ConnectWise が署名証明書をローテーション:最近のサイバー攻撃とは無関係だと言うが

ConnectWise rotating code signing certificates over security concerns

2025/06/10 BleepingComputer — ConnectWise はセキュリティ上の懸念から、ScreenConnect/ConnectWise Automate/ConnectWise RMM の実行ファイルの署名に使用される、デジタル・コード署名証明書をローテーションすると顧客に警告している。デジタル証明書は、実行ファイルへの署名のために使用されるものだ。それにより、ファイルをダウンロードするユーザーは、ファイルが信頼できるソースからのものであることを確認できる。つまり、エンドユーザーに届く前に、コードが改竄されていないことが保証される。

ConnectWise によると、特定のコンフィグ・データにおいて悪用の可能性があるという懸念が、サードパーティのセキュリティ研究者から提起されたことを受け、この決定が下されたという。

BleepingComputer が確認した電子メールには、「サードパーティの研究者から、ScreenConnect が脅威アクターにより悪用される可能性について、懸念があると提起された。それを受けるかたちで、ConnectWise ScreenConnect/Automate/RMM で使用されるデジタル署名証明書を更新している。この潜在的な悪用の可能性は、システム・レベルのアクセスを必要とする、ScreenConnect インストーラーのコンフィグ処理の問題に関連するものだ」と記されている。

ConnectWise は、「今回の措置はセキュリティ・インシデントとは無関係であり、先月の APT によるサイバー攻撃とも関連していない。新しい証明書の発行に加えて、ScreenConnect におけるコンフィグ・データの管理方法を改善する、アップデートもリリースする」と述べている。

この証明書は、DigiCert が発行したものであり、ConnectWise の古い証明書は 6月10日 (火) 午後10時 (ET) 失効する予定だった。しかし、ConnectWise が期限を 2025年6月13日 (金) 午後8時 (ET) まで延長することになったのは、新しい証明書を利用する ScreenConnect バージョン 25.4 の新しいビルドが、間に合わなかったからだと推測される。

この措置は、オンプレミスとクラウドのユーザーに影響するものであり、運用の中断を避けるためには、指定された期限内に対処する必要がある。

ConnectWise によると、すでに Automate のビルドはリリースされており、まもなく ScreenConnect ビルドもリリースされる予定とのことだ。

ユーザーに対して推奨されるのは、ベンダーの “University Page” にアクセスして更新ビルドをダウンロードし、手順や FAQ を参照することだ。

クラウド・ホスト版の Automate/ScreenConnect/RMM/ConnectWise に関しては、証明書とエージェントの更新が自動的に行われるが、段階的なロールアウトになるという。したがってユーザーは、サービスが中断されないようにするために、エージェントが最新であることを、6月13日までに確認する必要がある。

ConnectWise は証明書の、ローテーションの理由について詳細を明らかにしていないが、2025年4月の時点で Sophos の研究者 Andrew Brandt は、フィッシングサイトを用いる脅威アクターが、社会保障番号を装うコンフィグ済みの ConnectWise クライアントを配布していると警告していた。

Brandt は、「ConnectWise の商用リモートアクセス・クライアント・アプリを、スパマーがペイロードとして配信する詐欺を行っており、米国の社会保障番号を偽装している」と、Mastodon で説明している。

これらのインストーラーは、攻撃者のサーバで事前にコンフィグされたものだが、デジタル署名付きとして表示され、悪意の実行ファイルの信頼性を高めるものである。ただし、このような攻撃が、コード署名証明書のローテーションにつながったかどうかは不明である。

BleepingComputer は ConnectWise に連絡し、今回の件との関連性と、証明書がローテーションされた理由について詳細を問い合わせたが、アドバイザリを参照するよう指示されるだけだった。

ConnectWise の証明書ローテーションは、攻撃での悪用への対応として評価できますね。最近は、コンフィグ済みインストーラーを使った攻撃が現実化しているようなので、証明書の更新が注目されるのでしょう。最近のインシデントは横において、ご利用のチームは、ご注意ください。よろしければ、ConnectWise で検索も、ご参照ください。