認証情報ベースのサイバー攻撃が急増

2025年12月中旬、Palo Alto Networksの「GlobalProtect」サービスおよびCiscoの「SSL VPN」を標的とした認証情報ベースの協調的なハッキングキャンペーンが急増しました。サイバーセキュリティ企業GreyNoiseの水曜日のブログ投稿によると、この脅威活動は既知の脆弱性を悪用するものではなく、2日間にわたる自動化されたスクリプトによるログイン試行を特徴としています。

Palo Alto Networks GlobalProtectへの集中攻撃

GreyNoiseの報告によれば、16時間にわたる期間で、Palo Alto NetworksのGlobalProtectおよびPAN-OSプロファイルに対して170万回以上のセッションが観測されました。特に12月11日には、10,000を超えるユニークなIPアドレスからGlobalProtectポータルへのログイン試行が検出されています。標的となったポータルは、主に米国、パキスタン、メキシコに集中していました。このトラフィックのほぼすべてがホスティングプロバイダーである3xK GmbHに関連するIPスペースから発信されており、攻撃活動が分散型エンドユーザーではなく、一元化されたクラウドホスト型インフラストラクチャを使用していることを示唆しています。

Cisco SSL VPNにも標的が拡大

12月12日には、CiscoのSSL VPNを標的とした日和見的なブルートフォースログイン試行が急増しました。攻撃に使用されたユニークなIPアドレスの数は、通常時の約200から1,273にまで増加しました。GreyNoiseは、この攻撃が特定の標的を狙ったものではなく、より日和見的な性質のものであると指摘しています。また、Ciscoへの攻撃は、Palo Alto Networksへの攻撃と共通のツールやインフラストラクチャを共有しているとされています。

攻撃の特性と企業の対応

Palo Alto Networksの広報担当者は、この脅威活動を認識しており、同社の環境を侵害したり、関連する脆弱性を悪用したりするものではなく、「自動化された認証情報プロービング」であると述べています。担当者はCybersecurity Diveに対し、「我々の調査により、これらは脆弱な認証情報を特定するためのスクリプト化された試行であることが確認されています」と語りました。

以前からの警告と継続する脅威

GreyNoiseは以前から、Palo Alto NetworksのGlobalProtectを標的としたスキャン活動について警告しており、11月には大規模な急増を報告していました。12月2日には7,000以上のIPがGlobalProtectを標的としたトラフィックの急増について、また12月3日にはSonicWall SonicOS APIエンドポイントを狙った同様の急増について警告を発していました。

元記事: https://www.cybersecuritydive.com/news/credential-based-hacking-palo-alto-networks/808269/