SonicWall SonicOS管理インターフェースを標的とした、大規模かつ持続的な偵察活動の急増が確認されました。2026年5月9日から18日にかけて、GreyNoiseはSonicWall SonicOS APIスキャナータグにおいて劇的なスパイクを記録しました。
5月12日のピーク時には約59万7千セッションに達し、これは過去90日間においてこのタグで記録された1日あたりの最大値です。直前30日間の通常の日次ベースラインと比較すると、約46倍に相当します。
GreyNoiseは以前にも、2026年2月下旬に別の組織的なキャンペーンを記録しています。そのキャンペーンでは、わずか4日間で84,142セッションがSonicWall SonicOSインフラを標的とし、そのうち92%がSSL VPNの有効化確認を目的とした単一のAPIエンドポイントを探索していました。
今回の新たな活動は、2026年第1四半期に記録された開示前のスキャン増加パターンとの強い類似性を示しています。
1月18日、1月30日、2月14日に発生した3度の先行スキャンスパイクは、それぞれ37日、25日、10日のリードタイムを経て、2026年2月24日のCVE-2026-0400の開示に先行していました。
この脆弱性は、SonicOSにおける認証後のフォーマット文字列の欠陥(CWE-134)であり、有効な認証情報を持つリモートの攻撃者が、不適切に処理されたフォーマット文字列指定子を通じて、影響を受けるファイアウォールアプライアンスをクラッシュさせることができます。
CVE-2026-0400はGen 7およびGen 8ファームウェアトラック全体にわたってパッチが適用されました。SonicWallは近月において深刻な脆弱性が相次いで発覚しています。
2026年4月、同社はアドバイザリSNWLID-2026-0004を公開し、新たに開示されたSonicOSの3つの脆弱性をまとめました。その中にはCVE-2026-0204も含まれており、これは全Gen 6、Gen 7、Gen 8ファイアウォールプラットフォームに影響する、認証不要の管理インターフェースアクセス制御バイパスの高深刻度(CVSS 8.0)の脆弱性です。
これらのプラットフォーム全体に対して強制ファームウェアアップデートが発行されました。5月のスキャンキャンペーンは、一貫した特徴的な技術的フィンガープリントを示しています:
Linux上のChrome 119というフィンガープリントは、GreyNoiseのTen Days Before Zeroレポートによると2026年第1四半期のSonicWallスキャントラフィックの94.5%を占めたツールと同一であり、同一の脅威アクターのインフラが稼働中であることを示唆しています。
SonicWallアプライアンスはランサムウェアオペレーターの執拗な標的となっています。2025年半ばには、Akiraランサムウェアを含むランサムウェアの展開の波が、SonicWall SSL VPN脆弱性の積極的な悪用と関連付けられていました。
2026年版SonicWall Cyber Protect Reportでも、脅威アクターがSonicWallの境界防御に依存するSMBを標的にする際の速度と精度が向上していることが改めて確認されています。
GreyNoiseは今後のCVEの開示を確認しているわけではありませんが、記録されたリードタイムの窓を踏まえると、防御側は今すぐ対応を取るべきです:
翻訳元: https://cyberpress.org/actively-scan-sonicwall-firewalls/
