I. 概要
2025年8月4日(現地時間)、SonicWallは、SSL-VPN機能が有効化されたSonicWall製ファイアウォールGen 7を標的とする脅威活動に関する記事を公表[1]しました。本記事では、ゼロデイ脆弱性による攻撃の可能性について言及されていましたが、2025年8月7日(現地時間)、本脅威活動は、「ゼロデイ脆弱性との関連性は低く、既知の脆弱性(CVE-2024-40766)に関連する脅威活動の可能性が高い」と情報が更新されました。
一方、アメリカのセキュリティ企業Arctic WolfやHuntressは、2025年7月15日以降、Akiraランサムウェアの脅威活動で同製品が標的とされているといった記事を公表[2][3]しています。記事では、最新のパッチが適用された当該製品においても被害を受けるケース、TOTP(Time-based One-Time Password)による多要素認証(MFA)が有効な環境でも侵害されるケース、認証情報を変更した後に再び攻撃を受けるケースが確認された点について言及しており、両社は、本脅威活動がゼロデイ脆弱性による攻撃の可能性を示唆しています。
SonicWallは、本脅威活動をCVE-2024-40766に関連する既知の脆弱性によるものと発表しましたが、JPCERT/CCは、CVE-2024-40766の影響を受けるGen 5やGen 6製品が標的として報告されていない点や同脆弱性が修正されているGen 7での侵害が報告されている点などから、ゼロデイ脆弱性による攻撃の可能性について、引き続き注視しています。
JPCERT/CCは、この脅威活動で標的となっている対象製品が国内で多数稼働していることを確認しており、今後、同活動の影響が国内に拡大していく可能性を懸念しています。以降、本情報の発行時点で、本脅威活動の影響を受ける可能性がある対象製品などの情報を記載します。当該製品を使用している場合は、SonicWallが提供する最新の情報を注視いただき、対策や緩和策の適用、侵害有無の調査や必要な対処などの実施をご検討ください。
II. 対象
対象製品は次のとおりです。
- SonicWall製ファイアウォール Gen 7以降
III. 対策・緩和策
SonicWallが公開した情報[1]の「Updated Guidance」を参考に、本脅威活動への対策や緩和策を適用してください。 今後、詳細が追加されることが予想されますので、SonicWallから提供される最新情報を注視してください。
IV. 侵害有無の調査方法
本脅威活動の被害有無の調査方法については、記事[3][4][5]のIoC情報を参考に侵害有無の調査をご検討ください。 今後、SonicWallや他ベンダーからも新たなIoC情報や侵害有無の調査方法が公開される可能性がありますので、最新の情報を注視してください。
V. 関連情報
[1] SonicWall
Gen 7 and newer SonicWall Firewalls – SSLVPN Recent Threat Activity
https://www.sonicwall.com/support/notices/gen-7-and-newer-sonicwall-firewalls-sslvpn-recent-threat-activity/250804095336430
[2] Arctic Wolf
Arctic Wolf Observes July 2025 Uptick in Akira Ransomware Activity Targeting SonicWall SSL VPN
https://arcticwolf.com/resources/blog/arctic-wolf-observes-july-2025-uptick-in-akira-ransomware-activity-targeting-sonicwall-ssl-vpn/
[3] Huntress
Active Exploitation of SonicWall VPNs
https://www.huntress.com/blog/exploitation-of-sonicwall-vpn
[4] Field Effect
Update: Akira ransomware group targets SonicWall VPN appliances
https://fieldeffect.com/blog/update-akira-ransomware-group-targets-sonicwall-vpn-appliances
[5] Kudelski Security
A Likely Zero-Day Vulnerability in SonicWall SSL-VPN Exploited by Akira Ransomware Group
https://research.kudelskisecurity.com/2025/08/06/a-likely-zero-day-vulnerability-in-sonicwall-ssl-vpn-exploited-by-akira-ransomware-group/
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp