SonicWall VPNにゼロデイ攻撃、Akiraランサムウェアが数時間以内に展開 ― MFAを回避してドメイン支配も

セキュリティニュース

投稿日時: 更新日時:

SonicWall VPNにゼロデイ攻撃、Akiraランサムウェアが数時間以内に展開 ― MFAを回避してドメイン支配も

セキュリティ企業 Huntress は、SonicWall製VPNアプライアンスに対するゼロデイ攻撃が進行中であるとして緊急のセキュリティアドバイザリを公開しました。この脆弱性は、MFA(多要素認証)を無効化して突破し、侵入から数時間以内にAkiraランサムウェアを展開するという極めて深刻なものです。

攻撃の概要

2025年7月25日以降、HuntressのSOC(セキュリティオペレーションセンター)では、SonicWall第7世代ファイアウォール(TZおよびNSaシリーズ)に対する複数のインシデントに対応しており、ファームウェアバージョン7.2.0-7015以前が対象とされています。

これらの攻撃はArctic Wolf、Sophosなど他のセキュリティ企業でも確認されており、脆弱性の存在がほぼ確実視されています。

攻撃の手口:SonicWall VPNから社内ネットワーク深部へ ― 現場で再現される侵入シナリオ

今回のSonicWall VPNを標的とした攻撃は、極めて明確な意図と段取りをもって実行されており、実際の運用環境を深く理解している攻撃者によるものと考えられます。以下では、攻撃の流れを現場視点で順を追って解説します。

VPN機器のゼロデイ脆弱性を突いた初期侵入

攻撃者はまず、SonicWallのSSL-VPN機能に存在する未公表の脆弱性(ゼロデイ)を悪用して、インターネット越しにVPN機器にアクセス。MFA(多要素認証)が有効な環境でも突破されていることから、認証処理そのものを回避する手法が使われた可能性があります。

この段階で、外部から社内ネットワークへ直接足を踏み入れられるようになります。

過剰権限アカウントの悪用によるドメイン管理者権限の取得

SonicWallとAD連携しているLDAPアカウント(例:sonicwallLDAPAdmin)が、Domain Admin 相当の過剰な権限を保有していた事例が複数報告されています。これらの資格情報を利用して、攻撃者は即座にActive Directoryの支配権を奪取します。

また、これらのアカウントはサービスアカウントとして監視が緩く、通知やログにも現れにくい点が狙われた可能性があります。

永続化のためのバックドア構築

一度侵入を果たすと、攻撃者は以下のような方法で「再侵入しやすい環境」を整えます。

  • Cloudflaredトンネルの設置:クラウドフレアの通信を利用した外部C2(コマンド&コントロール)通信チャネルを構築。

  • OpenSSH や AnyDesk の導入:リモートアクセスツールを ProgramData 内に静かに設置。

  • 新規管理者アカウントの作成net user コマンドでユーザーを作成し、Administrators グループに追加。

これにより、仮にファイアウォールを修正したとしても、内部から通信可能なバックドアが常に開いた状態になります。

ネットワーク内の横展開(ラテラルムーブメント)

侵入後、攻撃者は以下のツールや手法を用いてネットワーク内を探索・侵入拡大します。

  • PowerShell RemotingやWMIを使ったリモート実行

  • Advanced IP Scannernltest.exeなどによるドメイン内ホストの列挙

  • VeeamのバックアップDBからの資格情報ダンプ

  • Active Directoryデータベース(NTDS.dit)のコピーと持ち出し

攻撃者はこれらの手法を用い、サーバーや重要システムへのログイン情報を収集し、侵入経路を増やしていきます。

セキュリティ機能の無効化と証拠隠滅

次に、Defenderやファイアウォールといった検知・防御機能を無効化します。

  • Set-MpPreference を用いた Microsoft Defender のリアルタイム保護の無効化

  • netsh によるファイアウォールルールの緩和

  • イベントログの削除(wevtutil cl など)

この工程は、侵入の痕跡を消し、ランサムウェアを展開しやすくするための下準備です。

Akiraランサムウェアの展開と破壊的動作

最終段階として、攻撃者は以下の手順でランサムウェア(Akira)を実行します。

  • シャドウコピーの削除(vssadmin delete shadows
    ⇒ バックアップからの復元を妨害

  • w.exe または win.exe によるランサムウェア起動
    ⇒ ファイル暗号化と脅迫メッセージの表示

この一連の動作は、全体で数時間以内に完了しているケースが多く、非常に迅速かつ組織的です。

対応の推奨事項

Huntressおよび業界関係者は、即時の対応を強く推奨しています。

SonicWall SSL VPNの無効化

最も効果的な防御策です。可能な限りVPN機能を停止してください。

IP制限の導入

業務上VPNが不可欠な場合は、信頼できるIPアドレスのみに接続を許可してください。

サービスアカウントの権限確認

SonicWallやLDAP用のアカウントがDomain Admin権限を持っていないか確認し、最小権限原則を徹底しましょう。

IOC(侵害の痕跡)の確認

以下のファイルやIPアドレス、コマンド履歴などをもとに侵害の有無を確認してください。

一部の重要なIOC例:

タイプ 内容
攻撃元IP 42.252.99[.]59, 77.247.126[.]239 など
マルウェア w.exe, win.exe, cloudflared.exe
改ざん操作 net user backupSQL Password123$ /addvssadmin delete shadows /all
RMMツール AnyDesk, OpenSSH など

参照

https://www.huntress.com/blog/exploitation-of-sonicwall-vpn