プロも恐れる「正規IDでの侵入」、SonicWallのVPNセキュリティは大丈夫なのか

VPNはセキュリティの鎖のうち最も弱い環だとも言われる。SonicWallのSSL-VPNに対するサイバー攻撃が警告されており、攻撃者は総当たりではなく正規の認証情報を悪用しているようだ。

[David Jones，Cybersecurity Dive]

　日本ではランサムウェアの侵入口のうち最も多いのがVPNだ。VPNの脆弱（ぜいじゃく）性や認証情報の管理には細心の注意を払わなければならない。

　現在危険性について研究者が注目しているのはSonicWallのSSL-VPNデバイスへのサイバー攻撃だ。

　サイバー攻撃者の潜伏を検知する能力をうたうHuntressが2025年10月10日（現地時間、以下同）に公開したブログ投稿によると（注1）、研究者はSonicWallのSSL-VPNデバイスへの広範囲な侵害について警告を発している。攻撃者はブルートフォース攻撃（総当たり攻撃）ではなく、認証情報を使用して攻撃を仕掛けているようだ。

プロも恐れる「正規IDでの侵入」、SonicWallのVPNセキュリティ

　Huntressで対攻撃者戦術の分野で責任者を務めるジェイミー・レヴィ氏は『Cybersecurity Dive』に対して次のように語った。

　「攻撃者は有効な認証情報を保有していると考えられる。ブルートフォース攻撃ではなく、複数のアカウントに直接ログインしているスピードからすると、攻撃者は有効な認証情報を入手しているか、あるいは別の方法でログインする手段を見つけ出したのだろう」

　一連の攻撃は2025年10月4日に始まった。同時期に、SonicWallは自社の管理ポータル「MySonicWall」で発生した広範な侵害に関する別のアップデートを発表していた。

　Huntressが確認した攻撃では、16の顧客環境でSonicWallのSSL-VPNのアカウントのうち100件超が侵害されていた。なお、SSL-VPNへの攻撃とMySonicWallの侵害との間に関係があるのか、あるとしたらどのような関係があるのかなどの詳細は現時点で明らかになっていない。

　研究者によると、あるケースでは攻撃者はそれぞれのネットワークを迅速に切断していたが、別のケースでは攻撃者がスキャンを実行して、「Windows」のローカルアカウントへのアクセスを試みていたという。

　2025年10月からの攻撃は、2025年8月に報告された攻撃と幾つかの点で類似している。当時、研究者はSonicWallのファイアウォール製品のうち第7世代のもの（Gen 7）を標的とする一連の攻撃について調査しており（注2）、この攻撃はランサムウェア「Akira」と関連付けられていた。

　研究者はゼロデイ脆弱性が悪用されている可能性についても懸念を示している。一方、SonicWallは調査を実施した結果、これらの攻撃は、すでに公表されていたアクセス制御の不備に関する脆弱性を利用したものだと説明した（注3）。

　SonicWallによると、2025年8月に発生した多くの攻撃は、次世代ファイアウォールにアップグレードした後も、ユーザーが古いローカルパスワードを使用し続けていたことが原因だったという。そこでSonicWallはユーザーに対して、ローカルアカウントやLDAPのアカウントで使用している認証情報を変更するよう強く呼び掛けていた。

　SonicWallから説明があったにもかかわらず、研究者は新たな一連の攻撃が同時多発的に発生しているように見えることに懸念を示している。

　Huntressの研究者は調査結果をSonicWallに報告したが、2025年10月13日の時点では返答を受け取っていないという。SonicWallの広報担当者は、Cybersecurity Diveからのコメントの要請にも応じなかった。

出典：SonicWall SSLVPN devices compromised using valid credentials（Cybersecurity Dive）
注1：Huntress Threat Advisory: Widespread SonicWall SSLVPN Compromise（Huntress）
注2：SonicWall investigating possible zero-day related to firewall attacks（Cybersecurity Dive）
注3：SonicWall says recent attack wave involved previously disclosed flaw, not zero-day（Cybersecurity Dive）