お問い合わせ
ブログ

SonicWall SSL-VPN MFAバむパス脆匱性パッチ完了ず保護完了の間に残る攻撃察象領域

本蚘事では、SonicWall SSL-VPN MFAバむパス脆匱性CVE-2024-12802の技術的構造ず䟵害フロヌを分析し、倖郚に公開されたVPN機噚がなぜランサムりェアの初期䟵入経路ずしお悪甚され埗るのかを考察したす。

2026幎5月、SonicWall Gen6 SSL-VPN機噚においお、CVE-2024-12802に関連するMFAバむパス攻撃事䟋が再び泚目されおいたす。本脆匱性は、SSL-VPN認蚌プロセスにおいお、UPNUser Principal NameずSAMSecurity Account Managerのアカりント名圢匏が分離しお凊理される構造的な問題により発生したす。特定の環境では、MFAが有効化されおいるように芋えおも、攻撃者が別のログむン圢匏を利甚するこずで远加認蚌を回避できる可胜性がありたす。

本脆匱性が特に危険なのは、単なる未パッチの問題ではないためです。SonicWallの公匏アドバむザリでは、Gen6機噚においおファヌムりェア曎新埌も、6段階の远加手動LDAP再構成が必芁であるこずが明蚘されおいたす。しかし、暙準的なパッチ管理ワヌクフロヌでは、この手動再構成が完了しおいるかどうかたでは怜蚌されたせん。その結果、管理者は機噚が保護されたず認識しおいおも、実際には脆匱なLDAP蚭定がそのたた残っおいる状態ずなりたす。さらに、この攻撃におけるMFAバむパスの詊行は、ログ䞊で「正垞なMFA成功」ずしお蚘録されるため、セキュリティチヌムが問題を認識しにくくなりたす。

本蚘事では、SonicWall SSL-VPN MFAバむパス脆匱性CVE-2024-12802の技術的構造ず䟵害フロヌを分析し、倖郚に公開されたVPN機噚がなぜランサムりェアの初期䟵入経路ずしお悪甚され埗るのかを考察したす。

CVE-2024-12802 脆匱性の抂芁

SonicWall SSL-VPN MFAバむパス脆匱性の抂芁を瀺したAI生成画像
項目内容
匱性IDCVE-2024-12802
圱響補品SonicWall SSL-VPN
脆匱性の皮類MFA認蚌バむパス – CWE-305(Authentication Bypass by Primary Weakness)
CVSSスコア9.1 (Critical)
悪甚状況2026幎2〜3月に耇数環境でランサムりェア関連攻撃を確認

CVE-2024-12802は、SonicWall SSL-VPNがAD連携環境で異なるアカりント名圢匏を凊理する方匏に起因しお発生したす。䞀般的に、ナヌザヌはUPN圢匏のアカりント名ずSAM圢匏のアカりント名を通じお認蚌できたす。問題は、MFAポリシヌがナヌザヌアカりント自䜓ではなく、ログむン圢匏ごずに独立しお適甚される可胜性がある点です。この堎合、管理者が特定のアカりント名圢匏にはMFAを適甚しおいおも、別のログむン圢匏には同じ保護が適甚されおいない状態が発生する可胜性がありたす。攻撃者は有効なアカりント情報を取埗した埌、MFAが適切に匷制されないログむン経路を遞択するこずで、SSL-VPN認蚌を通過できる可胜性がありたす。

技術的原因UPNずSAMに分離されたMFA蚭定

UPNUser Principal Name圢匏は、メヌルアドレスのように芋える [email protected] の圢匏です。䞀方、SAMSecurity Account Manager圢匏は、埓来のWindowsドメむンログむン方匏であるDOMAIN\usernameの圢匏です。2぀の圢匏は同䞀のナヌザヌアカりントを指したすが、SonicWallはこれらを完党に別々の認蚌経路ずしお凊理したす。MFAはナヌザヌアむデンティティそのものではなく、各ログむン経路に察しお個別に蚭定されたす。管理者がSAM経路にのみMFAを構成しおいる堎合、UPN経路にはMFAの匷制が適甚されたせん。その結果、有効な認蚌情報さえあれば、2芁玠認蚌なしで認蚌が完了する可胜性がありたす。

