.UKドメインの公式レジストリであり、最大の国別コードレジストリの1つであるNominetは、2週間前にIvanti VPNのゼロデイ脆弱性を利用してネットワークが侵害されたことを確認した。
同社は1,100万を超える.uk、.co.uk、.gov .ukドメイン名と、.cymruや.walesを含むその他のトップレベルドメインを管理・運営しています。
また、2024年9月まで、英国の国家サイバーセキュリティセンター(NCSC)に代わって英国の保護ドメイン名サービス(PDNS)を運営し、1,200以上の組織と700万人以上のエンドユーザーを保護していた。
ISPreviewが最初に報じたように、ノミネットは現在も調査を続けているが、同社のシステムにバックドアが設置された形跡は見つかっていない。
同社はネットワーク上で不審な動きを検知して以来、NCSCを含む関係当局に攻撃を報告し、VPN接続によるシステムへのアクセスを制限している。
「侵入経路は、Ivanti社が提供したサードパーティ製のVPNソフトウェアで、当社の社員がリモートでシステムにアクセスできるようになっています。
「しかし、現在のところ、データ漏洩の証拠はありません。当社はすでに、レジストリシステムを保護するために、アクセス制限プロトコルやファイアウォールを運用しています。ドメイン登録および管理システムは通常通り稼動しています。”
中国のハッカーと思われる攻撃
Ivanti社は先週、攻撃に使用されたVPNのゼロデイに関する詳細な情報は共有していないものの、ハッカーがIvanti Connect Secureの重大なゼロデイ脆弱性(CVE-2025-0282として追跡されている)を悪用して、限られた数の顧客のアプライアンスに侵入していると発表した。
サイバーセキュリティ企業のMandiant(Google Cloudの一部)によると、攻撃者は12月中旬にこの脆弱性を利用し始め、カスタムSpawnマルウェア・ツールキット(UNC5337として追跡されている中国に関連したスパイグループと疑われている)を使用していた。
彼らはまた、侵害されたVPNアプライアンス上に新しいDryhookとPhasejamマルウェア(現在のところ脅威グループとは無関係)を展開している。
Macnica の研究者である瀬地山豊氏によると、Ivanti が水曜日にゼロデイに対するパッチをリリースした際、3,600台以上の ICS アプライアンスがオンライン上に晒されたという。
Ivantiは10月にも、攻撃で積極的に悪用された他の3つのクラウド・サービス・アプライアンス(CSA)のゼロデイを修正するセキュリティ・アップデートをリリースしている。
更新 1月13日12:17 EST:Nominetはもはや英国のPDNSを運営していないと修正。
更新 1月13日 13:50 EST:記事掲載後、Ivantiから以下の声明が届いた:
当社のIntegrity Checker Tool(ICT)を通じて脆弱性を特定した後、Ivantiは、限定的な悪用が確認された唯一の製品であるIvanti Connect Secure用のパッチを迅速に開発し、数週間以内にリリースしました。お客様をサポートするという当社のコミットメントの一貫として、当社はノミネットおよび関連当局と緊密に連携し、必要なあらゆるサポートを提供しています。当社は、すべてのお客様に対し、当社のセキュリティ勧告に記載されているガイダンスに従い、お客様のシステムを確実に保護することを強くお勧めします。
私たちは、お客様からの信頼に感謝しています。弊社はお客様のセキュリティに全力を尽くし、より広範なセキュリティ・エコシステムと協力しながら、弊社の製品とプロセスを継続的に改善してまいります。
Comments