SonicWall 管理 API を標的とする大規模スキャン活動:約 60万件のセッションを観測

Hackers Actively Scan SonicWall Firewall Interfaces as 597,000 Sessions Observed

2026/05/25 gbhackers — SonicWall のファイアウォール管理インターフェイスを標的とする、インターネット上でのスキャン活動が急増し、サイバー・セキュリティ研究者の間で懸念が高まっている。GreyNoise によると、一日の間に約 597,000 件のスキャン・セッションが記録されている。 2026年5月12日に観測された急増は、通常の日次ベースラインの約 46倍に達し、過去 90日間で最大規模のボリュームとなっている。GreyNoise のテレメトリ・データによると、この活動は 5月9日から 5月18日にかけて発生し、SonicWall SonicOS 管理 API を集中的に標的としていた。 

このパターンと類似する、今年の初めに観測されたスキャン波は、その後に公開された深刻な脆弱性 CVE-2026-0400 に先行するものであった。この相関関係は決定的なものではないと、研究者たちは注意を促しているが、そのタイミングと挙動が示唆するのは、未公開の脆弱性を狙った偵察活動の可能性である。

Single-day session volume on the SonicWall SonicOS API Scanner tag (Source: GreyNoise)
Single-day session volume on the SonicWall SonicOS API Scanner tag (Source: GreyNoise)
SonicWall ファイアウォール・インターフェイスに対するスキャン活動

トラフィック分析により判明した、高度に統一された自動化スキャン手法の特徴は以下の通りである。

  • リクエストの約 99% が単一の User-Agent 文字列 (Linux x86_64 版の Chrome 119) を使用しており、過去のキャンペーンで観測されたツールと一致している。
  • セッションの約 56% はオランダのネットワークから発信され、44% はウクライナから発信されている。
  • 観測された活動の約半数は、単一の自律システム AS211736 によるものである。
  • 標的の大半は、ポート 80/8080 上の HTTP サービスである。
  • 関与した送信元 IP アドレスの大部分は、GreyNoise により “不審” と分類されている。

このような均一性が示すのは、中央集約型のスキャン・インフラが使用されている可能性である。組織化された脅威アクターや攻撃グループによる、攻撃準備としての活動の可能性が高い。

前述のとおり、GreyNoise は 2026年初頭にも同様のスキャン急増を確認していた。1月18日/1月30日/2月14日に観測された活動は、2月24日に公開された CVE-2026-0400 に対するものであり、それぞれが 37日/25日/10日前に発生していた。

このパターンは、スキャン急増が、早期警告シグナルとなり得ることを示唆している。その一方で研究者たちは、脆弱性の公開を確実に示す指標として解釈すべきではないと強調している。つまり、今回の急増についても、単発のインシデントや継続的な活動の一部としての、無関係なバックグラウンド活動である可能性がある。

対策と推奨事項

SonicWall デバイスを使用する組織とセキュリティ・チームに対して、以下の予防的対策が推奨される。

  • SonicOS 管理インターフェイスと SSL VPN ポータルへのアクセスを、信頼済み IP 範囲のみに制限する。
  • すべてのリモート・アクセス・アカウントに対して多要素認証 (MFA) を適用する。
  • 2026年5月1日以降に作成された不正な管理者アカウントの有無と設定を確認する。
  • ネットワーク境界で不審なトラフィックをフィルタリングするための、動的 IP ブロックリストを導入する。

今後の数週間にわたり、各組織にとって必要なことは、SonicWall の PSIRT アドバイザリを継続的に監視し、新たな脆弱性が公開された際に迅速にパッチを適用するための体制の整備である。それに加えて、侵害検知を目的として、ログ記録の強化およびアウトバウンド・トラフィック監視も推奨される。

今回の急増は、大規模スキャン活動が新たな脅威の早期兆候となり得ることを示しており、継続的な監視と迅速な対応体制の必要性を改めて強調している。

訳者後書:今回のスキャン急増は、SonicWall デバイスの管理 API を狙う、組織的な偵察活動が主な原因と考えられています。 攻撃者は中央集約型のインフラを使い、特定の User-Agent を用いて自動化された手法でアクセスを繰り返しています。このような動きは、過去の脆弱性 CVE-2026-0400 が公開される直前にも見られました。 そのため、今回においても、未公開の脆弱性を悪用するための準備段階である可能性が指摘されています。ご利用のチームは、ご注意ください。よろしければ、SonicWall での検索結果も、ご参照ください。