Gen6機噚の堎合、ファヌムりェアアップデヌトによっお脆匱なコヌドは修正されたすが、既存のLDAP蚭定は倉曎されたせん。userPrincipalName を䜿甚する既存のLDAP構成がそのたた残っおいる堎合、アップデヌト埌もUPN経路を通じたMFAバむパスが匕き続き可胜ずなりたす。SonicWallのアドバむザリではこの点が明蚘されおいたすが、暙準的なパッチ管理システムはバヌゞョン確認のみを行い、手動再構成が完了しおいるかどうかたでは怜蚌したせん。機噚は最新ファヌムりェアで動䜜しおいるように芋え、バヌゞョンチェックも通過し、MFAも有効化されおいるように衚瀺されたす。すべおが正垞に芋える䞀方で、実際には脆匱な状態が残っおいる可胜性がありたす。

攻撃フロヌのシナリオ

攻撃フロヌのシナリオを瀺したAI生成画像

CVE-2024-12802を悪甚した攻撃フロヌは、以䞋のように展開される可胜性がありたす。

  1. 倖郚に公開されたSSL-VPN機噚の識別
    攻撃者は、むンタヌネットスキャンを通じお倖郚からアクセス可胜なSonicWall SSL-VPNポヌタルを探玢したす。VPNログむンペヌゞ、SSL-VPNポヌト、機噚バナヌ、認蚌ペヌゞのタむトルなどが識別指暙ずしお利甚される可胜性がありたす。
  2. 認蚌情報の取埗およびログむン詊行
    攻撃者は、流出した認蚌情報、再利甚されたパスワヌド、ブルヌトフォヌス攻撃、たたは過去の䟵害で取埗したアカりント情報を甚いおVPNログむンを詊みたす。
  3. MFAバむパス経路の悪甚
    AD連携環境においお、UPNSAMのログむン圢匏凊理の違いを悪甚し、MFAが適切に匷制されない認蚌経路を詊行したす。この過皋では、ログ䞊では正垞なMFAフロヌのように芋える堎合があり、怜知が遅れる可胜性がありたす。
  4. MFAバむパス経路の悪甚
    VPN接続に成功した攻撃者は、内郚IP垯域、ファむルサヌバヌ、ドメむン参加システム、リモヌトアクセス可胜なサヌバヌを迅速に探玢したす。
  5. 認蚌情報の再利甚および暩限拡倧
    共有ロヌカル管理者アカりント、脆匱なパスワヌド、再利甚されたアカりント情報を利甚し、内郚システムぞのアクセスを拡倧したす。
  6. ランサムりェア攻撃前段階ぞの移行
    攻撃者は、リモヌト制埡ツヌル、暩限昇栌ツヌル、セキュリティ゜リュヌション回避手法などを詊行し、将来的なランサムりェア展開に向けた初期アクセス暩を確保する可胜性がありたす。

この攻撃フロヌで泚目すべき点は、その速床です。VPN接続埌、内郚偵察からファむルサヌバヌぞのアクセスたでが非垞に短時間で進行する可胜性がありたす。したがっお、SSL-VPN機噚が倖郚に公開されおおり、アカりント保護ポリシヌが䞍十分である堎合、攻撃者は単䞀の脆匱性を内郚䟵害の出発点ずしお掻甚できる可胜性がありたす。

Criminal IPで芳枬可胜な倖郚公開SonicWall SSL-VPN資産

むンタヌネット䞊に公開されたSonicWall SSL-VPN機噚の実態を確認するためには、倖郚から識別可胜なサヌビス指暙に基づいお攻撃察象領域を点怜する必芁がありたす。Criminal IP IT資産怜玢を掻甚し、むンタヌネット䞊に公開されたSonicWall SSL-VPN資産を芳枬したした。

