GoAnywhere MFT は、組織が機密データを安全に交換するために広く使用されている管理型ファイル転送ソリューションです。ファイルの移動を一元化し、暗号化標準を実施し、アドホックな転送のリスクを軽減するために選択されることがよくあります。MFT は、重要なビジネス情報を扱うために信頼されているため、攻撃者にとって価値の高い標的となっています。
2025年9月下旬、GoAnywhereの新たな脆弱性(CVE-2025-10035)が 公開され、すぐにNISTのKnown Exploited Vulnerabilitiesカタログに追加された。CVSSスコアの最大値である10.0と評価されたこの欠陥は、認証なしでリモート・コードの実行を可能にします。攻撃者は、防御者がパッチを適用する時間さえないうちに、GoAnywhereサーバーを侵害することができます。
この新しいGoAnywhere CVEで何が起こったのか?
この脆弱性は、GoAnywhere MFT のライセンス応答サーブレットに存在します。安全でないデシリアライズプロセスを悪用し、認証チェックを回避することで、攻撃者はシステムレベルのコード実行につながる悪意のあるオブジェクトを送信することができます。現実的には、公開された GoAnywhere 管理コンソールへの単一の細工されたリクエストにより、敵はシステムを完全に制御することができます。
GoAnywhereが話題になったのは今回が初めてではない。2023年にも同様の欠陥があり、130以上の組織に影響を与えた大規模なランサムウェアキャンペーンにつながった。今回もまた、安全なデータ転送を可能にするために設計された製品が、大規模な侵害の発端となった。
CVE-2025-10035が重大なセキュリティリスクである理由
パッチは不可欠だが、それだけでは十分ではない。アップデートが適用される前に攻撃者が欠陥を悪用した場合、攻撃者はすでに環境内で永続性を持っている可能性があります。GoAnywhere サーバは、財務データ、医療記録、知的財産などの機密性の高い情報を扱います。いったん侵害されると、データ窃盗や横移動の格好の中継地点となります。
従来のセキュリティ・ツールでは 、こうした攻撃を発見できないことが多い:
- エンドポイントエージェントは GoAnywhere アプライアンスを監視しない場合があります。
- 境界防御は「正当な」暗号化されたファイル転送だけを見る。
- ログは不完全であったり、ノイズが多すぎたりして、SOCアナリストが迅速に対応できないことがある。
このため、危険な検出ギャップが 、侵害と発見の間に生じる。
GoAnywhereサーバーを悪用した攻撃者の手口
いったん侵入すると、攻撃者は最初の悪用にとどまりません。彼らは侵害されたGoAnywhereシステムを使って次のことを行います:
- 永続化のためにウェブシェルや隠しスクリプトを展開する。
- 権限を昇格させるために認証情報を盗む。
- 他の社内システムに横移動する。
- 通常の転送活動を装って、大量の機密ファイルを流出させる。
これらの行動は日常業務に溶け込んでいるため、防止策や静的なログだけに頼っているチームでは発見が難しい。
Vectra AIでギャップを埋める
Vectra AI Platformは、既知のエクスプロイトだけでなく、攻撃者の行動を検知して対応することに重点を置いている。これは、CVE-2025-10035のような脆弱性の後に重要になります:
- ネットワーク脅威検出は、GoAnywhere サーバーからの異常なコマンド・アンド・コントロール・チャネルまたは大規模なデータ流出の試みを識別します。
- Identity Threat Detectionは、特権の昇格やMFTシステムにリンクされたサービスアカウントの異常使用など、疑わしいアカウント活動を検出します。
- クラウドとSaaSの可視化により 、攻撃者が最初の侵害の後にオンプレミスからクラウドアプリケーションに軸足を移したとしても、その動きが気づかれないようにすることができます。
ネットワーク、アイデンティティ、クラウドにまたがるAI主導 検知により、Vectra AIは今回のような悪用が明らかにする盲点を塞ぎます。パッチの適用が重要であることに変わりはないが、行動ベースの検出がなければ、防御が整備される前に敵が足がかりを作った場合、組織はさらされてしまう。
Vectra AI Platformが予防だけでなく、どのようにセキュリティ体制を強化するかを理解したい方は、今すぐセルフガイド式のデモをご覧ください。