Palo Alto の GlobalProtect VPN Portal に 230万件の不正ログイン・アクセス:狙いはブルートフォース攻撃?

Hackers Attacking Palo Alto Networks’ GlobalProtect VPN Portals with 2.3 Million Attacks

2025/11/20 CyberSecurityNews — 2025年11月14日以降において、Palo Alto Networks の GlobalProtect VPN ポータルに対して、230 万件以上の悪意のセッションが仕掛けられていると、脅威インテリジェンス企業 GreyNoise が公表した。この攻撃は 24 時間以内に 40 倍に急増し、過去 90日間で最も活発な活動レベルを記録したという。このインシデントが浮き彫りにするのは、世界中のリモート・アクセス・システムに対するリスクの増大である。

これらの攻撃は、Palo Alto PAN-OS および GlobalProtect プラットフォーム上の URI “/global-protect/login.esp” を主標的としており、企業ネットワークを不正アクセスにさらす可能性のあるブルートフォース・ログインを狙うものだ。

GreyNoise の研究者たちが指摘するのは、11月中旬から攻撃が急増し、活動がピークに達していることだ。ユーザー組織が安全なリモート・ワークのために、これらの VPN に大きく依存していることから、このキャンペーンはデータ漏洩の脅威となるだけでなく、広く使用されているネットワーク・セキュリティ・ツールに潜む脆弱性の怖さを浮き彫りにしている。

急増は組織的な脅威アクターに関連

今回の Palo Alto への攻撃と、以前の悪意のキャンペーンとの間に強い関連性を発見した GreyNoise は、高い確度で重複する脅威アクターによるものだと結論付けている。

主な指標として挙げられるのは、複数のインシデントにおける一貫した TCP および JA4t フィンガープリント/繰り返し使用される Autonomous System Numbers (ASN) 共通インフラ/活動急増の同期タイミングなどである。

これらのパターンが示唆するのは、国家に支援される脅威アクターや洗練されたサイバー犯罪による活動が、企業の防御における脆弱性を探る上で、実績のある戦術を繰り返し用いている状況だ。

攻撃の背後にあるインフラは極めて集中化されており、セッションの 62 % はドイツ企業である AS200373 (3xK Tech GmbH) から発信され、このキャンペーンのバックボーンを形成している。

さらに、15 % は同じ ASN に由来するが、カナダのクラスターを経由していることから、検出を回避するための分散ホスティングが実施されていることが示唆される。二次的な攻撃は AS208885 (Noyobzoda Faridduni Saidilhom) から発生しており、大陸をまたぐ協調的な活動拠点の存在を裏付けている。

標的に関して地理的に集中しており、米国/メキシコ/パキスタンで、ほぼ同数のログイン・プローブが生じている。この分布の背景としては、攻撃者にとって価値の高い地域が優先されているという説と、さまざまなソースから窃取した認証情報リストが活用されているという説がある。

GreyNoise は、防御的なハンティングのために、観測された全アクティビティをカバーする2つの JA4t フィンガープリント (65495_2-4-8-1-3_65495_7/33280_2-4-8-1-3_65495_7) を強調している。

Indicator TypeValue
ASN (Primary)AS200373 (3xK Tech GmbH)
ASN (Secondary)AS208885 (Noyobzoda Faridduni Saidilhom)
JA4t Fingerprint 165495_2-4-8-1-3_65495_7
JA4t Fingerprint 233280_2-4-8-1-3_65495_7
Target URI/global-protect/login.esp

このインシデントは、GreyNoise が観測した過去のパターンと一致している。たとえば、Fortinet VPN ブルートフォース攻撃の急増は、脆弱性の開示に対して6週間ほど先行することが多い。この傾向は、2025年7月の数週間にわたり観測された。

2025年の4月と10月にも、Palo Alto のポータルで同様のアクセスが急増して勧告が出されたが、その後の、Cisco と Fortinet のデバイスに対する、より広範な攻撃キャンペーンへとつながった。

ユーザー組織にとって必要なことは、GlobalProtect ポータルの監査により、これらの兆候を監視することで、潜在的なエクスプロイトを未然に防ぐことである。

依然としてリモート・アクセスは、ランサムウェアやスパイ活動の主要な攻撃経路である。脅威の高度化が進む中で生じた、この 230 万件の攻撃の波が示唆するのは、企業における VPN コンフィグレーション強化の必要性である。

Palo Alto の GlobalProtect を狙う大量のログイン試行が、短時間に異常なペースで膨れ上がったことが報じられています。その根本には、VPN のログイン部分がブルートフォース攻撃の入り口として狙われやすい構造があります。また、特定の ASN からの大量アクセスが継続して観測されたことで、攻撃の組織性が示唆されています。リモート接続が企業の前提になっている中で、その境界が狙われると影響が大きくなると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Palo Alto での検索結果も、ご参照ください。