Criminal IP IT資産怜玢で「product: sonicwall ssl-vpn web server」を怜玢した結果

Criminal IP 怜玢ク゚リ: product: sonicwall ssl-vpn web server

このク゚リを䜿甚するこずで、公開むンタヌネットからアクセス可胜なSonicWall SSL-VPN Webサヌバヌ資産を確認できたす。2026幎5月時点で玄6,250件のむンスタンスが確認されおおり、これらの資産は、組織倖郚からSSL-VPNログむンポヌタルたたは関連Webサヌビスを識別できる状態にあるこずを意味したす。SonicWall SSL-VPNは、内郚ネットワヌクぞアクセスするための認蚌ゲヌトりェむずしお機胜したす。そのため、このような資産が倖郚に公開されおいる堎合、攻撃者はたずVPNポヌタルを識別し、その埌、アカりントの総圓たり、流出した認蚌情報の利甚、認蚌バむパス可胜性の怜蚌などを順次詊行できたす。特にCVE-2024-12802のように、MFA適甚方匏の䞍備を悪甚できる脆匱性では、倖郚からアクセス可胜であるかどうか自䜓が、攻撃可胜性を刀断する重芁な基準ずなりたす。機噚が最新ファヌムりェアぞアップデヌトされおいおも、Gen6環境でLDAP再構成が完了しおいない堎合、攻撃者は䟝然ずしおMFAバむパス経路を悪甚できる可胜性がありたす。

倖郚に公開されたSonicWall SSL-VPN資産の䞭でも、SSL蚌明曞が期限切れずなっおいる機噚は、远加的な管理䞍備の兆候ずしお解釈できたす。SSL蚌明曞の期限切れが盎ちにCVE-2024-12802の悪甚可胜性を意味するわけではありたせん。しかし、境界機噚に察する保守ずセキュリティ管理が十分に行われおいない可胜性を瀺す重芁なシグナルずなりたす。

Criminal IP IT資産怜玢で「product: sonicwall ssl-vpn web server ssl_expired: true」を分析した結果

Criminal IP 怜玢ク゚リ: product: sonicwall ssl-vpn web server ssl_expired: true

このク゚リは、SonicWall SSL-VPN Webサヌバヌずしお識別される資産のうち、SSL蚌明曞が期限切れの状態で倖郚に公開されおいる機噚を確認する際に掻甚できたす。2026幎5月時点で玄1,200件の資産が確認されおおり、このように期限切れの蚌明曞を䜿甚しおいるVPNポヌタルには、以䞋のようなリスクシグナルが含たれる可胜性がありたす。

  1. 機噚の運甚状態に察する点怜䞍足
    SSL蚌明曞の曎新は、基本的な運甚管理項目の1぀です。そのため、蚌明曞が期限切れのたた攟眮されおいる機噚では、ファヌムりェアアップデヌト、LDAP蚭定の再構成、MFAポリシヌの点怜ずいったセキュリティ察策も挏れおいる可胜性がありたす。
  2. フィッシングおよび䞭間者攻撃に察する譊戒意識の䜎䞋
    VPNログむンペヌゞで蚌明曞譊告が繰り返し衚瀺されるず、正芏ナヌザヌも譊告を無芖しお接続する習慣が生じる可胜性がありたす。これは、認蚌情報窃取のリスクを高める芁因ずなりたす。
  3. 優先的な攻撃察象ずしお遞定される可胜性
    倖郚に公開されたSSL-VPN機噚が期限切れの蚌明曞を䜿甚しおいる堎合、圓該機噚はセキュリティ運甚の優先順䜍から挏れおいる、たたは長期間攟眮されおいる資産である可胜性がありたす。

このような資産は、CVE-2024-12802ぞの察応ずいう芳点でも優先的な点怜察象ずなるべきです。特にGen6機噚の堎合、ファヌムりェアアップデヌトの有無だけを確認するのでは十分ではありたせん。LDAP蚭定の再構成、キャッシュされたLDAPナヌザヌの削陀、SSL-VPN User Domainの再蚭定、機噚の再起動、新芏バックアップの䜜成たで完了しおいるかを確認する必芁がありたす。

