はじめに
ConnectWiseは、同社のリモート監視・管理(RMM)プラットフォームであるAutomate製品において、複数のセキュリティ脆弱性を修正するアップデートをリリースしました。これらの脆弱性の中には、機密性の高い通信を傍受・改ざんする可能性のある重大なものが含まれており、特にAiTM(Adversary-in-the-Middle)攻撃のリスクを高めていました。
ConnectWise Automateは、マネージドサービスプロバイダー(MSP)、ITサービス企業、および大企業の社内IT部門で広く利用されており、数千台のクライアントマシンを制御する高い権限を持つ中央管理ハブとして機能します。
脆弱性の詳細
今回修正された最も深刻な脆弱性は、CVE-2025-11492として追跡されており、その深刻度評価は9.6(Critical)です。この脆弱性は、機密情報が暗号化されていないHTTP経由で平文送信されることを許容します。これにより、エージェントがセキュアなHTTPSではなくHTTPで通信するように設定されている場合、ネットワーク上の攻撃者がAiTM攻撃を仕掛け、通信を傍受または改ざんする可能性がありました。これには、コマンド、認証情報、および更新ペイロードが含まれます。
ConnectWiseは、「オンプレミス環境では、エージェントがHTTPを使用するように設定されているか、暗号化に依存している場合、ネットワークベースの攻撃者がトラフィックを閲覧または変更したり、悪意のあるアップデートを差し替えたりする可能性がある」と説明しています。
二つ目の脆弱性はCVE-2025-11493(深刻度8.8)で、更新パッケージとその依存関係、統合に対する整合性検証(チェックサムやデジタル署名)の欠如に起因します。
複合的な脅威
これら二つのセキュリティ問題を組み合わせることで、攻撃者は正規のConnectWiseサーバーを偽装し、悪意のあるファイル(例えばマルウェアや不正なアップデート)を正規のものとしてプッシュすることが可能でした。
ConnectWiseの対応と推奨事項
ConnectWiseは、今回のセキュリティアップデートを中程度の優先度と位置付けています。クラウドベースのインスタンスについては、すでに最新のAutomateリリース2025.9に更新されています。
オンプレミス環境の管理者に対しては、できるだけ早く(数日以内に)新しいリリースをインストールするよう強く推奨しています。セキュリティ速報では、現時点での積極的な悪用は言及されていませんが、これらの脆弱性が「実世界で悪用される標的となるリスクが高い」と警告しています。
過去のセキュリティインシデント
ConnectWise製品の重大な脆弱性は、過去にも脅威アクターによって悪用されてきました。今年初めには、国家支援型攻撃者がConnectWiseの環境を直接侵害し、多数のScreenConnect顧客に影響を与えた事件がありました。この事件により、ConnectWiseは製品の実行可能ファイルを検証するために使用していたすべてのデジタルコード署名証明書をローテーションせざるを得なくなりました。