SonicWall VPNがサイバー攻撃を受ける

サイバーセキュリティプラットフォーム企業SonicWallは、SSL-VPN対応の第7世代ファイアウォールを標的とした一連のサイバー攻撃の発生源を特定した。同社は8月12日時点で、外部の脅威調査チームと協力し、ファームウェアアップデートをリリースしたと発表した。

Arctic Wolf、Google Mandiant、Huntress のセキュリティ研究チームは、7 月 15 日頃に初めて検出された不審な活動を記録しました。

SonicWallはSSLVPNのアップデートを推奨しています

SonicWallは8月初旬、SSLVPN対応の第7世代SonicWallファイアウォールをご利用のお客様に対し、VPNを無効化し、その他の予防措置を講じることを推奨しました。8月12日現在、ファームウェアアップデートバージョン7.3.0では、ブルートフォース攻撃に対する保護機能の強化とMFA制御の追加により、この問題が解決されています。SonicWallは現在、SSLVPN対応の第7世代以降のファイアウォールをご利用のお客様に、以下の対策を推奨しています。

• ファームウェアバージョン7.3.0をインストールします。
• すべてのローカル ユーザー アカウントのパスワードをリセットします。
• ボットネット保護や Geo-IP フィルタリングなどのセキュリティ機能を有効にします。
• 多要素認証を実装します。
• 未使用または非アクティブなユーザー アカウントを削除します。

ハントレスは8月8日、侵入の一部はMFAを回避していたと指摘した。脅威アクターは過剰な権限を持つLDAPアカウントやサービスアカウントを利用して管理者権限を取得し、そこからネットワークを横断的に移動してセキュリティツールを無効化し、ランサムウェアを展開することができた。

ハントレスは7月25日から攻撃の追跡を開始し、活動の監視を続けている。 

8月12日時点で、SonicWallはこれらの攻撃によって発生したセキュリティインシデントを40件未満と特定していました。多くのケースでは、影響を受けたアカウントは第6世代ファイアウォールから第7世代ファイアウォールに移行中であり、その過程でローカルユーザーのパスワードはリセットされていませんでした。 

SonicWallは、この攻撃が2024年8月に初めて特定された不適切なアクセス制御の脆弱性であるCVE-2024-40766に関連していると特定した。

VPNの悪用に関連したAkiraランサムウェアの増加

Arctic Wolf Labsは、2025年7月にAkiraランサムウェアの活動が著しく増加したと報告しました。標的となったインフラの中にはSonicWall SSLVPNも含まれています。単一の脆弱性との直接的な関連性は確認されていませんが、Akiraは標的型攻撃においてVPNを悪用することが知られています。

2023年3月に初めて検出されたAkiraは、その後、スタンフォード大学、日産自動車、その他の著名な企業への攻撃を主張しています。Arctic Wolf Labsは、リスクを軽減するため、特定のホスティング関連の自律システム番号（ASN）からのVPNアクティビティをブロックすることを推奨しています。

7月に検出された攻撃によりSonicWallアプライアンスが脆弱になった

Google Threat Intelligence GroupとMandiantが公表した別のインシデントでは、別の脅威アクター（UNC6148として追跡）がSonicWall Secure Mobile Access（SMA）100シリーズアプライアンスを標的としました。攻撃者はOVERSTEPと呼ばれる手法を用いて、永続的なバックドア型ルートキットをアプライアンスにロードし、特権制御を取得しました。

この記事はもともと 8 月 6 日に公開され、8 月 12 日に SonicWall からの新しい情報で更新されました。

サイバーセキュリティに関するニュースの詳細については、マルウェアの歴史を辿る研究者 Mikko Hypponen 氏の Black Hat カンファレンス基調講演の報道をご覧ください。