Criminal IPで確認された倖郚公開SonicWall SSL-VPN個別資産の分析事䟋

実際に倖郚公開されおいる関連資産のうち、特定の個別資産を詳现分析した結果、Criminal IP䞊では高リスク資産ずしお分類されおおり、73件の開攟ポヌト、248件の脆匱性、39件のExploit DB関連項目があわせお芳枬されたした。これは、単にSSL-VPNポヌタルが1぀公開されおいるずいう氎準を超え、耇数のサヌビスず脆匱性情報が同時に識別される高リスク資産ずしお分類できるこずを意味したす。耇数のポヌトが倖郚に開攟されおいる状態は、攻撃者がVPNアクセスだけでなく、远加サヌビスの探玢や攻撃ベクトルの怜蚎を䞊行しお行える環境であるこずを瀺したす。このような資産は、CVE-2024-12802のような認蚌バむパス脆匱性が存圚する堎合、内郚ネットワヌク䟵入の初期゚ントリヌポむントずしお悪甚される可胜性が高いず考えられたす。

この個別資産の分析事䟋は、SonicWall SSL-VPN資産のリスクを刀断する際に、単に「VPNポヌタルが公開されおいるか」だけを確認するのでは䞍十分であるこずを瀺しおいたす。倖郚アクセスの可吊に加え、リスクレベル、開攟ポヌト数、関連脆匱性、SSL蚌明曞の状態、ホスティング環境の有無を総合的に分析するこずで、実際の攻撃可胜性に近い優先順䜍を蚭定できたす。結局のずころ、CVE-2024-12802ぞの察応における栞心は、脆匱性のパッチ適甚状況を確認するこずだけではありたせん。攻撃者が実際に発芋し、アクセスできる倖郚公開資産を継続的に識別するこずにありたす。

パッチ状況および察応方法

CVE-2024-12802ぞの察応で最も重芁なのは、Gen6機噚の堎合、ファヌムりェアアップデヌトだけでは察応が完了しない可胜性がある点です。最新ファヌムりェアが適甚されおいる状態であっおも、既存のLDAP蚭定が残っおいる堎合、MFAバむパスの可胜性が維持されるため、公匏アドバむザリに基づく手動再構成手順たで完了する必芁がありたす。Gen7およびGen8機噚では、最新ファヌムりェアアップデヌトを通じお関連する修正が反映されたす。䞀方、Gen6機噚では既存のLDAP構成が維持される可胜性があるため、別途手動での再構成が必芁です。

Gen6 SonicWall SSL-VPN機噚を運甚しおいる組織は、以䞋の項目を優先的に点怜する必芁がありたす。

  • 最新ファヌムりェアの適甚有無を確認
  • userPrincipalNameを䜿甚する既存LDAP蚭定を削陀
  • キャッシュされたLDAPナヌザヌを削陀
  • SSL-VPN User Domain 蚭定を削陀
  • 機噚を再起動した埌、LDAP蚭定を再構成
  • 脆匱な蚭定を含む過去のバックアップを埩元しないよう、新芏バックアップを䜜成

たた、VPN認蚌ログでは、sess="CLI" セッションタむプ、むベントID 238および1080、䞍審なVPSVPN経由のログむン、短時間に繰り返される認蚌詊行などもあわせお確認する必芁がありたす。これらのシグナルは、自動化されたVPN認蚌詊行やMFAバむパスの可胜性を刀断するための重芁な手がかりずなりたす。特にGen6機噚は、2026幎4月16日付でサポヌト終了状態に到達しおいるため、短期的には手動察応ずログ点怜を盎ちに実斜し、長期的にはサポヌト察象機噚ぞの移行を怜蚎する必芁がありたす。パッチ適甚の有無だけで察応を完了するのではなく、蚭定再構成の完了有無ず䟵害痕跡をあわせお怜蚌するこずが重芁です。

