IvantiのEPMM脆弱性を悪用した攻撃　中国脅威アクターが世界的規模で侵害か

2025年5月31日
ニュース
CVE-2025-4427, CVE-2025-4428, EPMM, Ivanti
0件

　イギリスのNHS財団トラストの病院がサイバー攻撃を受けデータが窃取されたとの報道が出ています。Ivantiが5月にパッチを公開したIvanti Endpoint Manager Mobile(EPMM)の脆弱性が悪用されたということです。アムステルダムに本社を置く脅威インテリジェンスのEcleticIQによると中国の脅威アクターによるEPMMの脆弱性を悪用した侵害が世界的な規模で起きており、影響を受けている組織には日本の自動車部品サプライヤーも含まれているということです。

NHSイングランドがセキュリティインシデントを発表

　サイバー攻撃を受けたと報道されているのはユニバーシティ・カレッジ・ロンドン病院NHS財団トラスト(UCLH)とユニバ―シティ・ホスピタル・サウサンプトンNHS財団トラストで、NHSイングランドは報道を受けて5月28日にUCLHのサイバーセキュリティインシデントに関するリリースを発表、患者のデータにアクセスされたとの証拠はないとして患者データの漏洩を否定する一方、「侵入を受けたUCLHシステムには、携帯電話番号やIMEI番号(モバイルネットワーク上で携帯電話を識別するための固有コード)など、職員のモバイルデバイスに関するデータが含まれていた」として侵害を受けたことを認めています。

　Ivantiは5月13日のセキュリティアドバイザリでEndpoint Manager Mobile(EPMM)の中程度の脆弱性(CVE-2025-4427)と高レベルの脆弱性(CVE-2025-4428)を明らかにしアップデートのリリースを発表しています。高レベルの脆弱性はリモートコード実行の脆弱性で、攻撃者がターゲットシステム上で任意のコードを実行できる可能性があるということです。IvantiのEPMMはモバイルデバイス管理とモバイルアプリケーション管理、モバイルコンテンツ管理を一元的に管理することができる製品です。米CISAは5月19日にEPMMの2つの脆弱性を既知の悪用された脆弱性カタログに追加しています。

　クラウドセキュリティ企業のWiz(本社・米ニューヨーク)は5月20日のブログでCVE-2025-4427とCVE-2025-4428が悪用されている実態を明らかにしました。それによると、Ivanti EPMMの脆弱性を悪用した攻撃が2025年5月16日以降、活発に行われているということです。そしてこの攻撃者は、Palo Alto Networks社の次世代ファイアウォールを動かすソフトウェアであるPAN-OSの脆弱性を悪用している攻撃者と同じ攻撃者だということです。

韓国の金融機関や日本の自動車部品サプライヤーも

　また、脅威インテリジェンスプラットフォームを提供しているEcleticIQ(本社・アムステルダム)もIvanti EPMM環境を標的とした脆弱性の悪用を観測しているということです。EcleticIQによると、この攻撃が最初に観測されたのは2025年5月15日で、欧州、北米、アジア太平洋地域の医療、通信、航空、地方自治体、金融、防衛などが標的になっているということです。そして、この攻撃は少なくとも2023年以来エッジネットワークアプライアンスのゼロデイ攻撃に関与していたとされる中国関連のスパイグループによるものとEcleticIQは判断しているということです。この中国系スパイグループは、EPMMの内部アーキテクチャを深く理解していて、正規のシステムコンポーネントを転用して秘密裏にデータ窃取を行っているということです。窃取したデータには大量の個人識別情報（PII）、認証情報、その他の機密データの抽出が含まれているということです。

　EcleticIQによるとIvanti EPMM を標的とした侵入は世界的な規模で行われており、ヨーロッパではイギリスの自治体やNHSの医療機関、ドイツの連邦研究機関、ドイツの保険サービス会社、ドイツ最大の通信プロバイダー、アイルランドに拠点を置く航空宇宙リース会社などが影響を受けているということです。また、北米では長期介護サービスに重点を置いたヘルスケアおよび医薬品プロバイダー、ヒューストンの空港システムを管理している交通インフラ組織などが、さらにアジア太平洋地域では韓国で事業を展開している多国籍銀行や先進的なエレクトロニクスとパワートレインシステムで知られる日本の自動車部品のサプライヤーなどが影響を受けているということです。

🔳出典

https://news.sky.com/story/nhs-trusts-data-stolen-in-cyberattack-13372770

https://www.uclh.nhs.uk/news/cyber-incident-uclh-may2025

https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM?language=en_US

https://www.wiz.io/blog/ivanti-epmm-rce-vulnerability-chain-cve-2025-4427-cve-2025-4428

https://blog.eclecticiq.com/china-nexus-threat-actor-actively-exploiting-ivanti-endpoint-manager-mobile-cve-2025-4428-vulnerability