侵害実績のある既知のSonicWall脆弱性がさらなる大規模侵害をどう引き起こすか

Ridge Security / RidgeBot, 脅威

How Known-Exploited SonicWall Vulnerabilities Enable Large-Scale Breaches

“How Known-Exploited SonicWall Vulnerabilities Enable Large-Scale Breaches” Dec 10, 2025 by Vincent Qi より

Marquis Software Solutions を巻き込んだ最近の侵害は、米国の銀行および信用組合74行に影響を与え、40 万人以上の顧客データが流出する結果となりました。

この事例は、広く導入されているセキュリティアプライアンスの脆弱性が、攻撃者によっていかに迅速に武器化されるかを改めて浮き彫りにしています。

Marquis は、侵入が SonicWall ファイアウォールを経由して行われたことを確認していますが、実際に利用された具体的な脆弱性については公表していません。

しかし明らかなのは、ランサムウェアグループが、CISA の既知の悪用済み脆弱性(Known Exploited Vulnerabilities:KEV)カタログに既に掲載されている複数の脆弱性を利用し、SonicWall デバイスを積極的に標的にしているという事実です。

SonicWall VPN およびファイアウォールのエクスプロイト:継続的な脅威

過去1年間で、特に頻繁に悪用されてきた SonicWall の脆弱性が2件あります。

  • CVE-2024-40766
    この脆弱性は、SonicWall SSL VPN アプライアンスからユーザー名、パスワード、ワンタイムパスコードのシード情報を窃取する目的で悪用されてきました。攻撃者は、MFAが有効化されている環境であっても、これらの認証情報を使用してシステムへのアクセスを可能にしていました。
  • CVE-2024-53704
    SonicOS に影響を与える認証バイパスの脆弱性であり、公開されたエクスプロイトコードが出回ると同時に、急速に武器化されました。KEVカタログに掲載されているこれらの脆弱性を利用することで、攻撃者は適切な認証を行うことなく、機密性の高いVPN機能へアクセスできてしまいます。

ランサムウェア攻撃者は、これらの脆弱性を起点として、VPNアクセスの取得、権限昇格、データ収集、ランサムウェアの展開といった一連の侵入手順を、繰り返し再現可能な「侵入プレイブック」として構築しています。こうした活動は Marquis のインシデント以前から確認されており、現在も継続しています。

これら 2 つの脆弱性はいずれも実際に悪用が確認されており、共通した攻撃行動と関連付けられています。そのため、Marquis の侵害でどの脆弱性が使用されたかにかかわらず、SonicWall デバイスを利用しているすべての組織にとって、依然として重大なリスクであると言えます。

Marquis インシデントは、より大きなパターンの中で何を示しているのか

2025年8月14日、攻撃者は SonicWallファイアウォールを経由して Marquis Software Solutionsに侵入し、数十の金融機関に関連する顧客データを含むファイルを窃取しました。漏洩した情報には、次のようなものが含まれています。

  • 社会保障番号および納税者番号
  • 金融口座に関するデータ
  • 顧客の連絡先情報
  • 生年月日

金融機関そのものに過失があったことを示す兆候は確認されていません。侵害は、金融機関よりも上流、すなわちベンダー側の侵害された境界デバイスを起点として発生しており、近年より一般的になりつつある、サプライチェーン攻撃の典型的なシナリオと言えます。

KEV 脆弱性への迅速な対応がなぜ重要なのか

CISAがSonicWallの脆弱性をKEVカタログに追加するということは、その脆弱性が既に実際の攻撃で悪用されていることを意味します。

SonicWall アプライアンスはネットワークエッジに配置されるため、認証情報の窃取、MFAのバイパス、権限昇格といった攻撃の主要な標的となります。

そのため、迅速かつ実効性のある検証が不可欠です。

単にパッチが適用されているかを確認するだけでは不十分です。

  • パッチが見落とされていたり、誤って適用されている可能性
  • デバイスが更新されていても、窃取された認証情報が依然として有効なケース
  • MFAのシード情報が侵害されたまま残っている可能性
  • 構成が変更されていても、攻撃経路そのものが閉じられていないケース

脅威アクターは、アドバイザリが公開された後も、こうした「隙」を執拗に狙い続けます。

RidgeBot®が積極的に悪用される脅威から組織をどう守るか

RidgeBotは、KEVカタログに登録された脆弱性(SonicWallのCVE-2024-53704を含む)を継続的に追跡しています。この脆弱性はKEV に追加されると即座にRidgeBot 5.14において迅速なアップデートとして提供されました。これにより、エクスプロイトに基づく検証が可能となり、環境が実際に無防備な状態にあるかどうかを直接確認できます。

脆弱性がKEVに追加された時点で、攻撃者がその脆弱性を現実の攻撃で積極的に利用していることを示しています。そのため、組織は次の点を直ちに確認する必要があります。

  • パッチが正しく適用されていること
  • 認証情報が適切にローテーションされていること
  • 特にインターネットに接続されたデバイスに対する制御が、意図したとおりに機能していること

RidgeBotは、新たに KEV に追加された脆弱性への露出状況を検証し、これらの脅威を迅速かつ効果的に排除するために必要となる、リアルタイムかつエクスプロイトレベルの可視性を提供します。

貴社のセキュリティ強化を支援する、RidgeBot®のご紹介もご覧ください。

RidgeBot®について、もっと詳しく

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

bss_blog