近年、サイバーセキュリティの最前線で、組織の防御を担うはずのセキュリティ製品自体が、攻撃者にとって格好の標的となる事態が頻発している。特に、未パッチのゼロデイ脆弱性が悪用され、企業の根幹を揺るがす深刻なインシデントへと発展するケースが後を絶たない。この数ヶ月間だけでも、Palo Alto Networksのファイアウォール、Ivanti Endpoint Manager、そしてSonicWall SMA1000といった主要なセキュリティソリューションにおいて、立て続けに重大な脆弱性が露見し、一部は実際に悪用されていることが明らかになった。
これらの事態は、単一のベンダーや製品に限定された問題ではなく、現代の複雑なITインフラ全体に潜む構造的な脆弱性を示唆している。攻撃者は、組織の最も信頼する防御壁の弱点を執拗に探し出し、そこを突破口として内部ネットワークへの侵入を試みる。特に、インターネットに公開された管理インターフェースは、その高い権限ゆえに、ひとたび脆弱性が悪用されれば壊滅的な被害をもたらす可能性を秘めている。
本稿では、これら三つの異なる、しかし本質的に共通の脅威に直面しているセキュリティ製品群に焦点を当てる。それぞれの脆弱性の詳細、悪用の手口、そして各ベンダーおよびセキュリティコミュニティが講じた対応を深く掘り下げ、現代のサイバー脅威の様相と、企業が直面する防御の課題を浮き彫りにする。
これらのインシデントは、セキュリティ製品が提供する保護の重要性を再認識させると同時に、それら製品自体の堅牢性と、緊急時の迅速な対応がいかに不可欠であるかを強く訴えかけている。脅威アクターは常に新たな攻撃経路を模索しており、防御側は絶えずその一歩先を行くための警戒と対策が求められているのだ。
Palo Alto Networksを狙う未認証RCEの脅威
2024年11月14日、Palo Alto Networks(PAN)は、同社のファイアウォール製品に存在する未認証のリモートコマンド実行(RCE)脆弱性が、インターネットに公開された管理インターフェースに対して積極的に悪用されていることを公表した。この脆弱性は、認証なしにリモートから任意のコマンドを実行できるという極めて危険な性質を持つもので、攻撃者にとってはネットワークの深部への足がかりを得る絶好の機会となる。
現時点では、この脆弱性にはまだCVE番号が割り当てられておらず、公式なパッチも提供されていない状況にある。PANのセキュリティアドバイザリによれば、Prisma AccessおよびCloud NGFWは本件の影響を受けないものの、多くの企業で利用されているオンプレミス型ファイアウォールが標的となっている。この緊急事態に対し、PANは顧客に対し、管理インターフェースへのアクセスを信頼できる内部IPアドレスに制限し、インターネットへの露出を避けるよう強く推奨している。
もしアクセスが特定のIPアドレスに限定されていれば、この脆弱性の深刻度はCVSSスコア7.5の「高」に再分類される。これは、攻撃者が悪用するためには事前に許可されたIPへの特権アクセスが必要となるためだが、それでもそのリスクは依然として高い。パッチが未提供である現状を鑑みると、脅威アクターが概念実証(PoC)エクスプロイトを迅速に開発し、公開されたファイアウォールを標的とする可能性は極めて高いとArctic Wolfは指摘している。
Palo Alto Networks製品は、過去にも攻撃者の標的となってきた経緯がある。今年初めには、同社のPAN-OSのGlobalProtect機能が狙われた事例も記憶に新しい。これらの事実は、高度なセキュリティ機能を提供する製品であっても、その管理部分のセキュリティが疎かになれば、組織全体が危険に晒されることを示している。
Ivanti Endpoint Managerに潜む13のゼロデイ
Palo Alto Networksの事態と時を同じくして、Ivanti社のEndpoint Manager製品にも深刻な脆弱性が発覚した。2025年10月9日、Zero Day Initiative(ZDI)は、Ivanti Endpoint Managerに影響を及ぼす13もの未パッチのゼロデイ脆弱性を公に開示した。これらの脆弱性は、2024年6月から11月の間にZDIによってIvantiに私的に報告されていたものだが、ベンダーがZDIが許容する期間内にパッチを提供できなかったため、異例の公開に至った。
この13の脆弱性の中でも特に危険視されているのは、二つの主要な欠陥である。一つはZDI-25-935として追跡されている、OnSaveToDBメソッドにおける未認証のディレクトリトラバーサル脆弱性だ。これは、巧妙に細工されたHTTPリクエストを送信することで、最小限のユーザーインタラクション、あるいは管理者認証情報があれば全くインタラクションなしにリモートコード実行を可能にする。もう一つは、ZDI-25-947として識別されるAgentPortalサービスにおけるデシリアライゼーションの脆弱性で、これによりローカルでのSYSTEMレベルの特権昇格が可能となる。
