概要
最近、
VPNサービスであるPalo Alto GlobalProtectポータルを狙った新たなログイン試行の波が観測されており、同時にSonicWall SonicOS APIエンドポイントに対するスキャン活動も確認されています。この活動は2025年12月2日から開始され、ドイツのIT企業3xK GmbHが運営するインフラストラクチャからの7,000以上のIPアドレスが起点となっています。
攻撃の詳細
当初、攻撃者はGlobalProtectポータルに対してブルートフォース攻撃やログイン試行を行っていました。その後、標的をSonicWall APIエンドポイントのスキャンへと切り替えています。
脅威インテリジェンス企業であるGreyNoiseの報告によると、この活動は同社のセンサーネットワークでパッシブキャプチャされた2つのプロファイルで観測されました。攻撃には、以前9月下旬から10月中旬にかけて観測されたスキャン試行で使用された3つのクライアントフィンガープリントが用いられています。この過去の活動では、GlobalProtectポータルを主に標的とし、900万を超えるHTTPセッションが生成されていました。
さらに、GreyNoiseは11月中旬にも3xK Tech GmbHのインフラストラクチャからGlobalProtect VPNポータルを調査する活動を観測しており、230万件のスキャンセッションを記録しています。これらのIPアドレスの62%はドイツに位置し、同じTCP/JA4tフィンガープリントが使用されていました。GreyNoiseは、これらの活動が同一の攻撃者によるものであると確信しています。
12月3日には、これらと同じ3つのフィンガープリントがSonicWall SonicOS APIを標的としたスキャン活動でも確認されました。
標的となったシステム
- Palo Alto GlobalProtect: Palo Alto NetworksのファイアウォールプラットフォームのVPNおよびリモートアクセスコンポーネントであり、大企業、政府機関、サービスプロバイダーなどで広く利用されています。
- SonicWall SonicOS API: SonicWallファイアウォールで稼働するオペレーティングシステムであり、設定、リモート管理、監視のためのAPIエンドポイントを公開しています。悪意のあるスキャンは通常、脆弱性や設定ミスを特定するために行われます。
GreyNoiseによる分析と推奨事項
GreyNoiseは、これらのスキャンが将来の脆弱性の悪用を目的として、露出したインフラストラクチャを発見するのに役立つ可能性があると指摘しています。防御側に対し、以下の対策を推奨しています。
- この種の活動に関連するIPを監視し、ブロックする。
- 認証インターフェースで異常な速度や繰り返し失敗を監視する。
- 繰り返されるクライアントフィンガープリントを追跡する。
- 静的なレピュテーションリストではなく、動的で文脈を考慮したブロッキングを使用する。
Palo Alto Networksのコメントと対策
BleepingComputerがPalo Alto Networksに連絡したところ、同社はGlobalProtectインターフェースを狙ったスキャンが増加していることを確認しました。しかし、これは「ソフトウェアの脆弱性を悪用するものではなく、認証情報ベースの攻撃」であると強調しています。
Palo Alto Networksは、「当社の内部テレメトリーとCortex XSIAMによる保護は、この活動が当社の製品やサービスの侵害を構成しないことを確認しています」と述べています。同社は、認証情報の悪用から保護するために、顧客に対し多要素認証(MFA)を強制することを推奨しています。