Security
13 min read
2022 views

BeyondTrustの突破:事前認証RCEが2025年のランサムウェア「聖杯」の理由

IT
InstaTunnel Team
Published by our engineering team
BeyondTrustの突破:事前認証RCEが2025年のランサムウェア「聖杯」の理由

エンタープライズセキュリティの高リスクゲームにおいて、脅威アクターが最も望む賞品は、重要なセキュリティアプライアンスに対するPre-Authentication Remote Code Execution (RCE)です。これは、歩道に落ちている銀行のマスターキーを見つけるのと同じデジタル的な意味合いです。

2024年後半から2025年にかけて、その鍵は繰り返し見つかりました。BeyondTrust Remote Support (RS) と Privileged Remote Access (PRA) の重要な脆弱性の発見と悪用は業界に衝撃を与えました。CVSSスコアが9.8や9.9に達し、これらの脆弱性は高度な脅威アクターにとっての「聖杯」を表しています:資格情報不要、ユーザー操作不要で、即座に高権限のアクセスを提供します。これらは、「Paths to Privilege」を守るために設計されたツールへのアクセスです。

この記事では、BeyondTrustのセキュリティインシデントの包括的な分析を提供し、なぜリモートアクセスツールが依然として究極のターゲットであり、未修正のインスタンス一つが数分でドメイン全体の侵害につながるのかを探ります。

重要なコマンドインジェクションの解剖:CVE-2024-12356とその先

根本的には、2024年後半に発見されたBeyondTrustの脆弱性は未認証OSコマンドインジェクションの欠陥です。これらは、BeyondTrustアプライアンスの特定のバックエンドコンポーネントに存在し、着信WebSocket接続を処理します。これは、リモートサポートを可能にする通信経路と同じです。

技術的な「痛み」

CVE-2024-12356 (CVSS 9.8)は2024年12月に最初に明らかになりました。この重大な脆弱性は、認証なしのリモート攻撃者が、悪意のあるクライアント接続を通じて特別に作成されたリクエストを送信することで、サイトユーザーのコンテキスト内で任意のOSコマンドを実行できることを意味します。

この欠陥は、WebSocketハンドシェイクの過程で発生します。クライアント(または攻撃者)が特定のエンドポイントに接続しようとすると、入力検証不足により、意図しないロジックを突破し、任意のシステムコマンドを実行できるパラメータが許可されます。

しかし、Rapid7の調査により、CVE-2024-12356の成功した悪用には、別の重要な脆弱性CVE-2025-1094(PostgreSQLのSQLインジェクション)が連鎖している必要があることが判明しました。これにより、攻撃者は完全なアクセス権を得ることができました。

インジェクションペイロードの構造は、攻撃者が算術評価のコンテキストから抜け出し、シェルサブプロセスを通じてコマンドを実行できるように設計されています。未認証の攻撃者にとって、これはアプライアンスの心臓部に直接ターミナルを持つのと同じです。

CVE-2024-12686 (中程度の深刻度)は、その後すぐに公開され、BeyondTrust PRAとRSのバージョン24.3.1以前に影響します。このコマンドインジェクションの脆弱性は、既存の管理者権限を持つユーザーによって悪意のあるファイルをアップロードし、基盤となるOSコマンドを実行するために悪用される可能性があります。

なぜこれが高度な脅威アクターにとっての「聖杯」なのか

これらの特定の脆弱性が非常に破壊的である理由を理解するには、現代の脅威環境の「アイデンティティ中心」の性質を見る必要があります。私たちはもはや単純な「ウイルス」の時代にいるのではなく、「アイデンティティの悪用」の時代にいます。

1. すべての入り口

BeyondTrustアプライアンスは、従来の「エッジデバイス」ではなく、アイデンティティハブです。これらは王国の鍵を握っています:

  • 保存された資格情報:サポート用のローカルおよびドメインアカウント
  • アクティブセッション:世界中のサーバーやワークステーションへのリアルタイムアクセス
  • ネットワーク信頼:これらのアプライアンスは、特権ネットワークセグメントに配置され、ほぼすべてを「見る」ことができます
  • 資格情報の金庫:SSHキー、セッショントークン、パスワードなど、最も機密性の高いシステムの情報

