AkiraランサムウェアがSonicWall VPNを標的に　ゼロデイ使われた可能性

8月2日〜4日：サイバーセキュリティ関連ニュース

AkiraランサムウェアがSonicWall VPNを標的に：完全にパッチ済みのデバイスも被害でゼロデイの可能性

The Hacker News – Aug 02, 2025

SonicWallのファイアウォールデバイスが、Akiraランサムウェアによる攻撃のターゲットになっているとArctic Wolfが報告。2025年7月後半に攻撃活動の増加を観測した同社によると、SonicWallのSSL VPNを通じたVPNアクセスを伴うこれらの攻撃では、何らかのゼロデイ脆弱性が使われた可能性があるという。

SonicWall SSL VPNを経由した攻撃の急増が初めて観測されたのは、2025年7月15日。ただ、Arctic Wolfは2024年10月にも同様の悪意あるVPNログインを観測していたことから、これらの攻撃はSonicWallデバイスを狙った長期的なキャンペーンである可能性も浮上している。

Arctic Wolfによれば、初期アクセス経路はブルートフォース攻撃や辞書攻撃、クレデンシャルスタッフなどを通じた認証情報によるアクセスだった可能性も捨てきれないものの、分析の結果得られた証拠は、何らかのゼロデイ脆弱性が存在している可能性を指し示しているという。いくつかの事例ではパッチが完全に施されたSonicWallデバイスが認証情報のローテーション後に攻撃を受けていたほか、MFA（時間ベースのワンタイムパスワードを用いるもの）が有効化されていてもアカウントが侵害されたケースもあったとされる。

ゼロデイが存在する可能性を考慮し、組織にはパッチが入手可能になるまでSonicWallのSSL VPNサービスの無効化を検討することが推奨されている。また、リモートアクセスに対して多要素認証（MFA）を強制することや、ファイアウォールの使用されていないローカルユーザーアカウントを削除すること、またパスワードハイジーンに従うことなどがベストプラクティスに含まれるとされる。

ロシアのサイバースパイ、AitM攻撃で在モスクワ外国大使館を標的に：マイクロソフトが報告

SecurityWeek – August 1, 2025

ロシアのハッカーグループが、モスクワ在住の外交関係者が所有するデバイスへマルウェアを展開するため中間者攻撃（AitM攻撃）を実施しているのをマイクロソフトが観測。この攻撃は遅くとも2024年に開始されており、ロシアのAPTアクターSecret Blizzardと関連づけられるカスタムマルウェアファミリー「ApolloShadow」がデプロイされているという。

Krypton、Snake、Turla、Uroburos、Venomous Bear、Waterbugの呼称でも知られるSecret Blizzardは遅くとも2006年から活動しており、ロシア連邦保安庁（FSB）の代理でサイバースパイオペレーションを実施することで知られるグループ。これまでにも、政府、外交、軍事セクターの組織を主に標的にしてきた。

マイクロソフトは過去のブログ記事で同グループがロシア国内の通信傍受システム（SORMなど）を利用している可能性が高いと伝えていたが、今回新たに報告された攻撃でもSecret Blizzardはこのようなシステムを活用し、インターネットサービスプロバイダー（ISP）内にAitM攻撃を実施するためのポジションを確立した可能性が高いという。

在モスクワの外国大使館を狙ったこれらの攻撃において、同アクターはターゲットのデバイスをキャプティブポータル（ユーザー認証などの条件が達成されるまでの間ネットワーク接続を制限する正規の仕組み）の背後へリダイレクト。ここでシステムによりWindowsの正規機能であるネットワーク接続ステータス インジケーター（NCSI）によるネットワーク接続テストが開始されたのち、ターゲットはアクターが制御するドメインにリダイレクトされる。リダイレクト先のサイトでは証明書エラーが表示され、ターゲットにApolloShadowマルウェアのダウンロードと実行、およびカスペルスキーのものに見せかけた偽のroot証明書のインストールを促すという。この偽証明書は、ターゲットデバイス上で特権を昇格させる役割を持つ。

ApolloShadowマルウェアは低い権限で実行された場合、ユーザー アカウント制御（UAC）をバイパスしてユーザーを騙し、利用可能な最も高い権限を付与するよう仕向ける。一方で昇格済みの権限で実行された場合には、設定を変更してすべてのネットワークをプライベートにするほか、当該デバイスを検索可能な状態にし、ファイアウォールルールを緩和してファイル共有が可能な上他にするという。さらにApolloShadowはWindowsのcertutilユーティリティを使って2つのroot証明書をインストールするほか、すべての一時ファイルを削除し、Firefoxへプリファレンスファイルを追加してこれらの証明書が確実に信頼されるようにしたのち、「UpdatusUser」という名前の管理者ユーザーアカウントを作成。これには、有効期限のないハードコードされたパスワードが設定される。

マイクロソフトは、ロシア現地のISPや通信サービスを使用しているすべての外交関係者がSecret Blizzardの同キャンペーンで標的にされる可能性が高いと警告。このため、同社の顧客、特にモスクワで事業を行う組織に対しては、暗号化されたトンネルまたは信頼されたVPNサービスを介してトラフィックをルーティングすることが推奨されている。また、感染リスクを緩和するため、最小権限の原則の適用やMFAの実装、特権アカウントによるアクティビティの精査、管理者アカウントの定期的なレビュー、適切なサイバーセキュリティ対策の確実な実施、またスクリプトや実行ファイルのブロックなどの対策も求められるとのこと。

【無料配布中！】地政学情勢×サイバー動向の解説レポート

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。

目次

• 序論
• ハクティビズム
  • ハクティビズムの変遷
  • 戦争におけるハクティビズム
  • 「選挙イヤー」におけるハクティビズム
  • 絡み合う動機
  • 国家の支援を受けたハッカー集団
• 偽情報
  • 国家間対立
  • 偽情報とロシア・ウクライナ戦争
  • 偽情報とイスラエル・ハマス戦争
  • 偽情報と選挙が世界にあふれた2024年
• 国家型APTの活動
  • 中国
  • ロシア
  • 北朝鮮
  • イラン
• マルチチャネルインテリジェンスの運用化における課題と関連リスク