はじめに

セキュリティ研究機関GreyNoiseは、Palo Alto NetworksのGlobalProtect VPNシステムを標的としたサイバー攻撃が急増していることを明らかにしました。この攻撃は2025年11月14日に始まり、世界中の数百万のログインポータルを標的とした大規模な協調攻撃へと急速にエスカレートしています。

攻撃の規模と影響

攻撃の強度はわずか1日で40倍に急増し、過去90日間で最高の活動レベルを記録しました。11月中旬以降、脅威アクターはPalo Alto PAN-OSおよびGlobalProtectシステム上の「/global-protect/login. ESP」URIを標的として、約230万件の悪意のあるセッションを開始しています。この前例のない攻撃量は、世界の企業セキュリティインフラにとって深刻な脅威であることを示しています。

攻撃者の特定と起源

GreyNoiseの研究者たちは、今回の攻撃キャンペーンが同一の脅威アクターまたはグループによって実行されたと高い確信を持って評価しています。全ての悪意のあるトラフィックから一貫したTCP/JA4tシグネチャが検出されており、複数の技術的指標が協調的な活動を示しています。また、攻撃者は特定の自律システム（ASN）を多用しており、過去の関連キャンペーンと一致する時間的パターンを示していることから、持続的かつ組織的な運用が示唆されます。キャンペーンのインフラは少数の主要な場所に集中しており、悪意のあるセッションの約62%がドイツに地理的に位置するAS200373（3xK Tech GmbH）から発信されています。これは攻撃の主要な推進力となっており、同じASNからのトラフィックのさらに15%はカナダからのものであることが判明しており、攻撃者が分散型ホスティングインフラを使用している可能性が示唆されます。二次的なトラフィックはAS208885（Noyobzoda Faridduni Saidilhom）から発生しており、一貫性はあるものの、全体の寄与度は小さいです。

ターゲットと潜在的リスク

攻撃者は広範囲な地理的ターゲットを設定しており、各国がほぼ同等の攻撃量を受けています。主な標的国として米国、メキシコ、パキスタンが浮上しており、これは無差別なスキャンか、複数の地域および産業にわたる戦略的ターゲット設定のいずれかを示唆しています。注目すべきは、GreyNoiseの研究によって特定された懸念すべき歴史的パターンです。Fortinet VPNシステムに対するブルートフォース攻撃の急増は、通常、実際の脆弱性開示の約6週間前に発生しています。今回のPalo Altoシステムに対する攻撃の急増も、数週間以内に脆弱性が悪用される可能性を示唆しているため、セキュリティチームは警戒を続ける必要があります。

元記事: https://gbhackers.com/hackers-launch-attacks-on-palo-alto-globalprotect-vpn-portals/