2025年11月14日、米国の政府機関および国際的なパートナーは、Akiraランサムウェアに関する共同サイバーセキュリティ勧告を発表しました。この勧告によると、Akiraランサムウェアは2025年9月下旬以降、約2億4417万ドルのランサムウェアによる不正収益を上げています。また、初期アクセスからわずか2時間強でデータを盗み出す事例も確認されています。
Akiraランサムウェアは、VPN製品へのアクセスに際して、ログイン認証情報の窃取や脆弱性の悪用を行っています。また、侵害されたVPN認証情報を初期アクセスブローカー(IAB)から入手することも確認されています。総当たり攻撃やパスワードスプレー攻撃といった手法も、アカウント認証情報の取得に利用されていると指摘されています。SonicWallは以前、Gen 6から新しいファイアウォールに構成設定をインポートした顧客に対し、総当たりパスワード攻撃や多要素認証(MFA)バイパスに対する保護機能が組み込まれたSonicOS 7.3へのアップデートを推奨しています。
さらに、Akiraの攻撃者は、ルーターのIPアドレスを悪用してSecure Shell(SSH)プロトコル経由で初期アクセスを得る事例も報告されています。標的のルーターを介してトンネリングした後、Akiraの攻撃者は、パッチが適用されていないVeeamバックアップサーバーのVeeam Backup and Replicationコンポーネントに存在する公開されている脆弱性を悪用します。AnyDeskやLogMeInなどのリモートアクセスツールも、ネットワーク内での持続性を維持し、ラテラルムーブメントを行うために利用されています。これにより、管理者アクティビティに紛れ込むことが可能になります。
Akiraの攻撃者は、ネットワークプロトコルの操作用に設計されたオープンソースツールであるImpacketを利用して、リモートコマンドwmiexec.pyを実行します。検出を回避するために、Akiraの攻撃者は、エンドポイント検出および応答(EDR)システムをアンインストールするなどの手法を実行します。また、環境内に足場を確立するために、新しいユーザーアカウントを作成し、それらを管理者グループに追加することも確認されています。ある事例では、ドメインコントローラーのVMを一時的に停止し、VMDKファイルをコピーして、新しく作成されたVMに添付することで、仮想マシンディスク(VMDK)ファイルの保護を回避しました。この一連の操作により、NTDS.ditファイルとSYSTEMハイブを抽出し、最終的に特権の高いドメイン管理者のアカウントを侵害することができました。
Nutanix仮想マシンへの攻撃とLinux暗号化ツールの利用
CISA(米サイバーセキュリティ・インフラストラクチャセキュリティ庁)は、AkiraランサムウェアがNutanix AHV仮想マシンを暗号化する事例が確認されたとして警告を発しました。CISA、FBI、国防総省サイバー犯罪センター(DC3)、保健福祉省(HHS)および複数の国際的なパートナーからの共同勧告によると、AkiraランサムウェアはNutanix AHV VMディスクファイルの暗号化機能を拡張しています。この勧告には、FBIの調査および2025年11月時点での第三者からの報告を通じて観察された、侵害指標と戦術に関する新しい情報が含まれています。
2025年6月には、Akiraの攻撃者がNutanix AHV VMディスクファイルを初めて暗号化しました。これは、SonicWallの脆弱性であるCVE-2024-40766を悪用して、VMware ESXiおよびHyper-V以外の環境にその能力を拡大したことを示しています。NutanixのAHVプラットフォームは、Nutanixのインフラストラクチャ上で仮想マシンを実行および管理するLinuxベースの仮想化ソリューションです。広く展開されているため、ランサムウェアグループがVMware ESXiやHyper-Vと同様に、このプラットフォーム上の仮想マシンを標的にし始めるのは当然の流れと言えるでしょう。
BleepingComputerによる分析では、Akira Linux暗号化ツールは、Nutanix AHVで使用される仮想ディスク形式である.qcow2拡張子のファイルを暗号化しようとします。.qcow2ファイル拡張子は、少なくとも2024年末からAkira Linux暗号化ツールの標的となっています。さらに、AkiraのNutanix VMへの焦点は、VMware ESXiのターゲティングほどには開発されていません。Linux暗号化ツールは、esxcliとvim-cmdを使用してESXi仮想マシンを正常にシャットダウンしてからディスクを暗号化しますが、Nutanix AHVの場合、.qcow2ファイルを直接暗号化し、プラットフォームのacliまたはncliコマンドを使用してAHV VMをパワーダウンしません。
ネットワーク侵入と侵害後の戦術
更新された勧告には、Akiraの侵入方法と侵害後の戦術に関する新しい情報も含まれています。企業ネットワークに侵入するために、Akiraのアフィリエイトは通常、露出したルーター上の盗まれたVPNおよびSSH認証情報、または総当たり攻撃されたVPNおよびSSH認証情報を使用し、露出したファイアウォール上のSonicWall脆弱性(CVE-2024-40766)を悪用します。アクセスを取得すると、パッチが適用されていないVeeam Backup&Replicationサーバー上のCVE-2023-27532またはCVE-2024-40711の脆弱性を悪用して、バックアップにアクセスして削除します。
ネットワーク内では、Akiraのメンバーは、偵察を実行し、他のシステムにラテラルに拡散し、永続性を確立するために、nltest、AnyDesk、LogMeIn、Impacketのwmiexec.py、およびVBスクリプトなどのユーティリティを使用していることが確認されています。脅威アクターは、永続性のためにエンドポイント検出ツールを削除し、新しい管理者アカウントを作成することも一般的です。あるインシデントでは、攻撃者はドメインコントローラーVMをパワーダウンし、そのVMDKファイルをコピーし、それらを新しいVMに添付し、NTDS.ditファイルとSYSTEMハイブを抽出して、ドメイン管理者アカウントを取得しました。
