SonicWall SSL VPNは、SSL VPNを提供するものです。
製品名としてはSonicWall Secure Mobile Access(SMA)というシリーズの名称で展開されています。
いつでも、どこでも、どんなデバイスからでも、管理対象・非管理対象に関わらず組織のあらゆるアプリケーションにアクセスすることが可能になる統合セキュアアクセスゲートウェイとして販売されています。
このSonicWall SSL VPNで心配なニュースがあります。
- 完全にパッチが適用されたSonicWallデバイスが認証情報のローテーション後に不正アクセスされた
最新のセキュリティパッチまでが適用済みの状態で運用していた機器に対し、不正アクセスがあったケースが確認されています。 - TOTP MFAが有効になっているにもかかわらず、アカウントが侵害された
TOTPはTime-based One-Time Passwordの略称です。
一度しか利用できない「ワンタイムパスワード」の一種であり、時間に基づいた乱数からパスワードを生成します。
生成されるパスワードは30秒から1分ほどで切り替わるため、不正アクセスなどのリスクを抑えられるのが特徴です。
この機構が有効状態になっている環境に対しても、アカウント侵害の事例が確認されています。
これらの事例の意味するところは何なのでしょうか。
もしかしたら何らかの別の事情が偶然重なっただけで個別の事案なのかもしれませんが、状況証拠的にはゼロデイ脆弱性の存在を考えてしまいます。
事例の状況から考えると、いつものように最新までのセキュリティパッチを適用できていることを確認しましょう、というのでは対策になりそうではありません。
セキュリティ研究者は、本件の対策として、SonicWall SSL VPNを無効にすることや、ホスティング関連のASNからのVPN認証をブロックすること、といった通常選択しないような選択肢まで候補に挙げている状況です。
少なくとも言えるのは、SonicWall SSL VPNを使っている環境では、いつも以上に運用状態を監視し、新しい情報について敏感であるようにしておく必要がありそうです。
最新情報を継続的に確認するようにしておきましょう。
Arctic Wolf Observes July 2025 Uptick in Akira Ransomware Activity Targeting SonicWall SSL VPN
https://arcticwolf.com/resources/blog/arctic-wolf-observes-july-2025-uptick-in-akira-ransomware-activity-targeting-sonicwall-ssl-vpn/
| この記事をシェア |
|
|---|
