- Akiraランサムウェアは、パッチ適用済みやMFA利用中でもCVE-2024-40766を悪用してSonicWall VPNにアクセス
- 研究者はOTPシードが盗まれ、ワンタイムパスワード保護が回避された可能性を指摘
- Googleは、攻撃がUNC6148によるもので、パッチ済みかつサポート終了のSonicWall SMA 100アプライアンスを標的にしていると関連付け
Akira ランサムウェアのオペレーターは、既知の脆弱性にパッチが適用されていても、被害者が全アカウントで多要素認証(MFA)を有効にしていても、SonicWall SSL VPNデバイスへの侵入方法を見つけ続けています。
複数のセキュリティ研究者が攻撃の発生を確認していますが、実際に何が起きているかについては異なる(ただし類似した)見解を持っています。
2025年7月下旬、セキュリティ研究機関Arctic Wolf Labsは、SonicWall SSL VPNインスタンスを通じた悪意のあるログインの増加を報告しました。当時、研究者たちはエンドポイントにゼロデイ脆弱性が存在する可能性を推測していましたが、後にAkiraの攻撃者が実際には2024年9月に発見・修正された不適切なアクセス制御の脆弱性CVE-2024-40766を悪用していたことが判明しました。
ゼロデイでトークンを奪取?
パッチ適用に加え、SonicWallは全SSL VPN認証情報のリセットも顧客に推奨しましたが、これらの対策でもAkiraの侵入を防ぐには不十分だったようです。
現在、Arctic Wolfは2FA保護アカウントでも不正ログインが成功していることを確認しています。今週初めに公開されたレポートでは、アカウントへのログイン試行時に複数回のワンタイムパスワード(OTP)チャレンジが発生した後にログインが成功していることから、攻撃者がOTPシードを侵害したか、トークンを生成する別の方法を見つけた可能性が高いと指摘しています。
「この観点から、CVE-2024-40766の脆弱性を持つデバイスから認証情報が収集され、その後脅威アクターによって利用された可能性があります ― たとえ同じデバイスにパッチが適用されていてもです。現在のキャンペーンでは、ワンタイムパスワード(OTP)MFA機能が有効なアカウントに対しても、脅威アクターが認証に成功しています。」
同時に、Googleは、盗まれたOTPシードが最も有力な原因であり、それがゼロデイを通じて奪取されたと報告しています。
「Google Threat Intelligence Group(GTIG)は、UNC6148として追跡している金銭目的の脅威アクターによる、完全にパッチが適用されたサポート終了のSonicWall Secure Mobile Access(SMA)100シリーズアプライアンスを標的とした継続中のキャンペーンを確認しました」とGoogleはレポートで述べています。「GTIGは、UNC6148が過去の侵害で盗まれた認証情報およびワンタイムパスワード(OTP)シードを利用しており、組織がセキュリティアップデートを適用した後でも再びアクセスできると高い確信を持って評価しています。」
