Bleeping Computerは8月5日(米国時間)、「SonicWall urges admins to disable SSLVPN amid rising attacks」において、SonicWallの第7世代ファイアウォール(Gen 7 SonicWall Firewalls)に未知の脆弱性が存在し、ネットワーク侵入に悪用された可能性があると報じた。
-
SonicWall urges admins to disable SSLVPN amid rising attacks
ランサムウェア攻撃に悪用されたとの報告
セキュリティ企業のArctic Wolfは8月1日(米国時間)、「Arctic Wolf Observes July 2025 Uptick in Akira Ransomware Activity Targeting SonicWall SSL VPN I Arctic Wolf」において、7月15日からSonicWallファイアウォールデバイスを標的としたランサムウェア活動の増加を観測したと報告した。
不正アクセスの原因について、あらゆる可能性を排除できていないが、入手可能な証拠からはSonicWallファイアウォールにゼロデイの脆弱性が存在することが示唆されると述べている。また、同製品のすべてのパッチ適用後、認証情報をローテーションし、多要素認証(MFA: Multi-Factor Authentication)を有効にしたにもかかわらず、アカウントが侵害されたケースを確認したという。
この報告を受け、SonicWallは8月4日(現地時間)、「Gen 7 SonicWall Firewalls – SSLVPN Recent Threat Activity」において、脅威活動に関する注意情報を公開した。過去72時間にわたり社内外からインシデント情報が寄せられ、その顕著な増加がみられたとして、現状報告と緊急の緩和策を公開している。
緩和策
SonicWallによると、現在は外部のパートナーと共に調査を実施しているが、原因の特定には至っていないという。原因が特定され次第、修正ファームウェアと手順を公開する予定だが、それまでの間、顧客には次の緩和策を実施してほしいと呼びかけている。
- 可能な場合はSSL VPNサービスを無効にする。無効にできない場合も、以下の手順はすべて実行する必要がある
- SSL VPN接続を信頼できるIPアドレスに制限する
- セキュリティサービス(ボットネット保護やGeo-IPフィルタリング)を有効にする。これらはSSL VPNエンドポイントを標的とする既知の脅威アクターを検出してブロックするのに役立つ
- すべてのリモートアクセスに対して、多要素認証(MFA: Multi-Factor Authentication)を有効にする(ただし、Arctic Wolfは効果がみられないと報告している)
- 使用していないアカウントを削除する
- すべてのユーザーアカウントで定期的なパスワード更新を行う
セキュリティ企業のHuntressもこの攻撃の概要を伝え、即時の対策を推奨している。SSL VPNサービスの無効化は強く推奨すると述べている(参考:「Active Exploitation of SonicWall VPNs | Huntress」)。
これまでのところSonicWall製品から脆弱性は発見されていないが、複数のセキュリティ企業が疑いを指摘している。同製品を運用している企業には、万が一に備えて速やかな緩和策の実施と警戒の継続が望まれている。