勧告では、以前にAkiraの操作に関連付けられていた「Megazord」ツールは、2024年以降放棄されたようです。Akiraは、一部の攻撃中に最短2時間でデータを流出させ、コマンドアンドコントロールのために、Ngrokなどのトンネリングツールを利用して、境界監視をバイパスする暗号化されたチャネルを確立しています。勧告は、組織が更新されたガイダンスを確認し、推奨される軽減策を実施することを強く求めています。CISAとFBIはまた、定期的なオフラインバックアップ、強制的な多要素認証、および既知の悪用された脆弱性の迅速なパッチ適用を引き続き推奨しています。
WatchGuardファイアウォールの脆弱性とCISAの警告
米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、WatchGuard Fireboxファイアウォールに影響を与える、積極的に悪用されている脆弱性に対するパッチ適用を政府機関に警告しました。リモート攻撃者は、この重大なセキュリティ上の欠陥(CVE-2025-9242)を利用して、Fireware OS 11.x(サポート終了)、12.x、および2025.1を実行しているファイアウォール内の範囲外書き込みの脆弱性を悪用することにより、脆弱なデバイス上で悪意のあるコードをリモートで実行できます。
CISAは、この脆弱性を既知の悪用された脆弱性(KEV)カタログに追加し、連邦政府機関に対し、拘束力のある運用指令(BOD)22-01で義務付けられているように、進行中の攻撃からシステムを保護するために3週間の猶予を与えました。CISAは、「これらのタイプの脆弱性は、悪意のあるサイバー攻撃者にとって頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらします」と述べています。「ベンダーの指示に従って軽減策を適用し、クラウドサービスに適用可能なBOD 22-01ガイダンスに従うか、軽減策が利用できない場合は製品の使用を中止してください。」
WatchGuardは9月17日に脆弱性に対処するためのセキュリティパッチをリリースしましたが、10月21日になって初めて、攻撃で悪用されているとタグ付けしました。その前日の10月20日、インターネット監視団体のShadowserverは、世界中で75,000台以上の脆弱なFireboxアプライアンスを追跡していることを明らかにしました。Shadowserverの最新の統計によると、この数は54,000台強に減少しており、そのほとんどがヨーロッパと北米にあります。
CISAの命令は連邦政府機関にのみ適用されますが、ファイアウォールは脅威アクターにとって魅力的な標的であるため、すべての組織は可能な限り迅速にこの脆弱性のパッチ適用を優先することをお勧めします。たとえば、Akiraランサムウェアグループは、2024年9月からSonicWallファイアウォールに侵入するために、1年前の重大度の高い脆弱性であるCVE-2024-40766を積極的に悪用しています。2年前の2022年4月、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)はまた、連邦政府機関に対し、WatchGuard FireboxおよびXTMファイアウォールアプライアンスに影響を与える、積極的に悪用されているバグにパッチを適用するよう命じました。
Akiraランサムウェアの脅威と対策の重要性
Akiraランサムウェアは、その攻撃手法の進化と標的の拡大により、企業や組織にとって深刻な脅威となっています。特に、Nutanix AHV仮想マシンを標的とするようになったことは、Linux環境を運用する企業にとって新たな警戒材料です。また、SonicWallやVeeamといった широко используемых ソフトウェアの脆弱性を悪用する手口は、迅速なパッチ適用と脆弱性管理の重要性を示しています。
CISAやFBIなどの政府機関が共同でアドバイザリーを発行し、注意喚起を行っていることからも、Akiraランサムウェアの脅威の深刻さが伺えます。企業や組織は、これらの情報を参考に、多要素認証の導入、オフラインバックアップの実施、脆弱性管理の徹底など、総合的なセキュリティ対策を講じる必要があります。また、従業員へのセキュリティ教育を徹底し、不審なメールやリンクに注意するよう促すことも重要です。
Akiraランサムウェアの攻撃は、初期アクセスからデータ窃取までわずか2時間強で完了する事例もあるなど、非常に迅速に進展します。そのため、早期発見と迅速な対応が不可欠です。セキュリティ監視体制を強化し、異常なアクティビティを検知できる体制を構築することが重要です。また、インシデント発生時の対応手順を事前に策定し、定期的な訓練を実施することで、被害を最小限に抑えることができます。
WatchGuardファイアウォールの脆弱性(CVE-2025-9242)に対するCISAの警告は、ファイアウォールが依然として攻撃者にとって魅力的な標的であることを示しています。ファイアウォールは、ネットワークの境界を守る重要な防御線であるため、常に最新の状態に保ち、適切な設定を行う必要があります。また、ファイアウォールだけでなく、エンドポイントセキュリティ、ネットワークセグメンテーション、侵入検知システムなど、多層防御のアプローチを採用することが重要です。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Akira Ransomware Haul Surpasses $244M in Illicit Proceeds - https://www.infosecurity-magazine.com/news/akira-ransomware-244m-in-illicit/
- -CISA warns of Akira ransomware Linux encryptor targeting Nutanix VMs - https://www.bleepingcomputer.com/news/security/cisa-warns-of-akira-ransomware-linux-encryptor-targeting-nutanix-vms/
- -CISA warns of WatchGuard firewall flaw exploited in attacks - https://www.bleepingcomputer.com/news/security/cisa-warns-of-watchguard-firewall-flaw-exploited-in-attacks/