、VPN、ITSMスクリプトランナー)を棚卸しし、露出・権限・機能を同じ基準で圧縮します。
    • 脅威インテリジェンス運用: RMM悪用のIoC/TTPを継続収集し、ATT&CKマップと検知カバレッジを半期ごとに見直します。特に“RMM由来のプロセスツリー異常”は自組織のベースラインを学習・適応させます。

参考情報

注記

  • 本稿は公開報道を起点とした分析です。ベンダーの公式アドバイザリやCVE情報が公開され次第、技術的前提(脆弱性の性質・悪用条件・緩和策)を更新する必要があります。一次情報の確認と対策の優先順位付けは各組織の環境・依存関係に応じて調整してください。

背景情報

  • i SimpleHelp RMMは、リモートエンドポイント管理のために広く使用されているソフトウェアであり、攻撃者はこのプラットフォームの脆弱性を利用して、SYSTEMレベルの特権を持つアクセスを得ました。これにより、従来のセキュリティ対策を回避し、被害者のネットワーク内で自由に移動できるようになりました。
  • i MedusaとDragonForceは、RMMツールを通じて初期アクセスを確保し、データの窃取やシステムの暗号化を行いました。特に、Medusaはデータ漏洩サイトを運営し、被害者に対して支払いを迫る手法を採用しました。
Packet News 一覧へ戻る