BeyondTrustは、20,000以上の顧客にアイデンティティセキュリティサービスを提供し、100か国以上で展開しています。その中にはフォーチュン100の75%も含まれ、国家支援のアクターも繰り返し標的としています。

2. 事前認証:壁はなかった

ほとんどのRCEは、足掛かり—盗まれたパスワード、フィッシングされたセッショントークン、または退屈な従業員がリンクをクリックすること—を必要とします。事前認証は、「壁」がなくなることを意味します。フランクフルトのコーヒーショップに座る攻撃者が、ニューヨークのインスタンスに攻撃を仕掛け、朝のコーヒーが淹れられる前にネットワーク内に侵入できます。

3. 高権限設計

これらのコマンドが実行されるサイトユーザのコンテキストは非常に高い権限を持っています。技術的には「root」ではありませんが、次のことが可能です:

  • PostgreSQLデータベース(設定や潜在的に機密メタデータを含む)をダンプ
  • 管理セッションを操作
  • アプライアンスを通じたネットワークトラフィックを傍受
  • 新しい管理者セッションを作成・承認

危機のタイムライン:米国財務省の侵害

この動きの速さは、「発見」から「大規模な悪用」までの現代のAI加速された脅威サイクルの証です。最も注目すべき事件は、米国財務省の侵害です。

日付 イベント
2024年9月 Silk Typhoon (APT27)がBeyondTrustインフラに初アクセス
2024年12月2日 BeyondTrustプラットフォームで疑わしい活動を検知
2024年12月5日 BeyondTrustがプラットフォーム侵害を確認し、対策を実施
2024年12月8日 BeyondTrustが財務省と他の顧客に通知、リモートサービス停止
2024年12月16日 BeyondTrustがCVE-2024-12356を特定・公開しパッチをリリース
2024年12月18日 CVE-2024-12686がBT24-11のアドバイザリで公開
2024年12月19日 CISAがCVE-2024-12356を既知の悪用脆弱性(KEV)カタログに追加
2024年12月30日 財務省が議会に正式書簡で通知
2025年1月 CISAがCVE-2024-12686をKEVカタログに追加
2025年1月 Rapid7がCVE-2025-1094(PostgreSQL SQLインジェクション)を悪用チェーンで使用と明らかに
2025年3月5日 米国司法省がSilk Typhoonのメンバー2人を起訴:Yin KechengとZhou Shuai

Silk Typhoonのつながり:繰り返される悪夢

BeyondTrustの脆弱性の最も懸念される側面の一つは、Silk Typhoon(別名APT27、Hafnium、Bronze Union、Emissary Panda)による悪用です。この中国の国家支援グループは、2024年12月の米国財務省侵害に関与しているとされています。

攻撃の概要

財務省の侵害では、脅威アクターは:

  1. 2024年9月にBeyondTrust Remote Support SaaS APIキーを盗取
  2. CVE-2024-12356をCVE-2025-1094と連鎖させて未認証リモートコード実行を獲得
  3. 複数の財務省コンピュータ約419台にアクセス
  4. 3,000以上の未分類ファイルをワークステーションから抽出
  5. OFAC(外国資産管理局)をターゲットに制裁・貿易執行データを狙う
  6. 高レベルのアカウントを侵害し、Secretary Janet YellenやDeputy Secretary Wally Adeyemoに関するファイルも含む

この侵害は約3か月間(2024年9月から12月まで)検知されず、Silk Typhoonの高度な隠密行動を示しています。

Silk Typhoonの戦術の進化

2025年3月に公開されたMicrosoft Threat Intelligenceの調査によると、Silk Typhoonは戦術を大きく進化させています:

  • サプライチェーン重視:直接的な組織ターゲットから、MSPやITサプライチェーン企業へシフト
  • クラウドの専門知識:オンプレミスとクラウド環境の両方に精通
  • APIキーの窃盗:盗用したAPIキーや侵害された資格情報を主な侵入口として利用
  • OAuthアプリケーションの悪用:管理者権限のあるマルチテナントアプリを侵害
  • Microsoft Graphを通じたデータ抽出:メール、OneDrive、SharePointのデータを収集
  • パスワードのリコナイサンス:GitHubなどの公開リポジトリに漏洩した企業パスワードを発見

