Arctic Wolf Labsの最新レポートによると、2024年8月以降、SonicWall SSL VPNの脆弱性(CVE-2024-40766)を悪用したFogおよびAkiraランサムウェアによる攻撃が急増しています。この攻撃は、特にSonicWallのVPNアカウントを通じた不正アクセスから始まっており、75%のケースでAkiraが使用され、残りの25%でFogが展開されています。
攻撃の概要
2024年8月以降、少なくとも30件の侵入が確認され、そのすべてでSonicWall SSL VPNを介してネットワーク内へのアクセスが行われました。
攻撃者は、SonicWall機器を使ってSSL VPNを不正利用した後、短時間でネットワーク内部に侵入し、暗号化プロセスを開始しています。そのため、迅速な対応が非常に難しい状況となっています。
攻撃者間の連携
調査によると、AkiraとFogの2つの脅威グループは、攻撃のインフラストラクチャを共有している可能性が指摘されています。これは、両者間に非公式な協力関係が存在することを示唆しており、以前Sophosの報告でも同様の協力が確認されています。
攻撃の手法
1. SSL VPNアカウントの不正利用
攻撃者は、ホスティング関連のIPアドレスを使ってSonicWall SSL VPNに不正ログインし、ネットワークへのアクセスを確立しています。
- 多要素認証(MFA)が無効となっていたアカウントが標的にされ、VPNサービスはデフォルトのポート4433で実行されていました。
- 侵害されたVPNアカウントを使用したアクセスは、数時間以内にネットワーク全体の暗号化につながるケースが多く、仮想マシン(VM)やそのバックアップが特に重点的に暗号化されています。
2. CVE-2024-40766の脆弱性
SonicWall機器に存在するCVE-2024-40766の脆弱性が報告されていますが、Arctic Wolfは具体的なエクスプロイトの証拠を確認できていません。攻撃者は、脆弱な機器を利用してSSL VPN経由での不正アクセスを実行し、内部ネットワークに侵入しています。
攻撃に使用されるツールと行動
攻撃者は、以下のツールを活用してネットワークの探索、横展開(lateral movement)、および暗号化を行います。
- Mimikatz:認証情報の取得
- PsExec:リモートコマンドの実行
- AnyDesk、MobaXterm:持続的なリモートアクセスの確立
- Rclone:データのクラウドストレージへの転送
攻撃者は、ネットワークのバックアップシステムや仮想マシンを優先的に暗号化し、組織の業務を停止させることを狙っています。
企業への影響と防御策
攻撃の特性から、組織が適切な対応を行わなければ、非常に短時間でランサムウェアによる暗号化が実施され、ビジネスの継続性に深刻な影響を与えます。特にSonicWall製品を利用する組織では、以下の防御策が推奨されます。
推奨される防御策
- ファームウェアの即時更新
SonicWall製品の脆弱性(CVE-2024-40766)へのパッチを早急に適用することが不可欠です。 - 多要素認証(MFA)の導入
SSL VPNアカウントのセキュリティを向上させ、不正アクセスを防ぎます。 - VPNログの定期的な監視
ホスティング関連のIPアドレスからのアクセスを監視し、異常なログインを即座に検知します。 - バックアップの確保と保護
オフサイトでのバックアップの保存を徹底し、暗号化被害が発生した場合の迅速な復旧を可能にします。
結論
SonicWall SSL VPNの脆弱性を利用したFogおよびAkiraランサムウェア攻撃は、攻撃の迅速さと組織の業務を停止させる能力から、非常に危険な脅威となっています。
企業は、ファームウェアのアップデートや多要素認証の導入を優先し、VPNの不正ログインを防ぐための監視体制を整えることが重要です。また、バックアップの強化を通じて、万が一の被害に備える必要があります。
