はじめに
セキュリティ情報企業GreyNoiseの報告によると、Palo Alto NetworksのGlobalProtect VPNログインポータルに対する悪意のあるスキャン活動が24時間で40倍に急増し、過去90日間で最高レベルに達しました。この活動は2025年11月14日に始まり、急速に激化しています。
スキャン活動の概要
GreyNoiseは、GlobalProtectポータルを標的とした悪意ある活動の著しい増加を確認しました。11月14日から19日の間に、実に230万回ものセッションがPalo Alto PAN-OSおよびGlobalProtectの/global-protect/login.esp URIにアクセスしました。このURIは、VPNユーザーが認証を行うWebエンドポイントに対応しています。
このスキャン活動は、過去の関連キャンペーンと高い確信度で関連しているとGreyNoiseは指摘しています。その根拠として、以下の点が挙げられます。
- Recurring TCP/JA4t fingerprints (繰り返されるTCP/JA4tフィンガープリント)
- Reuse of the same ASNs (同じASNs(自律システム番号)の再利用)
- Aligned timing of activity spikes across campaigns (キャンペーン全体での活動スパイクのタイミングの一致)
この攻撃で主に利用されているASNはAS200373 (3xK Tech GmbH)であり、IPアドレスの62%がドイツ、15%がカナダに地理的に位置しています。また、AS208885 (Noyobzoda Faridduni Saidilhom)も活動に関与しています。
ログイン試行は主に米国、メキシコ、パキスタンを標的としており、これらの国々で同程度のボリュームが観測されています。
潜在的なセキュリティリスク
GreyNoiseは、これらのスキャン活動を単なる失敗したエクスプロイトの試みとして無視するのではなく、悪意のあるプローブとして積極的に追跡しブロックすることの重要性を以前から強調しています。同社の統計によると、このようなスキャン活動の急増は、80%のケースで新たなセキュリティ脆弱性の開示に先行する傾向があり、Palo Alto Networks製品に関してはさらにその相関性が高いとされています。
2025年には、Palo Alto Networksに関連する悪意のある活動がいくつか報告されています。
- 2月には、CVE-2025-0108が悪用され、後にCVE-2025-0111およびCVE-2024-9474と連鎖される事態が発生しました。
- 9月には、ShinyHuntersのSalesloft Driftキャンペーンの一環として、顧客データとサポートケースが流出したデータ侵害がPalo Alto Networksから開示されました。
結論
今回のGlobalProtect VPNポータルへの大規模なスキャン活動は、組織にとってPalo Alto Networks製品のセキュリティ対策を再確認し、最新の脅威情報に基づいた迅速な対応が不可欠であることを示唆しています。