これら二つの極めて重大な脆弱性に加え、残りの11件は認証後のSQLインジェクションの欠陥であり、これらもまたリモートまたは任意のコード実行につながる可能性がある。セキュリティ専門家は、これらの脆弱性のうち二つ以上を連鎖的(チェイン)に悪用することで、完全なシステム侵害が達成されるリスクを指摘している。影響を受けるのは、クラウドおよびオンプレミスを含むIvanti Endpoint Managerの全てのサポート対象バージョンである。
Kudelski Securityは、公式パッチがリリースされるまでの間、Ivanti Endpoint Managerインターフェースへのインターネットアクセスを可能な限り制限し、Webアプリケーションファイアウォール(WAF)やリバースプロキシの導入を検討するよう推奨している。また、Ivantiサーバーからのアウトバウンド接続を制限し、最小特権の原則を徹底することも、潜在的なコマンド&コントロール通信を防ぐ上で不可欠な対策となる。
SonicWall SMA1000の特権昇格と複合攻撃
2025年12月17日、SonicWallは、同社のSMA1000アプライアンス管理コンソール(AMC)に存在する中程度の深刻度を持つゼロデイ脆弱性CVE-2025-40602に対する修正プログラムをリリースした。この脆弱性は、ローカルの脅威アクターが不十分な認証メカニズムを悪用して特権を昇格させることを可能にするもので、既に積極的に悪用されていることが確認されている。注目すべきは、この脆弱性がSonicWallファイアウォールのSSL VPN機能には影響しない点である。
SonicWallの報告によれば、攻撃者はCVE-2025-40602を、今年初めに悪用された重大なリモートコード実行(RCE)脆弱性CVE-2025-23006と組み合わせて悪用している。この「脆弱性の連鎖」は、攻撃者が初期アクセスを得た後、さらにシステム内で特権を拡大し、より深い侵害を達成するための典型的な手口である。Arctic Wolfは、CVE-2025-40602の公開された概念実証(PoC)エクスプロイトは確認されていないものの、そのアクセスレベルとCVE-2025-23006との連鎖可能性から、脅威アクターが引き続きこの脆弱性を標的とする可能性が高いと警告している。
SonicWall製品は、今年に入ってから特に攻撃者の標的となることが多く、9月にはMySonicWallの構成バックアップファイルが盗まれるインシデントも発生している。これらの事例は、セキュリティ製品が提供する防御機能の重要性と同時に、その管理コンソールや関連サービス自体のセキュリティが、攻撃チェーンにおける重要な弱点となり得ることを浮き彫りにしている。
SonicWallは、影響を受ける顧客に対し、SMA1000のファームウェアを最新の修正バージョン(12.4.3-03245以降、または12.5.0-02283以降)にアップグレードするよう強く推奨している。さらに、AMCへのアクセスをVPNまたは特定の管理者IPアドレスからのSSH接続に制限し、パブリックインターネットからのSSL VPN管理インターフェースおよびSSHアクセスを無効にすることで、攻撃対象領域を大幅に削減できると助言している。
攻撃者の狙いと管理インターフェースの盲点
今回の一連のインシデントで共通して浮上するのは、セキュリティ製品の「管理インターフェース」が攻撃者の主要な標的となっているという事実である。Palo Alto Networksのファイアウォール、Ivanti Endpoint Manager、SonicWall SMA1000のいずれにおいても、管理機能へのアクセスが脆弱性の悪用経路となっている。これは、これらのインターフェースがシステム全体を制御する高い権限を持つため、ひとたび侵害されれば、攻撃者はネットワーク内で広範な活動を行うことが可能になるからだ。
管理インターフェースは、通常、ネットワークの構成変更、ポリシー管理、ユーザーアカウントの作成・削除など、極めて機密性の高い操作を許可する。そのため、これらのインターフェースがインターネットに直接公開され、かつ脆弱性を抱えている場合、攻撃者は外部から直接、組織の防御の心臓部に侵入できることになる。未認証のリモートコード実行や特権昇格は、まさにこの心臓部を直接狙う攻撃であり、防御側にとっては最も警戒すべき脅威である。
脅威アクターは、これらの脆弱性を悪用して、初期アクセスを獲得し、その後、内部ネットワークでのラテラルムーブメント、機密データの窃取、あるいはランサムウェアの展開といった、より破壊的な攻撃へと移行する。特に、Ivantiの事例で指摘されたように、複数の脆弱性を「チェイン」して悪用する手口は、個々の脆弱性の深刻度をはるかに超える複合的なリスクを生み出す。
このような攻撃の背景には、セキュリティ製品の普及と、その管理の複雑さがある。多くの組織が利便性のために管理インターフェースを外部に公開せざるを得ない状況にある一方で、そのセキュリティ対策が不十分であるケースも少なくない。攻撃者はこの「管理の盲点」を巧みに突き、組織の最も重要な防御壁を逆手に取っているのだ。
ベンダーの対応と緊急パッチの課題
