SonicWallのSecure Mobile Access(SMA)アプライアンスに新たに報告された2件の脆弱性が、大手ランサムウェアグループによってゼロデイとして悪用されていたことが判明しました。
7月14日、セキュリティベンダーのSonicWallは、SMA 1000シリーズアプライアンスに存在する2件の脆弱性CVE-2026-15409およびCVE-2026-15410に関するセキュリティアドバイザリを公開しました。この2件を組み合わせると、認証を持たない無作為の攻撃者であってもリモートコード実行(RCE)権限を取得し、機器上でroot権限のコマンドを実行できる可能性があります。
実際、こうした攻撃はすでに発生しています。Rapid7のテレメトリによると、悪名高いIncランサムウェア・アズ・ア・サービス(RaaS)グループにつながる脅威アクターが、CVE-2026-15409とCVE-2026-15410をゼロデイとして利用し、複数の企業ネットワークに侵入して認証情報を窃取し、ランサムウェア展開への布石を築いていました。
SonicWall SMAの脆弱性
2つの脆弱性のうちどちらがより深刻かと問われれば、CVE-2026-15409には特に注意が必要です。これはSMAの「Work Place」Webインターフェースに存在するサーバーサイドリクエストフォージェリ(SSRF)の問題であり、インターネット上の通りすがりの第三者が細工したWebリクエストを送るだけで、ポータルをだまして内部の非公開サービスへ代理リクエストを送信させることが可能になります。認証は一切不要で、共通脆弱性評価システム(CVSS)では満点の10点満点中10点というスコアを獲得しています。
CVE-2026-15410のCVSSスコアはやや低いものの、依然として高い10点満点中7.2点となっています。攻撃者がすでにアプライアンス管理コンソール(AMC)——すでにアクセス可能な機器の管理用ユーザーインターフェース(UI)——に到達できていることが前提となるためです。到達できていれば、このコードインジェクションの脆弱性を利用して任意のオペレーティングシステム(OS)レベルのコマンドを実行できます。
この2つの脆弱性は、組み合わせて使われたときに最も威力を発揮すると見られています。SonicWallは攻撃者がどのようにこれらを連鎖させていたか具体的には説明していません。しかしRapid7によると、攻撃者はまずCVE-2026-15409を悪用してコード実行を確立し、その後CVE-2026-15410へと移行することで、認証を持たない外部者からroot権限を持つ内部者への昇格を完了させることができます。同社の研究者は前者の脆弱性に関する概念実証(PoC)エクスプロイトをGitHub上で公開しています。
Incランサムウェアとのつながり
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は7月14日、CVE-2026-15409とCVE-2026-15410を既知の悪用された脆弱性(KEV)カタログに追加しました。
7月15日、Rapid7はより詳しい情報を提供しました。同社のテレメトリによれば、身元不明の脅威アクターは教科書通りの侵入フローを実行していました。すなわち、アプライアンスを初期アクセスの経路として利用し、脆弱性を悪用して入力検証制御を回避、OSレベルでコマンドを実行するというものです。足がかりを得た後は、認証情報やアクティブセッションのデータベース、ワンタイムログインコード生成に使われるシード値を盗み出すことで、永続的なアクセスを確立していました。続いて、侵害されたSMAを起点として企業ネットワーク内を横方向に移動し、特にドメインコントローラーを標的にしていたということです。
その2日後、Rapid7はこの活動を明確にIncランサムウェアの仕業だと断定しました。Rapid7のインシデントレスポンス担当ディレクターであるBrett Deroche氏はDark Reading誌の取材に対し、次のように述べています。「大半のケースでは情報流出と暗号化を防ぐことに成功していますが、現在進行中の案件の中には、実際にランサムウェアの展開が完了してしまったものも1件あります」
同氏はさらに、こうした事案では「エッジデバイスの侵害が敵対者の最終目的であることはまずないという点を認識することが極めて重要です。それはあくまで足がかりにすぎません。真の目的は、これまでもずっとそうであったように、金銭化です。近年では、データ窃取と暗号化の両方を狙う二重恐喝型ランサムウェアの手口によって、これが圧倒的多数を占めるようになっています」と付け加えています。
SonicWallが抱える悩み
脅威アクターの視点に立てば、SonicWall SMA 1000シリーズアプライアンスの価値はこれ以上ないほど明確です。組織の外部Webとの接点である内部ネットワークへのゲートウェイを侵害することで、攻撃者は機密性の高いシステムやデータへアクセスし、独自のアカウントを作成し、場合によっては自前のコードを仕込むなど、さまざまな悪意ある行為を働くことができます。
さらに、SonicWallは自社のSMA製品を、政府機関、マネージドセキュリティサービスプロバイダー(MSSP)、中堅から多国籍企業向けのハイエンドセキュリティソリューションとして売り出しています。そのため、被害を受ける可能性のある組織は、平均以上の価値を持つ標的でもあるわけです。こうした事情もあって、ハッカーたちが継続的にSonicWallを狙い、FortinetやIvantiといった他のエッジデバイスベンダーと同程度の頻度で同社製品のゼロデイ脆弱性を悪用しているのかもしれません。
同社の脆弱性開示・是正対応のあり方についても、議論の的となってきました。その背景には、テキサス州を拠点とするサービスとしてのソフトウェア(SaaS)企業Marquis Software Solutionsという顧客の存在があります。2026年前半には、MarquisがSonicWallを提訴しました。SonicWallに対するサイバー攻撃キャンペーンについて、迅速かつ正確な情報提供を怠ったことが原因で、結果的にMarquisがランサムウェア攻撃を受けることになったというのがその主張です。
幸いにも、SonicWallは今週、新たなホットフィックスによってCVE-2026-15409とCVE-2026-15410への対応を行い、顧客に対して適用を強く推奨しています。
それでも、Viakooの副社長を務めるJohn Gallagher氏は次のように指摘します。「公開通知の後にパッチを適用するのでは、攻撃者がすでにゼロデイを悪用して行動している間に、脆弱性が放置される大きな時間的猶予が生まれてしまいます。これを補うためには、組織はエッジデバイスやネットワークに隣接するアプライアンスを『すでに侵害されている』という前提で扱い、セキュリティアップデートを数週間から数カ月ではなく、数分から数時間の単位で大規模に展開する必要があります」
パッチ適用そのものにとどまらず、組織は侵入の可能性を特定し、居座る攻撃者を迅速に排除するための取り組みに一層の力を注ぐ必要があります。
Rapid7のDeroche氏は次のように強調します。「アプライアンスがすでに侵害されていた場合、ベンダーのパッチを適用するだけではもはや十分ではありません」。同氏はこれまで、SonicWallの顧客がパッチを適用したものの、その直後に完全なフォレンジック調査を実施しなかったケースを目にしてきたといいます。その結果、「脅威アクターが持続的なアクセスを維持し、新たに適用されたパッチを脆弱な状態へと巻き戻してアクセスを保持し続けている事例を確認しました。完全な排除を保証するには、ファイアウォールに対する包括的なフォレンジック調査が不可欠です」
Dark ReadingはSonicWallにコメントを求めています。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/inc-ransomware-exploits-sonicwall-sma-zero-days