【ITニュース解説】Akira ransomware exploiting critical SonicWall SSLVPN bug again

今回のニュースは、Akiraというランサムウェア集団が、SonicWall社製のSSLVPNというシステムに存在する「CVE-2024-40766」という脆弱性を再び悪用し、企業や組織のシステムに不正に侵入しているという内容だ。システムエンジニアを目指す上で、サイバー攻撃の手口や、それに対するセキュリティ対策の重要性を理解することは非常に大切である。

まず、ニュースに登場する「SonicWall SSLVPN」とは何かから説明しよう。VPNとは「Virtual Private Network」の略で、インターネットのような不特定多数が利用する公共のネットワーク上に、仮想的な専用線を構築し、安全にデータをやり取りするための技術である。例えるなら、公衆電話回線ではなく、自分たち専用の安全な直通電話回線をインターネット上に作るようなものだ。これにより、外部からの盗聴やデータの改ざんを防ぎ、まるで社内にいるかのように安全に社内ネットワークへアクセスできる。中でも「SSLVPN」は、Webブラウザを通じて比較的簡単に利用できるのが特徴で、リモートワークが普及した現在では、従業員が自宅などから会社のシステムに安全に接続するための重要な手段となっている。SonicWallは、こうしたVPN機器やファイアウォールといったネットワークセキュリティ製品を提供している企業の一つだ。

次に、「CVE-2024-40766」という脆弱性について詳しく見ていこう。脆弱性とは、ソフトウェアやシステムに存在するプログラムの設計ミスやバグなど、悪意のある攻撃者がシステムに不正に侵入したり、意図しない動作を引き起こしたりできる「弱点」のことだ。CVEとは「Common Vulnerabilities and Exposures」の略で、世界中で発見された脆弱性に共通の識別番号を付与し、情報共有を促進するためのものだ。今回の「CVE-2024-40766」は、SonicWall SSLVPNの「アクセス制御」に関する脆弱性だとされている。「アクセス制御」とは、システム内の情報や機能に誰がアクセスできるか、どのような操作ができるかを制限する仕組みのことだ。例えば、一般社員は自分の給与明細は見られるが、社長の給与明細は見られないといった具合だ。この脆弱性は、このアクセス制御の仕組みに不備があり、本来アクセス権限のないユーザーが、あたかも正規のユーザーであるかのようにシステムにアクセスできてしまう、あるいはより高い権限を獲得できてしまうという問題だった。この脆弱性は「クリティカルな深刻度」と評価されている。これは、悪用された場合にシステム全体に甚大な被害を及ぼす可能性が高く、迅速な対応が求められる非常に危険な脆弱性であることを意味する。具体的には、攻撃者がこの弱点を利用して、システムの管理者権限を奪取し、内部ネットワークに侵入する足がかりとすることが可能になる。この脆弱性は実は約1年前に発見され、SonicWallからはすでに修正プログラム（パッチ）が提供されている。

そして、この脆弱性を悪用しているのが「Akiraランサムウェア」である。「ランサムウェア」とは、コンピューターに侵入し、保存されているファイルやデータを勝手に暗号化してアクセス不能にし、その解除と引き換えに金銭（身代金、Ransom）を要求する悪質なソフトウェアのことだ。さらに最近のランサムウェアは、ファイルを暗号化するだけでなく、重要なデータを盗み出し（これを「二重恐喝」と呼ぶ）、身代金が支払われない場合は盗み出したデータを公開すると脅迫する手口も用いる。Akiraは、そのようなランサムウェアを開発・運用しているサイバー犯罪集団の名前だ。彼らは、SonicWall SSLVPNのCVE-2024-40766という弱点を見つけ、それを使って企業ネットワークに侵入する。侵入後、ネットワーク内を探索し、機密情報を盗み出したり、サーバーやPC上のデータを暗号化したりして、企業に金銭を要求するのだ。

ここで疑問に思うかもしれない。なぜ1年も前に修正された脆弱性が、今になってまた問題になっているのか。その原因は主に二つ考えられる。一つは、多くの企業や組織が、提供された修正プログラム（パッチ）をすぐに適用していないことだ。修正プログラムの適用は、システムの安定性や業務への影響を考慮して慎重に行われることが多く、中小企業などでは専門的な知識を持つ人材が不足しているために、適用が遅れたり、そもそも適用されていないケースが少なくない。もう一つは、SonicWallのシステムが正しく設定されておらず、脆弱性を修正するための設定が不十分だったり、過去の設定ミスが残っていたりする場合だ。攻撃者は、このような「パッチ未適用」や「設定不備」の状態にあるSonicWall SSLVPNを探し出し、そこに狙いを定めて攻撃を仕掛けるのだ。ランサムウェア集団は、常にインターネット上に公開されているシステムをスキャンし、脆弱性のあるターゲットを探し続けている。

システムエンジニアを目指す皆さんにとって、このニュースは多くの教訓を与えてくれる。まず、システムのセキュリティは、一度対策を講じれば終わりではないということだ。ソフトウェアには常に新たな脆弱性が発見される可能性があるため、ベンダーからの修正プログラムが提供されたら、迅速かつ適切に適用し続ける「脆弱性管理」が極めて重要となる。次に、システムの適切な設定と運用がいかに重要かということだ。セキュリティ機能を十分に活用し、不要なポートの閉鎖や、強力な認証（多要素認証など）の導入を徹底する必要がある。また、万が一システムが攻撃を受けた場合に備え、定期的なデータのバックアップや、インシデント発生時の対応計画を事前に準備しておくことも不可欠だ。システムエンジニアは、安全で安定したITシステムを構築し、運用する責任を担う。そのためには、セキュリティに関する最新の情報を常に収集し、脅威の傾向や対策について深く理解しておく必要がある。今回のAkiraランサムウェアによるSonicWall SSLVPNの脆弱性悪用は、私たちが日々直面するサイバー攻撃の現実と、それに対抗するための地道だが重要なセキュリティ対策の必要性を改めて浮き彫りにしていると言えるだろう。