Microsoftは、Silk Typhoonが「中国の脅威アクターの中で最大のターゲット範囲を持つ」と述べています。ゼロデイ脆弱性を迅速に武器化できる能力を持つとしています。

歴史的背景

これはSilk Typhoonのリモートアクセスツールとの最初の戦いではありません:

  • 2021年:Microsoft Exchange Serverの4つのゼロデイ脆弱性を悪用
  • 2023年:Citrix NetScaler ADCとGateway(CVE-2023-3519)を侵害
  • 2024年:Palo Alto Networksのファイアウォール(CVE-2024-3400)を悪用
  • 2025年1月:Ivanti Pulse Connect VPNのゼロデイ(CVE-2025-0282)を悪用

このパターンは、「局所的で繰り返される課題」を示唆しており、リモートアクセスの実行経路における入力検証の問題です。攻撃者にとって、これらのツールは「贈り物のようなもの」です。

アプライアンス侵害からドメイン管理者へ:キルチェーン

攻撃者は、単一のWebSocketリクエストから環境全体を暗号化するまで、どのように進むのでしょうか?思ったよりも速いです。

ステップ1:偵察(スキャン)

攻撃者は自動スキャナーを使い、脆弱なインターネット公開のBeyondTrustインスタンスを特定します。公開時点での状況は:

  • Censysは8,602のBeyondTrust RS & PRAインスタンスを世界中で観測(2025年1月2日)
  • 72%が米国内に位置
  • 2025年1月6日までに13,548インスタンスに増加—わずか4日で約5,000増加

ステップ2:ハンドシェイク(エクスプロイト)

攻撃者は、悪意のあるWebSocketリクエストを脆弱なエンドポイントに送信します。数秒以内に、アプライアンス上でコマンド実行が可能になります。実例では、攻撃者は以下を展開:

  • China ChopperAntSwordのWebシェル
  • データベース操作用のカスタムPythonスクリプト
  • 一時的な管理者アカウントの乗っ取りツール

ステップ3:資格情報収集&セッションハイジャック

調査によると、攻撃者は:

  1. PostgreSQLデータベースをクエリし、保存された資格情報やセッショントークン、SSHキーを抽出
  2. 管理者アカウント(ユーザID 1)を乗っ取り、新しいパスワードハッシュを注入
  3. GUIアクセスを60〜120秒間獲得—新しい”Support”セッションを承認するのに十分な時間

ステップ4:横展開

アプライアンスのネイティブな”Jump”機能を使い、攻撃者は高価値ターゲットに移動します:

  • ドメインコントローラー:Active Directory全体へのアクセス
  • バックアップサーバ:データ損失を防ぐ
  • 重要インフラ:特権アクセスを持つシステム

持続性ツールには:

  • SimpleHelp RMM(リモート監視管理ツール)
  • VShellバックドア
  • SparkRAT(マルチプラットフォーム持続性ツール)

ステップ5:持続性&権限昇格

Arctic Wolfの2025年2月の分析によると、攻撃者は:

  • SimpleHelpバイナリを正規ツールのように偽装(例:”remote access.exe”)
  • SYSTEMレベルで実行されるバイナリをProgramDataのルートディレクトリに書き込み
  • PSExecを使い複数デバイスにSimpleHelpをインストール
  • 新しいドメインアカウントを作成し、管理者グループに追加:
    • ドメイン管理者
    • 企業管理者
  • AdsiSearcherを使ったActive Directoryのコンピュータインベントリの列挙
  • Impacket SMBv2を使ったリモートアクセスと横展開

ステップ6:データ抽出&最終目的

機密データは:

  • DNSトンネリングやOASTチャネルを通じて圧縮・抽出
  • 正規API(Microsoft Graph、EWS)を通じて盗取
  • メール、OneDrive、SharePointからの収集(侵害されたOAuthアプリを利用)

最終ペイロードには:

  • ランサムウェアの展開(金銭目的)
  • 長期的なスパイ活動(国家目的)
  • サプライチェーンの侵害(顧客への下流アクセス)

