Akiraランサムウェア、MFAで保護されたSonicWall VPNアカウントをも侵害

佐々山 Tacos

2025.09.29

Akiraランサムウェア、MFAで保護されたSonicWall VPNアカウントをも侵害

BleepingComputer – September 28, 2025

AkiraランサムウェアによるSonicWall SSL VPNデバイスを狙った攻撃が引き続き行われる中、ワンタイムパスワード（OTP）ベースの多要素認証（MFA）が設定されている場合でも、同ランサムウェアは認証を成功させていることが明らかに。Arctic Wolfが9月26日公開のブログ記事の中で警告した。

SonicWall SSL VPNデバイスといえば、2025年7月にAkiraランサムウェアオペレーションの標的となっている旨が報じられ、この攻撃に未知の新たなゼロデイが使われているのではないかという疑惑が生じた。その後8月にSonicWallが明らかにした調査結果により、これらの侵入に使われたのはゼロデイではなく2024年9月に開示された不適切なアクセス制御の脆弱性CVE-2024-40766であったことがわかっている。

デイリーサイバーアラート

Silobreaker-CyberAlert

ランサムウェア

SonicWall、最近の攻撃にゼロデイは関与していないと報告

佐々山 Tacos

2025.08.08

Silobreaker-CyberAlert

ランサムウェア

今回のArctic Wolfの新たなレポートによれば、SonicWall製ファイアウォールを狙った攻撃キャンペーンは今なお続いており、OTPベースのMFAが有効化されている場合でも、Akiraはアカウントへの不正ログインを成功させているという。これが可能となった理由は正確には不明だが、Akiraのアフィリエイトがそれ以前にすでに盗まれていたOTPシードを使った説と、有効なトークンを生成するその他の手法を発見した説が提唱されている。

第1の説に関してArctic Wolfが言及したのが、Google Threat Intelligence Group（GTIG）が7月に公開した別のレポート。この中でGTIGは同様のSonicWall VPNの悪用について報告しており、過去にOTPシードを窃取されていたと思しきSMA 100シリーズのアプライアンス上に、金銭的動機を持つグループUNC6148がルートキット「OVERSTEP」を展開していたことが伝えられている。

GTIGは、UNC6148が事前にゼロデイ攻撃で窃取された盗難OTPシードを利用しているとの考えを示したが、どのCVEが悪用されたかまでは突き止められていないと語った。また攻撃者はセキュリティアップデートが適用された後のデバイスへの不正アクセスも成功させており、GTIGはこれについて、「UNC6148がそれ以前の侵入時にすでに盗まれていた認証情報とワンタイムパスワード（OTP）シードを利用しているのであろう」と「高い確度」で評価しているという。

Arctic Wolfによれば、侵入を成功させた後のAkiraの動きは非常にすばやく、多くの場合5分以内に内部ネットワークのスキャンを実施。Impacket SMBセッションセットアップリクエストやRDPログインを採用し、dsqueryやSharpShares、BloodHoundといったツールを使ってActive Directoryオブジェクトの列挙を行うという。また、Veeam Backup & Replicationのサーバーが狙われ、MSSQLおよびPostgreSQLの認証情報の抽出が試みられるケースもいくつかあったことや、マイクロソフトの正規実行ファイルconsent.exeの悪用を伴うBYOVD攻撃でエンドポイント保護プロセスが無効化されていることなどもわかっている。

SonicOS 7.3.0や8.0.2といった最新版を使用するデバイスも影響を受けた例があることから、管理者には過去に脆弱なファームウェアを使用したことのあるデバイス上のVPN認証情報を、たとえその後アップデート済みだとしてもすべてリセットすることが強く推奨されている。