SonicWallは2025年7月以降、Gen 7ファイアウォールのSSL VPNを狙ったランサムウェア攻撃増加を調査している。Arctic Wolf、Google Mandiant、Huntressも連携。攻撃はMFAを回避し、ゼロデイ脆弱性の可能性が高い。
攻撃者は数時間でドメインコントローラーに侵入し、Akiraランサムウェアを展開。利用者にはSSL VPN停止やIP制限、強固なパスワード運用を推奨。
2025年1月にはSMA 1000シリーズのCVE-2025-23006、2月にはCVE-2024-53704が報告されている。Akiraは2023年3月以降、250以上の組織から約4200万ドルを奪取している。
From: 
SonicWall investigates ‘cyber incidents,’ including ransomware targeting suspected 0-day
【編集部解説】
今回のSonicWallを狙った攻撃が注目される理由は、単なるランサムウェア被害にとどまらない深刻な構造的問題を浮き彫りにしているからです。特に重要なのは、多要素認証(MFA)という現在のサイバーセキュリティの”最後の砦”が突破されている点でしょう。
従来、MFAは不正アクセスを防ぐ有効な手段とされてきました。しかし、今回の事案では完全にパッチが適用され、MFAが有効な環境でも攻撃が成功しています。これは攻撃者が認証メカニズム自体の脆弱性を突いている可能性を示唆しており、現行のセキュリティモデルの根本的な見直しが必要な段階に入ったことを表しています。
Akiraランサムウェアグループの手口も従来のランサムウェア攻撃とは異なる巧妙さを見せています。2023年3月の活動開始以来、同グループは250以上の組織から約4200万ドルを奪取し、攻撃の迅速性で知られています。特に注目すべきは、VPN侵害から数時間以内にドメインコントローラーへの侵入を完了させる攻撃速度です。
この事案が企業のデジタル変革に与える影響は多方面に及びます。リモートワーク環境の拡大により、VPNは多くの組織にとって不可欠なインフラとなっています。しかし、その基盤となる技術に未知の脆弱性が存在する可能性が高まることで、企業はリモートアクセス戦略の再考を迫られることになるでしょう。
SonicWallが今年既に2件のゼロデイ脆弱性(CVE-2025-23006、今回の疑惑事案)に直面している事実も見逃せません。これは単発の問題ではなく、同社製品の設計思想やセキュリティ開発プロセスに構造的な課題が存在する可能性を示しています。
長期的な視点では、この事案はゼロトラストアーキテクチャへの移行を加速させる契機となる可能性があります。従来の境界防御に依存したセキュリティモデルから、すべてのアクセスを検証する前提に立った新しいアプローチへの転換が、企業にとって避けられない選択肢となりつつあります。
また、サイバーセキュリティ業界全体にとっても重要な教訓となります。セキュリティベンダー自身の製品が攻撃の起点となるケースが増加しており、第三者による継続的な脆弱性検証やバグバウンティプログラムの重要性がより一層高まっています。企業の購買担当者にとっては、セキュリティ製品選定時のベンダー評価基準の見直しが必要になるでしょう。
【用語解説】
ゼロデイ脆弱性
ソフトウェアベンダーが未発見・未修正の脆弱性。攻撃者のみが知る欠陥であり、パッチが存在しないため防御が困難。「ゼロデイ」は脆弱性発見からパッチ適用までの期間がゼロ日であることに由来する。
SSL VPN(Secure Sockets Layer Virtual Private Network)
ウェブブラウザを使用してリモートアクセスを提供するVPN技術。専用クライアントが不要で、HTTPSプロトコルを利用して暗号化通信を確立する。
多要素認証(MFA:Multi-Factor Authentication)
パスワードに加えて、SMS認証コードやワンタイムパスワードなど複数の認証要素を組み合わせるセキュリティ手法。単一要素の認証より強固とされる。
ドメインコントローラー
Windows Active Directoryネットワークで認証とアクセス制御を管理するサーバー。企業ネットワークの中核となるため、攻撃者の重要な標的となる。
ランサムウェア
コンピュータのファイルを暗号化し、復号のために身代金を要求する悪意あるソフトウェア。近年は暗号化前にデータを窃取し、公開を脅迫する手法も併用される。
【参考リンク】
SonicWall公式サイト(外部)
ネットワークセキュリティ機器を提供する米国企業。次世代ファイアウォールやSSL VPN製品を展開
Arctic Wolf公式サイト(外部)
マネージド検出・対応(MDR)サービスを提供。今回のSonicWall攻撃を最初に報告した機関
Huntress公式サイト(外部)
中小企業向けのマネージドサイバーセキュリティサービスを提供する米国企業
【参考記事】
Ransomware spike linked to potential zero-day flaw(外部)
SonicWall機器のゼロデイ脆弱性とランサムウェア攻撃急増の関連性について分析
SonicWall Investigating Potential SSL VPN Zero-Day(外部)
20件以上の標的型攻撃が報告されたSonicWall SSL VPNのゼロデイ疑惑について報告
Huntress Threat Advisory: Active Exploitation of SonicWall VPNs(外部)
SonicWall VPN攻撃の迅速性とMFA回避について技術的な分析を提供
【編集部後記】
みなさんの組織でも、リモートワークのためのVPNやファイアウォールを導入されていることでしょう。今回のSonicWallの事案は他人事ではありません。私たちinnovaTopiaとしては、ぜひこの機会に、みなさんの環境で使用しているセキュリティ機器のメーカーサイトを確認していただき、最新のセキュリティアップデートが適用されているかチェックしてみることをお勧めします。
また、もしよろしければ、みなさんの組織ではゼロデイ攻撃に備えてどのような対策を講じているか、あるいは今回のような事案を受けてセキュリティ戦略の見直しを検討されているかなど、お聞かせいただけませんでしょうか。