あなたはリスクにさらされているか?対象バージョンと対策

自己ホスト型のBeyondTrust製品を使用している場合、「待ちの状態」は数か月前に終了しています。

対象製品とバージョン

製品 CVE 影響バージョン 修正バージョン
Remote Support (RS) CVE-2024-12356 全バージョン 24.3.1+
Privileged Remote Access (PRA) CVE-2024-12356 全バージョン 24.3.1+
Remote Support (RS) CVE-2024-12686 24.3.1以前 22.1+(パッチ必要)
Privileged Remote Access (PRA) CVE-2024-12686 24.3.1以前 22.1+(パッチ必要)

重要注意点:レガシーバージョン(RS < 21.3またはPRA < 22.1)を使用している場合、直接パッチを適用できません。まずサポートされているバージョンにアップグレードしてください。これらのレガシーインスタンスは、現在の脅威活動の主要ターゲットです。

クラウド利用者:BeyondTrustはすべてのSaaSインスタンスを自動的にパッチ済みで、追加の対応は不要です。

直ちに取るべき対策

1. すぐにパッチ適用

これが唯一の恒久的な解決策です。ベンダーのガイダンスに従い、BeyondTrust Trust Centerを参照してください。

2. ネットワークアクセスの制限

  • アプライアンスのWebポータルをVPN経由に移動または厳格なIP許可リストを使用
  • WebSocketエンドポイントをインターネットに公開しない
  • 信頼できる管理ネットワークのみにネットワークアクセスをセグメント化

3. ログの積極的な監査

侵害の兆候を確認:

HTTPアクセスパターン: - /get_portal_infoへのHTTP GETリクエストと、その後すぐにWebSocketの/nwへのアップグレード - WebSocketハンドシェイクにおける異常なremoteVersionパラメータ - 予期しない地理的場所からの異常な接続

ポストエクスプロイトの兆候: - ProgramDataディレクトリ内のSimpleHelp RMMバイナリ - ファイル説明:「SimpleHelp Remote Access Client」 - 疑わしいファイル名:「remote access.exe」「support.exe」 - PSExecを使った実行ファイルの配布活動 - Impacket SMBv2セッション設定リクエストの早期検知 - AdsiSearcherによるActive Directoryの列挙 - 新規ドメインアカウントの作成と管理者グループへの追加 - net usernltestコマンドの異常な使用によるドメイン偵察

4. アウトバウンドトラフィックの監視

  • DNSクエリや、既知のOASTドメイン(例:interactsh、burpcollaborator)への接続を監視
  • 正規API(Microsoft Graph、EWS)を通じたデータ抽出を監視
  • 管理者権限のあるOAuthアプリの不審な同意を監視

5. 資格情報のローテーション

  • BeyondTrustの資格情報金庫内のすべての資格情報をローテーション
  • アプライアンスにアクセスできるアカウントの管理者パスワードを変更
  • 不審なOAuthアプリの権限を見直し、取り消し
  • Azure AD/Entra IDのサービスプリンシパル権限を監査

6. 持続性の探索

  • 正規ツールの改名ツール(SimpleHelp、AnyDesk、TeamViewer)を悪用したものを探す
  • Webシェル(China Chopper、AntSword)をWebアクセス可能なディレクトリに設置されていないか確認
  • 定期タスクやスタートアップアイテムを監査し、持続性メカニズムを特定

偵察の現実:GreyNoiseのインテリジェンス

GreyNoiseのセンサーは、脆弱性の悪用状況に関する貴重な情報を提供します:

早期の悪用タイムライン

  • 2025年2月10日:新しいバリアントのPoCエクスプロイトがGitHubに公開
  • 2025年2月11日:GreyNoiseが脆弱なインスタンスへの偵察調査を記録
  • 24時間以内に:世界中で大規模なスキャンキャンペーンが観測される

攻撃の特徴

  • 単一の支配的なアクター:1つのIPアドレスが86%の偵察セッションを占める
    • フランクフルト、ドイツの商用VPNサービスに関連
    • 2023年から活動し、新たな脆弱性チェックを迅速に採用
  • 標準外ポートのターゲット:攻撃者は非標準ポートのクラスターを体系的に調査、企業が「セキュリティのための不透明性」のためにBeyondTrustを非標準ポートに移動していることを知っている可能性
  • Linuxベースのスキャン:100%のセッションがLinuxスタックの特徴を示す
    • TCPフィンガープリントMSSは1358(標準は1460)
    • VPNトンネルのカプセル化を示す

