SonicWall製品へのサイバー攻撃が進行中 ユーザー必須の6つの対応策とは

SonicWallの中堅・中小企業向けのセキュリティアプライアンスへのサイバー攻撃が継続中だとGoogleが発表した。

[David Jones，Cybersecurity Dive]

　Googleの調査によれば、SonicWallの中堅・中小企業向けの統合型セキュアアクセスゲートウェイを狙ったサイバー攻撃が進行中だ。

　Google Threat Intelligence Group（GTIG）が2025年7月16日（現地時間、以下同）に発表した報告書によると（注1）、2024年10月以降、「SonicWall Secure Mobile Access 100シリーズ」（以下、SMA 100）が攻撃されている。これらの機器向けのパッチは提供済みだが、製品のサポートは終了している。

ユーザー必須の6つの対応策とは

　攻撃者「UNC6148」は認証情報やワンタイムパスワードのシードを使って過去のパッチが適用されたデバイスにアクセスし、Googleの研究者が「Overstep」と名付けたバックドアを作るルートキットを攻撃対象に展開中だ。このバックドアはこれまで知られていなかった。その後、マルウェアがSMA 100の起動プロセスを改変して、継続的に不正アクセスできるようにする他、認証情報の窃取やマルウェアの構成要素の隠蔽（いんぺい）を可能にする。さらに被害に遭った企業の社内に横展開したり、ランサムウェア攻撃を開始したりする。

　標的のアプライアンスにOverstepを展開する目的で、リモートコードの実行に関連するゼロデイ脆弱（ぜいじゃく）性を攻撃者が使用した可能性があると研究者は考えている。

　Googleの研究者によると、近年この種のデバイスが頻繁に攻撃者の標的となっていることから、攻撃者がこれらの機器に精通している可能性があるという。

　Googleのリサーチチームのザンダー・ワーク氏（シニアセキュリティエンジニア）は『Cybersecurity Dive』に対し、次のように述べた。

　「GTIGが観測したUNC6148の最近の活動と、2023年までさかのぼるSonicWallに対する攻撃との間に共通点が見つかった。UNC6148はSonicWall SMA 100のシリーズのアプライアンスに対する侵入の経験があるのではないかと疑っている。Mandiantの最近の調査で明らかになったマルウェアや展開手法の巧妙さは、SMA 100シリーズのソフトウェアや機能に対して技術的に熟知していることを示している」

　SMA 100を熟知している痕跡がある一方で、研究者は今回の活動と既知の脅威グループによる過去のキャンペーンとの間の共通点をうまく特定できないままだ。

　研究者は今回の活動によって影響を受けた被害組織の正確な数を把握できていない。直近の数カ月の間に公表された他の攻撃の一部が、今回新たに明らかになった活動と重複している可能性があるためだ。

　Googleは今回の調査結果をSonicWallと連携しており、SonicWallはGTIGによる調査への協力に感謝の意を示した。

　SonicWallの広報担当者はCybersecurity Diveに対し、次のように述べた。

　「変化し続ける脅威の状況に対応し、透明性の確保と顧客保護の取り組みに沿って当社はSMA 100のサポート終了日を前倒しする予定だ。SMA 100の販売はすでに終了しており、当社の製品ライフサイクル表にもそのように記載されている。今回の更新は、当社の長期戦略や業界の方向性と一致している。今後数週間以内に、顧客とパートナー向けに詳細な被害軽減策を共有する予定だ」

　研究者は「攻撃者がデータの窃取やランサムウェアの展開、被害者への恐喝を試みている可能性がある」と述べた。

　Googleによると、攻撃者は2025年5月に特定の組織を標的にして、1カ月後に攻撃に関する情報をデータリークサイト「World Leaks」に投稿した。また、今回新たに明らかになった脅威キャンペーンと、過去にSonicWallを悪用してランサムウェア「Abyss」を展開した事例との間には共通点があるようだ。Googleはその事例を「VSociety」と呼ぶ。

攻撃者が利用した5つの脆弱性とは

　研究者は攻撃者が次に挙げる複数の既知の脆弱性を悪用したことにも警鐘を鳴らした。

• CVE-2021-20038：認証なくリモートコードを実行できる可能性のあるメモリ破損の脆弱性（注2）
• CVE-2024-38475：Apache HTTP Serverに存在し、SMA 100に影響を与える認証不要のパストラバーサルの脆弱性（注3）
• CVE-2021-20035：SMA 100のインタフェースにおける特殊要素の不適切な無害化処理に関する脆弱性（注4）
• CVE-2021-20039：SMA 100の管理インタフェースにおける特殊要素の不適切な無害化処理に関する脆弱性（注5）
• CVE-2025-32819：認証されたユーザーによるファイル削除が可能となる脆弱性（注6）

　サイバーセキュリティ事業を営むRapid7は2025年5月に、SMA 100のシリーズのアプライアンスに存在する複数の脆弱性を公表した他（注7）、SonicWallと連携して修正のための対応をした。

SMA 100のユーザーはどうすればよいのか

　SMAユーザーができることは5つある。第1に最新のファームウェアへ更新する前にVPNサービスを一時的に無効化する。第2はSonicWallが新たに提供した最新のファームウェアへのアップデートだ。バージョン10.2.2.1-90sv以降にしなければならない。同時にSonicWallが提供済みのパッチのうち適用していないものがないかどうか調べる。第3にアプライアンスの全てのユーザーのパスワードとOTPの設定をリセットしなければならない。第4に外部ネットワークに接続するためのSMA 100のポート（X1インタフェース）でのリモート管理アクセスを無効化する。第5にOverstepがすでに展開されていないかどうかを調査するべきだ。展開されていた場合は、社内に攻撃者が侵入し、すでに情報の流出などが起きている可能性がある。（キーマンズネット編集部）

出典：Threat actor targets end-of-life SonicWall SMA 100 appliances in ongoing campaign（Cybersecurity Dive）
注1：Ongoing SonicWall Secure Mobile Access (SMA) Exploitation Campaign using the OVERSTEP Backdoor（Google Cloud Blog）
注2：CVE-2021-20038 Detail（NIST）
注3：CVE-2024-38475 Detail（NIST）
注4：CVE-2021-20035 Detail（NIST）
注5：CVE-2021-20039 Detail（NIST）
注6：CVE-2025-32819 Detail（NIST）
注7：Multiple vulnerabilities in SonicWall SMA 100 series (FIXED)（Rapid7）

原文へのリンク