- ReliaQuestは、Akiraランサムウェアが買収や合併時に引き継がれた侵害済み資産を介して拡散することが多いと警告
- ほとんどの感染はパッチ未適用のSonicWall SSL VPN機器が原因で、横方向移動や暗号化に悪用されている
- SonicWallは最近、Gen7およびGen8ファイアウォールに影響する深刻なバッファオーバーフロー脆弱性(CVE-2025-40601)にパッチを提供
企業は日常的に他社を買収・売却していますが、顧客や収益、新たな市場、優秀な人材だけでなく、買収によって思いがけないものを手に入れることもあります――それはランサムウェア感染です。
サイバーセキュリティ研究者のReliaQuestは最近、Akiraランサムウェアの感染経路に関する新たなレポートを発表しました。2025年6月から10月に分析したすべての攻撃で、企業は以前に買収した資産を通じて感染しており、そのネットワーク内にはすでに侵害されたハードウェアが存在していたと指摘しています。
「これらのケースでは、買収側の企業は新たな環境にこれらのデバイスが存在することを認識しておらず、重大な脆弱性が放置されていました」とブログは明かしています。
どちらが先か ― 感染か、買収のニュースか?
レポートによると、Akiraはほとんどの場合、パッチ未適用のSonicWall SSL VPN機器を侵害していました。2025年7月中旬、Akiraによって悪用されているVPNソリューションの新たな脆弱性の可能性が報じられ、ログインや横方向移動、暗号化ツールの展開に利用されていました。
9月下旬には、複数のセキュリティ企業がSonicWall SSL VPN機器の侵入について警告していましたが、機器にはパッチが適用され、ユーザーはMFAも有効化していたにもかかわらず被害が出ていました。
同社はまた、SonicOS SSL VPNサービスの深刻な脆弱性に対するパッチをリリースし、すべてのユーザーにファイアウォールの即時アップデートを強く推奨しています。
セキュリティアドバイザリでSonicWallは、リモートの認証されていない攻撃者がサービス拒否(DoS)を引き起こし、ファイアウォールをクラッシュさせることができるスタックベースのバッファオーバーフロー脆弱性を発見したと述べています。
この脆弱性は現在CVE-2025-40601として追跡されており、深刻度スコアは7.5/10(高)です。Gen8およびGen7のファイアウォール(ハードウェア・仮想両方)に影響します。以前のモデル(Gen6ファイアウォールやSMA 1000、SMA 100シリーズのSSL VPN製品)はこのバグの影響を受けないとされています。
Akiraの運営者が企業の買収を狙って攻撃したのか、それとも単に脆弱な機器を運用していたために侵害され、たまたま後で買収されたのかは明らかになっていません。
