2025年8月2日Ravie Lakshmanan脆弱性 / ゼロデイ
SonicWall SSL VPNデバイスが、2025年7月下旬に観測された新たな活動の急増の一環として、Akiraランサムウェア攻撃の標的となっています。
「調査した侵入事例では、短期間のうちに複数のランサムウェア前の侵入が観測されており、それぞれがSonicWall SSL VPNを通じたVPNアクセスを伴っていました」とArctic Wolf Labsの研究者Julian Tuinはレポートで述べています。
このサイバーセキュリティ企業は、攻撃がアプライアンスに存在する未特定のセキュリティ脆弱性、つまりゼロデイ脆弱性を悪用している可能性を示唆しています。なぜなら、いくつかの事例では完全にパッチが適用されたSonicWallデバイスが影響を受けていたためです。ただし、初期アクセスにおける認証情報ベースの攻撃の可能性も排除されていません。
SonicWall SSL VPNを利用した攻撃の増加は2025年7月15日に初めて記録されましたが、Arctic Wolfは2024年10月までさかのぼる同様の悪意あるVPNログインも観測しており、デバイスを標的とした継続的な取り組みが示唆されています。
「初回のSSL VPNアカウントアクセスとランサムウェアによる暗号化の間には短い間隔が観測されました」と同社は述べています。「通常、正規のVPNログインはブロードバンドインターネットサービスプロバイダーが運営するネットワークから発生しますが、ランサムウェアグループは侵害された環境でVPN認証に仮想プライベートサーバーホスティングを利用することが多いです。」
この活動に関するさらなる詳細についてSonicWallに問い合わせたものの、本記事の公開時点までに回答は得られませんでした。緩和策として、ゼロデイ脆弱性の可能性を考慮し、パッチが提供・適用されるまでSonicWall SSL VPNサービスの無効化を検討するよう組織に推奨されています。
その他のベストプラクティスとしては、リモートアクセスに多要素認証(MFA)を強制すること、非アクティブまたは未使用のローカルファイアウォールユーザーアカウントを削除すること、パスワード管理を徹底することが挙げられます。
2024年初頭時点で、Akiraランサムウェアの攻撃者は推定2億4200万ドル(約42億円)の不正収益を、250以上の被害者を標的にして得ているとされています。Akiraは2023年3月に初めて登場しました。
Check Pointが共有した統計によると、Akiraは2025年第2四半期にQilinに次いで2番目に活動が活発なグループであり、この期間中に143件の被害を主張しています。
「Akiraランサムウェアはイタリアに特別な焦点を当てており、被害者の10%がイタリア企業で、全体のエコシステムの3%と比較して高い割合です」とサイバーセキュリティ企業は述べています。
翻訳元: https://thehackernews.com/2025/08/akira-ransomware-exploits-sonicwall.html