一連のゼロデイ脆弱性に対する各ベンダーの対応は、その緊急性と複雑さにおいて異なる様相を呈している。Palo Alto Networksのケースでは、脆弱性が積極的に悪用されているにもかかわらず、記事執筆時点では公式パッチが未提供であり、顧客はアクセス制限という暫定的な緩和策に頼らざるを得ない状況が続いている。これは、パッチ開発の難易度や、広範な製品ラインへの適用における課題を示唆している。
一方、Ivantiの事例では、Zero Day Initiative(ZDI)が脆弱性を私的に報告したにもかかわらず、IvantiがZDIの許容する期間内にパッチを提供できなかったため、ZDIによる異例の公開という形で事態が明るみに出た。このことは、ベンダーとセキュリティ研究コミュニティ間の調整の難しさ、あるいはベンダー側のリソースや対応体制の限界を浮き彫りにしている。パッチが未提供のまま脆弱性が公開されることは、攻撃者にとって悪用を加速させるインセンティブとなり、顧客をより大きなリスクに晒すことになる。
対照的に、SonicWallは、SMA1000の特権昇格ゼロデイ(CVE-2025-40602)に対して迅速に修正プログラムをリリースした。これは、積極的に悪用されている脆弱性に対するベンダーの責任ある対応の一例と言える。しかし、この脆弱性が以前のRCE脆弱性(CVE-2025-23006)と連鎖して悪用されているという事実は、単一のパッチだけでは過去の脅威が完全に払拭されるわけではないという、セキュリティ対策の継続的な性質を強調している。
これらの事例は、ベンダーが直面する緊急パッチ開発と展開の課題を明確に示している。複雑な製品アーキテクチャ、広範な顧客ベース、そして迅速に進化する脅威環境の中で、タイムリーかつ効果的な修正を提供することは、ベンダーにとって常に大きなプレッシャーとなっている。同時に、顧客側も、ベンダーからの情報提供を待つだけでなく、自律的なリスク評価と緩和策の実施が求められる。
組織が直面する多層防御の再考
今回の複数のセキュリティ製品におけるゼロデイ脆弱性の連鎖は、現代のサイバー防御戦略、特に多層防御(Defense in Depth)の原則を再考する必要性を強く示唆している。組織は、単一のセキュリティ製品に依存するのではなく、複数の防御層を組み合わせることで、たとえ一つの層が突破されても、次の層で攻撃を食い止める体制を構築しなければならない。
具体的な対策として、まず最も重要なのは、Palo Alto NetworksやSonicWallの事例で強調されたように、管理インターフェースへのアクセス制限である。インターネットからの直接アクセスを遮断し、VPN経由や特定の信頼されたIPアドレスからのみアクセスを許可する厳格なポリシーを適用することが不可欠だ。Ivantiのケースで推奨されたWebアプリケーションファイアウォール(WAF)やリバースプロキシの導入も、不正なリクエストをフィルタリングし、攻撃対象領域を縮小する上で有効な手段となる。
さらに、最小特権の原則を徹底し、ユーザーやサービスが必要最小限の権限のみを持つように設定することも、特権昇格の脅威を軽減するために極めて重要である。IvantiのZDI-25-947のような特権昇格脆弱性が悪用された場合でも、攻撃者が獲得できる権限を制限することで、被害の拡大を防ぐことができる。また、SonicWallの事例で示されたように、アウトバウンド接続の制限は、侵害後のコマンド&コントロール通信を防ぐ上で役立つ。
最終的に、これらのインシデントは、継続的な脆弱性管理とパッチ適用の重要性を改めて浮き彫りにしている。ベンダーから修正プログラムが提供され次第、組織は迅速かつ計画的に適用を進める必要がある。また、パッチが未提供の期間においては、代替の緩和策を講じ、脅威ハンティングを通じて潜在的な侵害の兆候を積極的に監視することが、現代の高度なサイバー脅威から組織を守るための不可欠な要素となるだろう。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Critical Unauthenticated Remote Command Execution Vulnerability in Palo Alto Networks Firewalls Actively Exploited - https://arcticwolf.com/resources/blog/critical-unauthenticated-remote-command-execution-vulnerability-palo-alto-networks-firewalls-actively-exploited/
- -13 Unpatched Ivanti Endpoint Manager Zero-days Disclosed - https://kudelskisecurity.com/research/13-unpatched-ivanti-endpoint-manager-zero-days-disclosed
- -CVE-2025-40602 | Arctic Wolf - https://arcticwolf.com/resources/blog/cve-2025-40602/