Palo Alto Networks GlobalProtect VPN のログインポータルを標的とした悪意あるスキャン活動が24時間で40倍に増加しており、組織的なキャンペーンであることを示している。
リアルタイムインテリジェンス企業の GreyNoise によると、この活動は11月14日から増加し始め、1週間以内に過去90日間で最高レベルに達したという。
「GreyNoise は、Palo Alto Networks GlobalProtect ポータルを標的とした悪意ある活動の大幅なエスカレーションを確認しました」と、同社のブリーフィングには記されている。
「2025年11月14日以降、活動は急速に激化し、24時間以内に40倍の急増に至り、過去90日間で新たな最高値を記録しました。」
出典: GreyNoise
10月初旬、GreyNoise は Palo Alto Networks GlobalProtect および PAN-OS プロファイルをスキャンする IP アドレスが500%増加したと報告しており、そのうち91%が「疑わしい」、さらに7%が明確に悪意あるものと分類されていた。
さらにその前の2025年4月にも、GreyNoise は Palo Alto Networks GlobalProtect ログインポータルを標的としたスキャン活動の新たなスパイクを報告しており、24,000件の IP アドレスが関与していた。その大半は疑わしいものとされ、154件は悪意あるものと分類された。
GreyNoise は、繰り返し観測される TCP/JA4t フィンガープリント、同一 ASN(自律システム番号)の再利用、キャンペーン間で活動スパイクのタイミングが一致していることから、最新の活動は過去の関連キャンペーンと結び付いていると高い確信を持っている。
これらの攻撃で主に使用されている ASN は AS200373(3xK Tech GmbH)であり、IP の62%がドイツ、15%がカナダにジオロケーションされている。この活動には、AS208885(Noyobzoda Faridduni Saidilhom)という第2の ASN も関与している。
VPN ログインを標的に
11月14日から19日の間に、GreyNoise は Palo Alto PAN-OS および GlobalProtect 上の */global-protect/login.esp URI に対して、230万件のセッションがヒットしたことを観測した。
この URI は、GlobalProtect を実行する Palo Alto Networks ファイアウォールによって公開される Web エンドポイントに対応しており、VPN ユーザーが認証を行うページを表示する。
ログイン試行は主に米国、メキシコ、パキスタンを標的としており、いずれの国でも同程度のボリュームとなっている。
GreyNoise は、これらの試行を長年前にパッチ適用された脆弱性を狙った失敗したエクスプロイトとして無視するのではなく、悪意あるプロービングとしてブロックし、積極的に追跡することの重要性を以前から強調している。
同社の統計が示すところによると、こうしたスキャンのスパイクは、80%のケースで新たなセキュリティ脆弱性の公開に先行して発生しており、とりわけ Palo Alto Networks 製品に関してはその相関がさらに強い。
今年の Palo Alto Networks に対する悪意ある活動としては、2月に2件の脆弱性が実際に悪用されており、CVE-2025-0108 が悪用され、その後 CVE-2025-0111 および CVE-2024-9474 と連鎖的に組み合わされた。
9月には、Palo Alto Networks は ShinyHunters による Salesloft Drift キャンペーンの一環として、顧客データとサポートケースが流出したデータ侵害も公表している。
