概要
2025年7月から8月にかけて、パッチが適用されていないSonicWall SSL VPNデバイスを悪用したAkiraランサムウェア攻撃が大幅に増加しました。パッチがリリースされたにもかかわらず、多くの組織が脆弱なままであり、攻撃者は初期アクセスを獲得し、Akiraの二重恐喝スキームを展開しました。
攻撃の詳細
2025年8月20日、Darktraceは米国の顧客ネットワークで異常なネットワークスキャンと偵察活動を検知しました。当初はゼロデイ攻撃の可能性が疑われましたが、SonicWallは後に、すべてのインシデントが2024年8月23日に開示された不適切なアクセス制御の脆弱性であるCVE-2024-40766の悪用によるものであると確認しました。
偵察活動には、内部のSonicWall SSL VPNサーバーに対するAdvanced IP Scannerによる繰り返し検索が含まれ、その後、ラテラルムーブメントとデータ窃取が発生しました。攻撃の足がかりは、SonicOS 7.0.1.5035を実行している仮想プライベートネットワークアプライアンスであり、CVE-2024-40766の悪用が確認されました。Akiraは、製造業、教育、医療など、複数の分野の組織を標的にしていることで知られています。
以前に盗まれた認証情報とVirtual Office Portalの誤設定を利用して、攻撃者は多要素認証をバイパスし、権限を昇格させました。Darktraceの封じ込め措置がさらなる被害を阻止する前に、約2GiBの機密データが窃取されました。
技術的分析
CVE-2024-40766は、管理エンドポイントへの不正アクセスを許可し、SSL VPN設定のリモート制御を可能にする脆弱性です。アクセス後、攻撃者はAkiraのWindowsおよびLinux亜種を投下しました。Windowsビルドはファイルシステムを暗号化し、ESXi亜種はハイパーバイザーのファイルストアを標的にし、クラウドインフラ全体での迅速な暗号化を可能にします。
侵入後、攻撃者はWinRMとRDPを使用してラテラルムーブメントを行い、Kerberos PKINITとU2U認証(「UnPAC the hash」)を介してNTLMハッシュを抽出し、有効な管理ツールを使用してランサムウェアバイナリを展開しました。C2(コマンド&コントロール)通信には、一時的なクラウドホスティングサービス(例:temp[.]sh)や、珍しいIPアドレスからの直接ダウンロードが利用されました。
対策
このキャンペーンは、タイムリーなパッチ適用と堅牢な設定管理の重要性を強調しています。CVE-2024-40766は開示から1年以上経過しても悪用可能であり、攻撃者がパッチ未適用のシステムを継続的にスキャンしていることを示しています。Virtual Office Portalの誤設定は、パッチが適用されたデバイスでも初期アクセスを可能にし、認証情報の衛生管理と定期的な設定監査の必要性を浮き彫りにしています。
ランサムウェア攻撃者は現在、WinRM、RDP、Kerberosなどの正規の管理プロトコルを利用して、悪意のある活動を通常のトラフィックに紛れ込ませる傾向があります。ここで悪用された「UnPAC the hash」技術は、証明書ベースのKerberos認証がラテラルムーブメントのためにNTLMハッシュを抽出するために悪用される方法を示しています。
異常なKerberos PKINITリクエスト、DCE-RPCコール、および異常な外部データ転送の監視が不可欠です。防御側は、多層防御のアプローチを採用すべきです。
- すべてのVPNポータルで最小権限アクセスと多要素認証を強制する。
- ネットワークセグメンテーションを展開してラテラルムーブメントを制限する。
- 珍しい外部エンドポイントと異常な管理ツール使用を監視およびブロックする。
- 偵察、認証情報の悪用、データ窃取をまとまったインシデントとして関連付けるためにAI駆動型検出を活用する。
Darktraceの自律的対応が示したように、迅速なトリアージと封じ込めは、影響を大幅に軽減できます。マネージド検出および対応サービスを購読している組織は、高精度のアラート、迅速な調査、即時緩和の恩恵を受け、Akiraの二重恐喝戦術の範囲を抑制できます。パッチ適用後も継続的な警戒が、レガシーな脆弱性を悪用する進化するランサムウェアの脅威を阻止するために最も重要です。