スキャンの高度さ

攻撃者は以下を熟知している: - BeyondTrustの標準および非標準展開パターン - OAST技術を用いた脆弱性確認 - 複数の脆弱性の同時悪用を複数製品で実施

CISAの対応と連邦の指令

米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は積極的な措置を取っています:

既知の悪用脆弱性(KEV)カタログ

CVE-2024-12356:2024年12月19日に追加 - 連邦機関は特定の期限までにパッチを適用する必要あり(通常3週間)

CVE-2024-12686:2025年1月13日に追加 - 連邦機関は2025年2月3日までにパッチを適用する必要あり

CISAの指令

CISAはすべての組織—連邦機関だけでなく—に対して:

  1. ベンダーの指示に従い即時に対策を適用
  2. 対策が利用できない場合は製品の使用を中止
  3. 迅速な修復を優先し、サイバー攻撃のリスクを低減

保護された境界の逆説

BeyondTrustの事例は、現代サイバーセキュリティの根本的な逆説を浮き彫りにします:我々が境界を守るために使うツールは、しばしば最も危険な穴になる

集中型特権アクセスの問題点

従来のアプライアンス、たとえ高級なBeyondTrustでも、「重心点」を作り出します。その重心が侵害されると、全体のセキュリティアーキテクチャが崩壊します。

リモートアクセスツールが標的になりやすい理由: - 特権アクセスへのゲートウェイとして設計されている - 最も機密性の高いシステムの資格情報を保存 - 特権ネットワークセグメントに配置されている - 正当なビジネス理由で全てにアクセス可能 - インターネットに面していることが多い(リモートサポート用)

「アイデンティティ負債」の増大

これらの脆弱性は、多くの組織が抱える「アイデンティティ負債」も露呈させます:

  • 管理されていない高権限のサービスアカウントが多すぎる
  • 必要に応じて付与された過剰な権限
  • 長期間放置された資格情報(ローテーションされていない)
  • 監視不足の特権アクセス使用

アプライアンスが落ちると、これらのアカウントが攻撃者の最も強力な武器となります。

新たな防御基準:単一障害点を超えて

CVE-2024-12356、CVE-2024-12686、および関連する脆弱性は単なるバグではなく、警告です。2025年においても、すべてのAI駆動の防御を駆使しても、重要なスクリプトの入力サニタイズ不足がすべてをバイパスする可能性があることを示しています。

今後の道筋:Zero Trustアーキテクチャ

業界は、「リモートアクセス」から「アイデンティティベースのアクセス」への移行を加速させる必要があります:

  1. 常駐権限の排除

    • JIT(Just-In-Time)アクセスを管理者タスクに適用
    • 一度きりの有効期限付きエフェメラル資格情報を使用
    • 最小権限アクセスを状況とリスクに基づいて付与

  2. アイデンティティ管理の分散化

    • 複数の隔離されたシステムに特権アクセスを分散
    • マイクロセグメンテーションを実装し、被害範囲を限定
    • アイデンティティ連携と強力なMFAを全てに適用

  3. 侵害想定の精神

    • 継続的に異常な特権アクセスを監視
    • 行動分析を用いたアイデンティティ脅威の検出
    • 欺瞞技術を重要システム周辺に展開

  4. サプライチェーンのセキュリティ確保

    • 第三者リモートアクセスソリューションを厳格に審査
    • サプライチェーンリスク管理プログラムを実施
    • セキュリティ証明書をベンダーから取得
    • セルフホスト型の代替案と強化された監視

セキュリティチームへの教訓

CISOやセキュリティリーダー向け: - リモートアクセスツールはTier-0資産として最大限に保護すべき - 特権アクセス管理にディフェンス・イン・デプスを実施 - アイデンティティ侵害のためのテーブルトップ演習を行う - 早期警戒のために脅威インテリジェンスに投資

SOCチーム向け: - リアルタイム脆弱性情報を取り入れる - 偵察試行(失敗も含む)を監視 - WebSocket異常の検出ルールを作成 - 正規ツールの改名ツールの悪用を追跡

