CISAがMotex Lanscope Endpoint Managerの脆弱性悪用を警告
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Motex社の「Lanscope Endpoint Manager」における重大な脆弱性(CVE-2025-61932)が攻撃者によって悪用されていると警告しました。この脆弱性は、認証されていない攻撃者がシステム上で任意のコードを実行できる可能性があるため、緊急の対応が求められています。
脆弱性の詳細と影響
この脆弱性は、CVSSスコア9.3の「緊急」に分類されており、受信リクエストの送信元検証が不適切であることに起因します。これにより、認証されていない攻撃者が特別に細工されたパケットを送信することで、システム上で任意のコードを実行する可能性があります。
Lanscope Endpoint Managerは、日本のMotex社(京セラコミュニケーションシステムズの子会社)が開発したエンドポイント管理およびセキュリティツールで、デスクトップおよびモバイルデバイス全体で統合された制御を提供します。特に日本およびアジアで人気があり、AWS(Amazon Web Services)を通じて資産/エンドポイント管理オプションとして提供されています。
ベンダーの対応と推奨事項
Motex社は今週初めにセキュリティ速報を発表し、脆弱性がゼロデイとして悪用されていることを確認しました。一部の顧客環境で既に悪意のあるパケットが受信されていると報告されており、早急なアップデートの適用が強く推奨されています。
影響を受けるバージョンはLanscope Endpoint Managerのバージョン9.4.7.2以前であり、以下のリリースで修正が提供されています。
- 9.3.2.7
- 9.4.3.8
- 9.3.3.9
- 9.4.4.6
- 9.4.0.5
- 9.4.5.4
- 9.4.1.5
- 9.4.6.3
- 9.4.2.6
- 9.4.7.3
ベンダーは、この脆弱性がクライアント側に影響を与えるため、マネージャーのアップグレードは不要であると強調しています。CVE-2025-61932に対する回避策や緩和策はなく、アップデートのインストールが唯一の解決策です。
日本国内での状況とCISAの指示
日本のJPCERT/CCも、国内組織に対するCVE-2025-61932の悪用に関する情報を受け取ったと警告しています。
CISAは昨日、この脆弱性を「既知の悪用されている脆弱性(KEV)カタログ」に追加し、BOD 22-01指令の対象となるすべての連邦機関および政府組織に対し、11月12日を強制的なパッチ適用期限と設定しました。この指令は特定の組織にのみ義務付けられていますが、KEVカタログは民間組織にとってもセキュリティ対策の指針となるべきです。
最近の日本におけるサイバー攻撃事例
CVE-2025-61932の悪用活動とは直接関連付けられていませんが、最近、日本国内でのサイバー攻撃活動が増加しているようです。アサヒビールに対するQilinランサムウェア攻撃や、小売大手Mujiのオンライン販売に影響を与えたAskulのeコマース小売業者での情報漏洩など、いくつかの著名な企業が最近、侵害を公表しています。