Palo Alto Networksの「Palo Alto Global Protect」とSonicWallを狙うサイバー攻撃 キャンペーン

セキュリティニュース

投稿日時: 更新日時:

Palo Alto GlobalProtectとSonicWallを狙うサイバー攻撃 キャンペーン

2025年12月2日、インターネット上のスキャンや攻撃トラフィックを継続的に観測しているGreyNoiseが、Palo Alto Networks(パロアルトネットワークス) GlobalProtectポータルに対する大規模なログイン試行を確認したレポートを公開しました。

今回観測されたPalo Alto GlobalProtectへの攻撃

GreyNoiseの観測によると、2025年12月2日、同社のセンサーが監視する複数のPalo Alto GlobalProtectポータルに対して、短時間に大量のログイン試行が発生しました。
特徴的だったのは、活動していたIPアドレスの数と、その所属です。

  • 7,000を超えるIPアドレスが関与していた

  • すべてのIPが、ドイツの3xK GmbHという事業者のインフラから発生していた

このトラフィックは、GlobalProtectポータルに対する認証試行で構成されており、既知の脆弱性を突くエクスプロイトではなく、IDとパスワードを試すタイプのアクセスが中心だったとされています。


レポートでは、「認証情報に基づく攻撃(credential-based attacks)」という表現が使われており、盗まれた認証情報や総当たりによるログイン試行などを含む動きとして整理されています。

数カ月前から続く同一ツールによるキャンペーン

今回の12月2日のスパイクだけを見ると、「よくあるブルートフォースの一種」と受け止めてしまいがちです。
しかしGreyNoiseが自社のテレメトリを過去にさかのぼって分析した結果、レポートでは次の点が指摘されています。

  • 2025年9月末から10月中旬にかけて、より大規模な活動があった

  • その期間中、4つのAS(ネットワーク事業者)から、9百万件以上のHTTPセッションが発生していた

  • その多くが、GlobalProtectポータルや関連する認証エンドポイントを対象にしていた

このとき活動していた主なASは次の通りです。

  • NForce Entertainment B.V. (AS43350)

  • Data Campus Limited (AS215929)

  • Flyservers S.A. (AS209588)

  • Internet Solutions & Innovations LTD. (AS211632)

これらはいわゆる「明らかに悪性」とされる事業者ではなく、一般的なホスティングやサービス提供を行っているネットワークです。
つまり、攻撃者は分かりやすいボットネットやDDoS専用インフラではなく、通常のホスティング環境を使って、時間をかけてGlobalProtectポータルへのログイン試行を続けていたことになります。

さらに重要なのは、9月〜10月の活動と、12月2日の3xK GmbHからの活動の間に、共通する「クライアントフィンガープリント」が見つかっている点です。
インフラは変わっても、ツールや実装由来のフィンガープリントは同一のまま、という構図になっています。


SonicWall SonicOS APIへの横展開

レポートでは、GlobalProtectだけでなく、SonicWall製品に対する動きも報告されています。
12月3日、GreyNoiseの観測センサーはSonicWall SonicOSのAPIエンドポイントに対するスキャンが急増していることを確認しました。

ここでも鍵になっているのは「クライアントフィンガープリント」です。
SonicWall SonicOS APIに対するスキャンは、次の2つの活動と同じフィンガープリントを持っていました。

  • 12月2日の、3xK GmbHインフラからのGlobalProtectログイン試行スパイク

  • 9月末〜10月中旬に観測されていた、GlobalProtectポータルへの大規模なログイン/ブルートフォース試行

攻撃先のメーカーも、使われているインフラも異なる一方で、通信の持つ「指紋」は同じまま、という状況です。
このことから、レポートでは、GlobalProtectとSonicWallに対するこれらの動きを、同じツールセット、あるいは同じグループによる一連のキャンペーンとみなしています。


攻撃の特徴:同一フィンガープリント(指紋)を利用

今回のレポートで繰り返し強調されているのが、「クライアントフィンガープリント(client fingerprint)」という考え方です。
ここでいう指紋は、TLSハンドシェイクやHTTPヘッダの並び方、ユーザーエージェント、その他のプロトコル上の癖などを組み合わせて得られる識別子を指しており、GreyNoiseではこれをもとにトラフィックを特徴づけています。

IPアドレスやASNは、攻撃者がインフラを乗り換えれば簡単に変わってしまいます。
一方で、同じツールやライブラリ、同じスクリプトを使い続けていると、通信の持つ細かな特徴はなかなか変わりません。
今回もまさにこのパターンで、

  • 9月〜10月:複数のASからGlobalProtectを対象にした大規模ログイン試行

  • 11月:活動は減るものの、間欠的なセッションが続く

  • 12月2日:3xK GmbHのインフラに切り替えてGlobalProtectポータルに対するスパイク

  • 12月3日:SonicWall SonicOS APIを対象としたスキャン

という流れの中で、同じ3つのクライアントフィンガープリントが繰り返し登場しています。

インフラの観点だけで見ていると、「たまたま似たような攻撃が別々に起きた」ように見えてしまいますが、フィンガープリントまで含めて見ると、同じツールを使った一連の活動としてつながって見える、というのがポイントです。

参照

A Hidden Pattern Within Months of Credential-Based Attacks Against Palo Alto GlobalProtect