サイバーセキュリティ企業Arctic Wolfによると、SonicWallファイアウォール機器は2023年7月下旬以降、Akiraランサムウェア攻撃の急増により標的となっており、未公開のセキュリティ脆弱性が悪用されている可能性があります。
Akiraは2023年3月に登場し、さまざまな業界で世界中の多くの被害者をすぐに出しました。この2年間で、Akiraはダークウェブのリークポータルに300以上の組織を追加し、日産(オセアニアおよびオーストラリア)、日立、スタンフォード大学など、複数の著名な被害者への攻撃を主張しています。
FBIによると、Akiraランサムウェア集団は2024年4月時点で250人以上の被害者から4,200万ドル以上の身代金を集めています。
Arctic Wolf Labsの観測によると、複数のランサムウェア侵入は、7月15日以降SonicWallのSSL VPN接続を通じた不正アクセスが関与していました。ただし、これらの攻撃でゼロデイ脆弱性が悪用されている可能性が高い一方で、Arctic Wolfは認証情報ベースの攻撃の可能性も排除していません。
「このキャンペーンにおける初期アクセス手法はまだ確認されていません」とArctic Wolf Labsの研究者は警告しています。「ゼロデイ脆弱性の存在は非常にあり得ますが、ブルートフォース、辞書攻撃、認証情報詰め込みによる認証情報アクセスも、すべてのケースで完全に排除されたわけではありません。」
このランサムウェア活動の急増の中で、攻撃者はSSL VPNアカウントを介した初期ネットワークアクセスからデータ暗号化へと迅速に移行しており、これは2024年10月以降に検出された類似の攻撃と一致するパターンであり、SonicWall機器を標的とした継続的なキャンペーンを示しています。
さらにArctic Wolfは、ランサムウェアオペレーターがVPN認証のために仮想プライベートサーバーホスティングを利用していることを観測しましたが、正規のVPN接続は通常、ブロードバンドインターネットサービスプロバイダーから発信されます。
セキュリティ研究者は、このキャンペーンで使用された攻撃手法の調査を継続しており、新たな情報が得られ次第、防御側に追加情報を提供するとしています。
野生下でSonicWallのゼロデイ脆弱性が悪用されている可能性が高いため、Arctic Wolfは管理者にSonicWall SSL VPNサービスを一時的に無効化するよう推奨しました。さらに、パッチが提供されるまで、強化されたログ記録、エンドポイント監視、ホスティング関連ネットワークプロバイダーからのVPN認証のブロックなど、追加のセキュリティ対策を実施するべきだとしています。
管理者にSMA 100アプライアンスのセキュリティ強化を推奨
Arctic Wolfのレポートは、SonicWallが顧客に、未修正の機器でリモートコード実行が可能となる重大なセキュリティ脆弱性(CVE-2025-40599)へのパッチ適用を促した1週間後に発表されました。
同社によると、CVE-2025-40599の悪用には攻撃者が管理者権限を必要とし、現時点でこの脆弱性が積極的に悪用されている証拠はないものの、すでに認証情報が侵害された攻撃で新たなOVERSTEPルートキットマルウェアが展開されていることから、管理者にSMA 100アプライアンスのセキュリティ強化を強く推奨しています(Google Threat Intelligence Group(GTIG)研究者による)。
SonicWallは、SMA 100仮想または物理アプライアンスを使用している顧客に対し、GTIGのレポートに記載された侵害の痕跡(IoC)を確認し、不正アクセスやアプライアンスのログ、接続履歴を調査して疑わしい活動がないか確認するよう「強く」推奨しています。もし侵害の証拠が見つかった場合は、直ちにSonicWallサポートに連絡して支援を受けるよう助言しています。
SonicWallはまた、SMA 100仮想または物理アプライアンスを使用している顧客に対し、GTIGのレポートに基づく侵害の痕跡(IoC)を確認することを「強く」推奨しており、管理者は不正アクセスや疑わしい活動についてログを確認し、侵害の証拠が見つかった場合は直ちにSonicWallサポートに連絡するよう提案しています。
SonicWallの広報担当者は、本日BleepingComputerからの問い合わせに対し、すぐにはコメントできませんでした。
