VPNの穴を突く大規模攻撃 botネットで実行か
サイバーセキュリティを提供する各社の製品に対するbotネットを利用したしつこい攻撃が始まった。どのような攻撃なのだろうか。
サイバーセキュリティ分野で活動する非営利団体によれば、2025年1月中旬から下旬におけるブルートフォース攻撃の急増について警告すべき事態が起こっている(注1)。攻撃者はエッジデバイスへのWebログインを狙っている。つまり社内ネットワークと社外のネットワーク境界を突破しようとする攻撃だ。
VPNの穴を突く大規模攻撃 botネットで実行か
この攻撃はbotネットを利用している。どのような攻撃なのだろうか。
非営利団体のShadowserver Foundationによると、この脅威活動はPalo Alto NetworksやSonicWall、Ivantiを含む複数の主要ベンダーのデバイスを標的としており、1日当たり280万以上のIPアドレスからの攻撃が続いている。研究者によると、確認された攻撃は単なるスキャンにとどまらず、実際にログインを試みる段階にまで進んでいるという。
Shadowserver Foundationの活動内容は
同団体はインターネットに関連した脆弱(ぜいじゃく)性や悪意のある活動を特定し、世界中の数千の組織のCSIRT(Computer Security Incident Response Team)やネットワーク管理者に対して、毎日情報を無料で提供する。企業や政府機関がネットワークを保護するために役立つ活動だ。法執行機関とも協力している。
まず、世界中のIPアドレスに対してスキャンを実施し、マルウェアやスパム、bot、botネットなどの悪意ある活動に関するデータを収集する。マルウェアについては仮想サンドボックスとベアメタルサンドボックスの両方を使用して、1日当たり約10万のサンプルを実行して挙動を詳細に分析することが特徴だ。
レポートを提供するだけでなく、Shadowserver Allianceというコミュニティーを構築しており、リアルタイムでの情報交換や脅威への対応を助ける。
Shadowserver Foundationのピオトル・キジェフスキ氏(CEO)は次のように述べた。
「具体的に誰が標的にされているのかはまだ分かっていない。われわれが観測できるのは、自社のハニーポットに対する攻撃だけだ」
この脅威活動はエッジデバイスのセキュリティに関する継続的な懸念を改めて思い出させる。スパイ活動やその他の悪質な活動のために、国家から支援を受ける脅威グループがエッジデバイスを標的にするケースが増えているからだ。
アナリストによると、エッジデバイスは自らの機能を実行するためにインターネットに公開された状態になっている。
調査企業のGartnerのチャーリー・ウィンクレス氏(アナリスト)は、「Cybersecurity Dive」に対して次のように語った。
「これらのデバイスは、VPNのように外部に公開しなければならないサービスの作動に関わっていることが多く、バグやリモート攻撃のリスクを回避することが難しい」
仮にデバイスにパッチが適用されたとしても、多要素認証やコンテキストベースの制御が欠けているVPNについては、クレデンシャルスタッフィング攻撃のリスクが残る。
米国当局もこの状況を注視している。サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の広報担当者は次のように述べた。
「われわれはShadowserver Foundationやその他の関係者と連携して、エッジデバイスに対する攻撃経路を調査中だ。必要に応じて、リスクのある組織に通知し、パートナーと連携してガイダンスを提供する」
ブルートフォース攻撃に関与しているIPのうち110万以上がブラジルに集まっているものの、米国やカナダにも多数のIPが集中していることが確認された。
2025年1月下旬、攻撃者は「SonicWall SMA 1000シリーズ」のアプライアンスに存在する重大な脆弱性を標的にした(注2)。この脆弱性「CVE-2025-23006」は(注3)、内部インタフェースへのアクセス権を持つ攻撃者がデバイスを乗っ取ることを可能にするものだった。共通脆弱性評価システム「CVSSv3.1」のベーススコアは9.8と高く、重大な脆弱性(critical)と評価されている。
出典:Suspected botnet targets edge devices using brute force attacks(Cybersecurity Dive)
注1:The Shadowserver Foundation(X)
注2:SonicWall SMA 1000 series appliances left exposed on the internet(Cybersecurity Dive)
注3:CVE-2025-23006 Detail(NIST)
関連記事
廃棄PCのデータ消去不備で情報漏えいの恐れ【セキュリティ注目トピック】
企業や組織がPCを廃棄する際、データを消去する手順が定まっている。だが、手順通りに作業しても失敗することがある。なぜだろうか。
政府も対応できていない66件の重要な脆弱性とは
大規模なサイバー攻撃の対象となっている脆弱性はどれだろうか。信頼できる情報が必要だが、混乱した状況が続いている。
野放しのスマートデバイス セキュリティを強化する規制とは
インターネットに接続されたスマートデバイスはサイバーセキュリティの悪夢だと言われることがある。PCやサーバと比較して対策が遅れているためだ。政府はどのような対策を進めるのだろうか。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- まだまだ続くVMwareの脆弱性【セキュリティ注目トピック】
- 企業のパスワードはこうして盗まれる 13の手口を徹底解説
- 知ってるなら教えてよ……、政府が脆弱性を隠し続ける理由とは?:819th Lap
- 「情シスの属人化は必ずしも悪ではない」 クラウドネイティブ齊藤氏が示す、正しい属人業務のつくり方
- AIエージェントで進化するNotion 競合サービスとの違いは?――Notion CEOが語る製品哲学とAIの未来
- 故障しやすいHDD、安定したHDDが3年分のデータから分かった【最新調査】
- BIの2大巨塔、Power BIとLookerStudioはどれくらい違う? 選び方は結局のところ……
- パスワードの保管方法 7つの手法からベストを選ぶ
- さよなら、8ビットCPU「Z80」:757th Lap
- 旅行代理店を襲ったマルウェア「PlugX」の手法と対策
ITmediaはアイティメディア株式会社の登録商標です。