Nearly 24,000 IPs Target PAN-OS GlobalProtect in Coordinated Login Scan Campaign
2025/04/01 TheHackerNews — Palo Alto Networks PAN-OS GlobalProtect Gateway を標的とする、不審なログイン・スキャン活動が急増しており、それらのポータルに対して、約 24,000 の固有 IP アドレスからのアクセス試行が検出されていると、サイバー・セキュリティ研究者たちが警告している。 脅威インテリジェンス企業である GreyNoise は、「このパターンが示唆するのは、ネットワーク防御を調査し、露出しているシステムや脆弱なシステムを特定するための、協調的な取り組みである。したがって、標的型攻撃の前兆となる可能性がある」と述べている。
2025年3月17日に始まったアクセス試行は、1日あたり約 20,000 の固有 IP アドレスを維持した後に、3月26日に減少したとされる。そのピーク時には、23,958 の固有 IP アドレスが、悪意の活動に参加したと推定されている。これらのうち、悪意の IP アドレスとしてフラグが付けられたのは、わずか 154 の IP アドレスのサブセットのみである。
一連のトラフィックの主な発生源は米国とカナダであり、それに続くのがフィンランド/オランダ/ロシアである。この活動は、主として米国/英国/アイルランド/ロシア/シンガポールのシステムを標的にしていた。
現時点において、この活動の目的は明らかではないが、ネットワーク防御をテストするための、体系的なアプローチが示唆されている。したがって、今後の悪用につながる可能性もある。
GreyNoise の VP of Data Science である Bob Rudis は、「これまでの 18ヶ月 ~ 24ヶ月にわたって、意図的に古い脆弱性を狙い、また、使い古された特定のテクノロジーに対する偵察/攻撃を試みるという、一貫したパターンが見られた。こうしたパターンが発生した、2週間 ~ 4週間後に、新たな脆弱性が出現することが多い」と述べている。
この異常な活動を考慮すると、インターネットに面した Palo Alto Networks インスタンスを持つ組織にとって不可欠なことは、ログイン・ポータルを保護するための措置を講じることだ。
The Hacker News は、Palo Alto Networks にコメントを求めている。返答があれば、この記事を更新する。
攻撃元が世界中に広がっていることからも、サイバー攻撃のグローバル化が加速しているのがよく分かります。Palo Alto 製品のユーザーに限らず、管理インターフェースへのアクセス制限やネットワーク監視の強化など、あらゆる組織が広範な脅威に備える姿勢が求められていると感じます。よろしければ、Palo Alto で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.