出典: The Hacker News – https://thehackernews.com/2025/10/china-linked-tick-group-exploits.html
原題: China-Linked Tick Group Exploits Lanscope Zero-Day to Hijack Corporate Systems
中国系ティックグループによるLanscopeゼロデイ脆弱性悪用事例の分析
最近、モテックスの「Lanscope Endpoint Manager」に存在する重大なゼロデイ脆弱性(CVE-2025-61932)が、中国系サイバー諜報グループ「Tick」によって悪用され、企業システムの乗っ取りが確認されました。本記事では、この攻撃の詳細と背景、そして組織が取るべき対策について解説します。
主要なポイント
- 脆弱性の概要と影響範囲:オンプレミス版Lanscope Endpoint Managerに存在するCVE-2025-61932は、リモートからSYSTEM権限で任意のコマンド実行を許す深刻な脆弱性で、CVSSスコアは9.3と高い危険度を示しています。
- 攻撃者グループ「Tick」について:中国系のサイバー諜報組織で、東アジア特に日本を標的に長年活動。過去にも類似のゼロデイ脆弱性を悪用した攻撃を行ってきました。
- 悪用されたマルウェアと攻撃手法:Sophosが確認した「Gokcpdoor」と呼ばれるバックドアを配布し、リモートサーバーとの秘匿通信を確立。DLLサイドローディングを利用したペイロード注入や、Havocポストエクスプロイトフレームワークの展開も特徴です。
- データ持ち出しのための追加ツール:Active Directory情報収集ツール「goddi」やリモートデスクトップ、7-Zipなどを駆使し、クラウドサービス経由での情報流出を試みています。
- 推奨される対策:脆弱なLanscopeサーバーの速やかなアップグレードと、インターネット公開の必要性の再検討が重要です。
技術的な詳細や背景情報
CVE-2025-61932は、Lanscope Endpoint Managerのオンプレミス版に存在するリモートコード実行の脆弱性で、攻撃者はSYSTEM権限を取得可能です。これにより、システムの完全制御が許され、バックドア設置や横展開が容易になります。
攻撃で使われる「Gokcpdoor」は、Sophosの調査によると2種類存在し、サーバー型はクライアントからの接続を待ち受け、クライアント型はC2(コマンド&コントロール)サーバーへ接続して秘匿通信を行います。2025年版ではKCPプロトコルのサポートが廃止され、代わりに「smux」と呼ばれる多重化通信ライブラリを用いてC2通信を行う点が特徴です。
また、DLLサイドローディング技術を利用し、「OAED Loader」というDLLローダーを介してペイロードを注入。これにより、検出を回避しつつマルウェアを実行します。さらに、Active Directory情報収集ツール「goddi」やリモートデスクトップを使い、ネットワーク内の情報収集や遠隔操作を行っています。
影響や重要性
この攻撃は、企業の重要なIT資産管理ソフトウェアの脆弱性を狙ったものであり、特に日本の企業が標的となっています。SYSTEM権限を奪取されることで、機密情報の窃取やシステムの完全掌握が可能となり、企業活動に甚大な被害をもたらします。
Tickグループは長年にわたり日本を含む東アジアの標的に対し高度な攻撃を仕掛けており、今回のようなゼロデイ脆弱性の悪用はサイバー諜報活動の一環と考えられます。組織のセキュリティ対策が不十分だと、被害は拡大する恐れがあります。
まとめ
モテックスのLanscope Endpoint Managerに存在する重大なゼロデイ脆弱性を、中国系サイバー諜報グループ「Tick」が悪用し、企業システムの侵害と情報窃取を行っています。攻撃は高度なバックドアやペイロード注入技術を駆使し、被害は深刻です。
組織は速やかにLanscopeのアップデートを適用し、不要なインターネット公開を控えることが必須です。また、侵入検知やログ監視を強化し、異常な通信や挙動を早期に発見する体制を整えましょう。サイバー諜報組織の標的となる日本企業にとって、継続的なセキュリティ対策の強化が求められています。