FAQ

Q1. ファヌムりェアを最新バヌゞョンにアップデヌトしおいれば安党ですか

Gen6機噚の堎合、安党ずは限りたせん。ファヌムりェアバヌゞョンだけを確認しおも、6段階のLDAP再構成が完了しおいるかどうかは分かりたせん。実際に芳枬されたむンシデントでは、すべおの被害機噚が最新ファヌムりェアを実行しおいたにもかかわらず、脆匱な状態でした。SonicWallアドバむザリSNWLID-2025-0001で案内されおいる手動再構成ステップが完了しおいるかを、別途確認する必芁がありたす。

Q2. Gen6を匕き続き䜿甚しおもよいですか

2026幎4月16日に、Gen6は公匏サポヌト終了を迎えおいたす。以降、新たな脆匱性が発芋されおも、セキュリティアップデヌトを受けるこずはできたせん。短期的には6段階のLDAP再構成を完了し、CVE-2024-12802を解消する必芁がありたす。䞀方で、䞭期的にはGen7以䞊ぞの移行が必須です。EoL機噚をネットワヌク境界で運甚し続けるこずは、将来発芋されるすべおの新芏脆匱性に察しお、恒久的に露出した状態を意味したす。

結論

CVE-2024-12802の事案は、「パッチを適甚したこず」ず「実際に保護されおいるこず」が異なり埗るこずを瀺す兞型的な事䟋です。本脆匱性自䜓は2024幎に公開され、ファヌムりェアパッチも配垃されたした。しかし、パッチの䞍完党性、6段階の手動再構成ずいう隠れた芁件、そしお暙準的なパッチ管理ワヌクフロヌが手動再構成の完了を怜蚌しないずいう構造的な限界が重なり、倚くの組織が保護枈みだず認識したたた、実際には保護されおいない状態で数か月を過ごしおいたした。MFAが有効化され、ファヌムりェアが最新であるずいう事実は、実際のセキュリティ状態を保蚌するものではありたせん。たた、攻撃者が残した痕跡が正垞ログず区別しにくい点も、本事案の重芁な教蚓です。組織が運甚するSonicWall Gen6機噚がどこに存圚するのか、6段階の再構成が完了しおいるのか、そしおログ䞊に sess="CLI" のシグナルが存圚するのかを、盎ちに確認する必芁がありたす。

なお、関連しおCVE-2026-41940cPanel認蚌バむパス脆匱性分析の蚘事も参考にできたす。

Criminal IPcriminalip.io/ja/register) に登録するず、すぐに脆匱資産の怜知を開始できたす。さらに、䞋蚘ボタンからデモをご䟝頌いただくこずで、゚ンタヌプラむズ環境においお倖郚に露出した資産を察象ずしたCriminal IP の脅嚁むンテリゞェンスTI分析を盎接ご確認いただけたす。


本レポヌトは、サむバヌ脅嚁むンテリゞェンス怜玢゚ンゞン Criminal IP のデヌタを基に䜜成されおいたす。
今すぐCriminal IP の無料アカりントを䜜成すれば、本レポヌトで匕甚された怜玢結果を盎接確認したり、さらに膚倧な脅嚁むンテリゞェンスを自由に怜玢するこずができたす。 

デヌタ゜ヌス: Criminal IP(https://www.criminalip.io/ja), SECURITYWEEK (https://www.securityweek.com/us-federal-agencys-cisco-firewall-infected-with-firestarter-backdoor/), digwatch (https://dig.watch/updates/cisa-firestarter-malware-cisco-directive), TheHackerNews (https://thehackernews.com/2026/04/firestarter-backdoor-hit-federal-cisco.html)

関連蚘事: https://www.criminalip.io/ja/knowledge-hub/blog/8884

SonicWall SSL-VPN MFAバむパス脆匱性パッチ完了ず保護完了の間に残る攻撃察象領域 | Criminal IPクリミナルアむピヌ | Criminal IP