SonicWall ファイアウォールを標的とする攻撃:Akira ランサムウェアによるログイン試行を分析

Cybercriminals Target SonicWall Firewalls to Deploy Akira Ransomware via Malicious Login Attempts

2025/09/29 gbhackers — 侵害済の SonicWall SSL VPN 認証情報を悪用して、4時間以内に Akira を拡散させるという迅速な攻撃に、セキュリティ・チームは直面している。それは、同種の脅威として最短の滞留時間の記録である。この攻撃では、認証が成功 (多くはホスティング関連 ASN からの発信) した後の数分でポートスキャンが始まり、Impacket SMB ツールを悪用する探索が行われ、多様な環境に Akira が展開される。

このキャンペーンの標的は、複数セクターの大企業と中小企業に広がり、大規模攻撃であることが示唆されている。この攻撃に関連する、新たな悪意のインフラは 2025年9月20日時点でも継続的に観測されている。

SonicWall によると、2024年9月に公開された不適切なアクセス制御の脆弱性 CVE-2024-40766 が、それらの不正ログインで悪用されているという。

そして 2025年7月下旬に Arctic Wolf Labs が確認したのは、SSL VPN に対する不審なログイン試行の急増である。つまり、脆弱なデバイスから収集された認証情報は、パッチ適用後も有効であり、攻撃者は OTP (One-Time-Password) をバイパスして、多要素認証 (MFA) で保護されたアカウントにログインしていることになる。

2025年8月の SonicWall 通知で確認されたのは、ブルートフォース攻撃やオフライン取得により不正に入手された MFA シードが、正規ログインとして悪用され、アンバインドや設定改竄の痕跡を残さないことだ。

これらの初期アクセスにおける全ての経路は、想定されるブロードバンドや SD-WAN ではなく、仮想 VPS (Virtual Private Server) インフラの SSL VPN クライアント・ログイン経由であった。

Malicious SSL VPN login activity spaced out over consistent intervals.
Malicious SSL VPN login activity spaced out over consistent intervals.

複数のインシデントで確認されたのは、リモート VPN アクセスを意図していない、LDAP 同期アカウントでの認証の成功であり、脅威アクターは侵入の直後に、内部ネットワークの偵察段階へと移行したと示唆される。

Advanced IP Scanner/SoftPerfect Network Scanner などの正規ツールが、テンポラリ・ディレクトリから実行され、その後に RPC/NetBIOS/SMB/SQL ポートなどを標的とする、Impacket 形式の SMBv2 セッション確立がリクエストされた。

さらに、Active Directory の列挙では、ビルトイン・ユーティリティ (nltest、dsquery) /PowerShell コマンドレット (Get-ADUser/Get-ADComputer) などが悪用され、その結果として、ユーザー/コンピュータ/共有情報などが収集された。

The Get-EncryptionSalt PowerShell function retrieves the encryption salt from the file system.
The Get-EncryptionSalt PowerShell function retrieves the encryption salt from the file system.

多数のインシデントにおいて、この攻撃者は SQLCMD とカスタム PowerShell スクリプトを悪用した。それにより、Veeam Backup & Replication のデータベースからバックアップ認証情報を抽出し、MSSQL/PostgreSQL インスタンスを標的とした。

それにより得られた認証情報は、ローカル/ドメイン・アカウントの作成、リモートアクセス・ツール (AnyDesk/TeamViewer/RustDesk) の導入、SSH 逆トンネルや Cloudflare トンネルの確立による永続化に悪用された。

そして検知回避を試行する脅威アクターは、正規 RMM ソフトウェアの無効化/ボリューム・シャドウ・コピーのスナップショットの削除/レジストリ操作による UAC (User Account Control) の無効化などを達成していった。

BYOVD (Bring-Your-Own-Vulnerable-Driver) 手法では、Microsoft の “consent.exe” を再パッケージ化して悪意ある DLL をロードする攻撃者が、アラートを発生させることなく、カーネル ACL を操作して “MsMpEng.exe” などのセキュリティ・プロセスを無力化した。この DLL 内には、東ヨーロッパのロケールを除外するジオフェンシングが組み込まれており、標的型攻撃の意図が示唆される。

続いて攻撃者は、WinRAR により直近ファイルを 3 GB 単位でチャンク化し、rclone/FileZilla SFTP を経由して、攻撃者が管理する VPS サーバへ流出させた。その後に Akira 暗号化バイナリ (akira.exe/locker.exe/w.exe) が起動し、数時間のうちにドライブおよびネットワーク共有を暗号化した (最短では初期アクセスから 55 分で暗号化が開始された事例もある)。

推奨事項
  • 脆弱性 CVE-2024-40766 を持つファームウェアを使用したことのあるデバイスでは、OTP シードなどの全ての SSL VPN/LDAP 同期認証情報をリセットする。
  • ホスティング ASN や匿名化サービス経由の VPN ログインをブロックし、厳格に監視する。
  • Impacket 形式の SMBv2 セッション確立リクエストに対する、ネットワーク・ベースの検出機能を導入する。
  • テンポラリ・ディレクトリやユーザ書き込み可能ディレクトリからの実行を、アプリケーション制御により禁止する。
  • VPN 認証を SSO/SAML による集中管理型 ID プロバイダーへと移行し、認証情報の管理をファイアウォール機器から分離する。
  • MySonicWall クラウド・バックアップのインシデント修復状況を検証し、必要に応じて認証情報をリセットする。

早期検知が重要となる。異常な VPN ログインパターン/ホスティング ASN 発信元/予期せぬ SMB 検出などは、暗号化前に攻撃を阻止する絶好の機会となる。

このマルウェアは、IRP パケットを用いて MsMpEng.exe/SecurityHealthService.exe 等のセキュリティプロセスを識別し、カーネルレベルで Windows の ACL を悪用して検知を無効化していく。SysInternals DebugView の出力は、悪意のドライバのロードと ACL 改竄による、セキュリティ・プロセスの無効化を示している。

SysInternals DebugView output showing a malicious driver being loaded and ACL tampering to disable security processes.
SysInternals DebugView output showing a malicious driver being loaded and ACL tampering to disable security processes.

ユーザー組織にとって必要なことは、エッジデバイスの認証情報保護を最優先の事項と位置づけ、パッチの適用と並行して、認証情報のリセットと堅牢な監視を実施することだ。Arctic Wolf Labs は SonicWall およびセキュリティ・コミュニティと連携し、検知手法の改善と脅威の監視を継続している。

SonicWall SSL VPN の脆弱性 CVE-2024-40766 を起点に、認証情報が悪用され、Akira ランサムウェアが急速に拡散していった経緯が説明されています。その原因は、アクセス制御の不備と、そこから得られた認証情報が、パッチ後も利用可能だった点にあります。攻撃者は、不正ログインに成功した直後に、ネットワーク探索を行い、既存の管理ツールや Impacket を悪用して内部情報を収集しました。さらに認証情報の再利用や MFA の突破を通じて権限を拡大し、短時間で暗号化に至ったと、この記事は指摘しています。よろしければ、脆弱性 CVE-2024-40766 で検索も、ご利用ください。