Gen 7/8のSonicWallファイアウォール – SSLVPN機能に対する最近の脅威活動

Gen 7/8の製品の SSLVPN が有効化されているファイアウォールに対する最近のサイバー攻撃に関する調査の重要な更新情報を提供いたします。

最近のSonicWallファイアウォール製品のSSLVPN機能に対するサイバー攻撃について、ゼロデイ脆弱性の可能性の懸念について、SonicWallの現在の見解を説明いたします。

SonicWallでは、現在のところ、最近の SSLVPN に対する攻撃の活動がゼロデイ脆弱性と関連していないという高い確信を持っています。代わりに、CVE-2024-40766に関連する脅威活動との間に有意な相関関係が認められます。この脆弱性は、当社のセキュリティアドバイザリ: SNWLID-2024-0015(英語) で既に公表しているものです。

このサイバー攻撃に関連する40件弱の事象を調査中ですが、これらの事象の多くは、Gen 6からGen 7のファイアウォールへの移行に関連しており、移行時にローカルユーザーのパスワードが引き継がれ、リセットされていなかったことが原因です。  パスワードのリセットは、 SNWLID-2024-0015(英語)  でも明確に実施が必要な旨説明しております。

SonicOS 7.3 では、ブルートフォースパスワード攻撃および多要素認証（MFA）攻撃に対する追加の保護機能を備えています。これらの追加保護機能がない場合、パスワードおよびMFAのブルートフォース攻撃はより実行が容易になります。

注意: 日本語版 SonicOS7.3 は2025年9月中旬頃リリース予定です。リリース予定は変更になる場合があります。 

セキュリティガイドライン

完全な保護を確保するため、Gen 6から新しいファイアウォールに設定をインポートしたすべての顧客に対し、以下の手順を直ちに行うよう強く推奨します。

• ファームウェアをバージョン7.3.0に更新してください。このバージョンには、ブルートフォース攻撃に対する強化された保護機能と追加の多要素認証（MFA）制御が含まれています。ファームウェアアップグレードの方法はこちらを参照ください。
  注意: 日本語版 SonicOS7.3 は2025年9月中旬頃リリース予定です。リリース予定は変更になる場合があります。現段階において、SonicWallはファームウェアを現在の最新のSonicOS7.2にアップグレードすることを強く推奨いたします。 
• SSLVPNアクセス権限を持つすべてのローカルユーザーアカウントのパスワードをリセットしてください。特に、Gen 6からGen 7への移行時に引き継がれたアカウントについては必須の作業となります。
• 以前に推奨されたベストプラクティスを継続して適用してください：
  • ボットネット保護とGeoIPフィルタリングを有効化してください。注意: サポートライセンスが有効でない場合、これらの機能は使用できません。
  • (重要)使用されていないまたは アクティブではないユーザーアカウントを削除してください。
  • MFAと強固なパスワードポリシーを強制的に適用してください。MFAを強制する方法はこちら。

CVE-2024-40766 の脆弱性を悪用しローカル管理者アカウントが侵害された場合、攻撃者はパケットキャプチャ、デバッグ機能、ログ、構成バックアップ、または MFA 制御などの管理機能を利用して、追加の資格情報を取得したり、トラフィックを監視したり、全体のセキュリティ態勢を弱体化させたりする可能性があります。異常な活動がないか、パケットキャプチャ、イベントログ、MFA 設定、最近の構成変更(監査ログ)を確認し、暴露された可能性がある資格情報を変更することを推奨します。

今後も、このこのアドバイザリーは、新たな進展があれば随時更新されます。

サードパーティの研究者の方々から、このプロセスを通じてご支援をいただき、特に、Arctic Wolf、Google Mandiant、Huntress、およびField Effectの皆様には、多大なご協力をいただきました。心より感謝申し上げます。

ご支援、ご注目、そしてご警戒をいただき、誠にありがとうございます。

SonicWall チーム

変更履歴

2025-08-08:日本語版初公開