アイデンティティ&アクセス管理チーム向け: - すべての特権アカウントを四半期ごとに監査 - 資格情報の自動ローテーションを実施 - OAuthの乱用やAPIの不審な使用を監視 - Privileged Access Workstations (PAWs)を管理者タスクに利用

結論:終わりなき戦い

2024-2025年のBeyondTrustのセキュリティインシデントは、特権アクセス管理ソリューション自体が究極の攻撃経路になり得るという厳しい現実を示しています。皮肉ながらも教訓的です:最も機密性の高いアクセスを守るために設計されたツールが、侵害されると攻撃者にすべてを与えることになります。

重要なポイント:

  1. 事前認証RCE脆弱性は壊滅的リスクを伴う
  2. 国家支援のアクター(Silk Typhoonなど)はこれらの高価値システムを積極的に狙う
  3. サプライチェーン攻撃は増加中
  4. 検知には警戒心が必要:侵害は長期間未検知のまま続く
  5. Zero Trustは必須:単一障害点を排除すべき

「聖杯」と呼ばれるRCEは、未だに単一障害点に依存しているからこそ存在します。今後、業界は次のことを受け入れる必要があります:

  • 分散型アイデンティティアーキテクチャ
  • エフェメラルでJITな権限
  • 継続的な検証と監視
  • 特権システムのセグメント化と隔離

どんなアプライアンスも—どれだけ信頼されていても、高価でも、「安全」と謳われていても—あなたのドメインの鍵を握るべきではありません。BeyondTrustの突破は、私たちに再びその教訓を教えています。

問題は:私たちはついに学べるのか?

リソース&参考資料

この記事は2025年2月に最新の脅威インテリジェンスとエクスプロイトの詳細で最終更新されました。

Related InstaTunnel pages

Continue from this article into the most relevant product guides and workflows.

Localhost tunnel guideExpose a local app securely with a public URL for QA, demos, mobile testing, and integrations.InstaTunnel CLI downloadInstall or update the CLI for Windows, macOS, Linux, npm, and release binaries.Plans and limitsCompare Free, Pro, and Business limits for tunnels, MCP endpoints, bandwidth, and teams.Trust and security centerReview security controls, reliability practices, status references, and operational safeguards.

Related Topics

#BeyondTrust Breakout, CVE-2026-1731, BeyondTrust Remote Support vulnerability, pre-auth RCE, unauthenticated RCE, remote code execution 2026, remote access tool exploit, RMM tool exploit, IT admin tool compromise, ransomware initial access, lateral movement fast path, domain compromise in minutes, zero-click exploit, pre-auth exploit chain, edge appliance vulnerability, helpdesk tool attack, remote support abuse, privileged access management exploit, PAM vulnerability, credential harvesting via RCE, post-exploitation pivot, network takeover, supply chain admin tool, MSP tool exploit, managed service provider breach, patch management failure, unpatched instance risk, perimeter tool attack surface, appliance security, web gateway exploit, command injection, deserialization RCE, SSRF to RCE chain, auth bypass to RCE, exploit weaponization, mass exploitation campaign, ransomware kill chain, initial access vector, persistence via RMM, C2 via admin tools, living-off-the-land binaries, domain controller compromise, Kerberos abuse after RCE, NTLM relay post-RCE, token theft, secrets dumping, credential dumping, privilege escalation chain, blast radius amplification, SOC detection gaps, EDR bypass via admin tools, incident response timeline, emergency patching, exposure management, vulnerability management, attack surface management, zero trust for admin tools, network segmentation, restrict inbound management, MFA for admin tools, IP allowlisting, appliance hardening, exploit detection, WAF rules, IDS signatures, log monitoring, threat hunting queries, ransomware TTPs, pre-auth vulnerabilities, CVE analysis, exploit PoC, defensive mitigations, remediation checklist, vendor advisory response, security posture review

Keep building with InstaTunnel

Read the docs for implementation details or compare plans before you ship.

Read DocumentationView Pricing

Share this article

Share on XShare on LinkedIn

More InstaTunnel Insights

Discover more tutorials, tips, and updates to help you build better with localhost tunneling.

Browse All Articles