SonicWall SMA1000のゼロデイ連鎖CVE-2026-15409とCVE-2026-15410で未認証SSRFからroot権限奪取まで至るVPN装置の急所
対象の目安: SMA1000など境界VPN装置を運用する情報システム/インフラ担当 / 実務

SonicWallは2026年7月14日、リモートアクセス装置SMA1000シリーズの脆弱性2件を公開しました。未認証のリモート攻撃者が突けるサーバサイドリクエストフォージェリ(SSRF)のCVE-2026-15409(CVSS 10.0)と、ポスト認証のコードインジェクションであるCVE-2026-15410(CVSS 7.2)です。この2件はタンデムで悪用され、認証境界の外側にある機能を入口にroot権限のOSコマンド実行まで到達します。SonicWallは実際の悪用を確認済みと明記し、回避策を提示しておらず、即時のhotfix適用を促しています。運用担当が取るべき初動は、修正版(hotfix)の適用と、適用前に侵害されていないかの確認です。
本記事は、SMA1000など境界VPN装置を運用する情報システムやインフラの担当に向けて、なぜ未認証のSSRFからroot奪取まで連鎖するのか、その機構と運用側の初動を、SonicWall公式とRapid7の一次情報にもとづいて整理します。検証は自組織が管理する環境に限って行う前提で書いており、攻撃の再現手順やペイロードは示しません。
影響を受けるSMA1000の製品と版
対象はSMA 6210、7210、8200v、および集中管理のCMSで、全ハイパーバイザが含まれます。影響を受ける版と、適用すべき修正版は次のとおりです。
| 区分 | バージョン |
|---|---|
| 影響を受ける版 | 12.4.3-03245 / 03387 / 03434、12.5.0-02283 / 02624 / 02800 |
| 修正版(hotfix) | 12.4.3-03453以上、12.5.0-02835以上 |
自組織の装置がこの一覧の影響版に該当する場合、修正版への更新が最優先です。SonicWallは回避策を提示しておらず、更新以外に露出を止める手立てはありません。
未認証SSRFのCVE-2026-15409が入口になる機構
CVE-2026-15409は、SMA1000のAppliance Work PlaceインターフェースのSSRFです。SSRFは、サーバが利用者から受け取ったURLの宛先を十分に検証せず、意図しない先へリクエストを送ってしまう脆弱性を指します(CWE-918)。NVDに登録された説明でも、未認証のリモート攻撃者が装置に意図しない場所へのリクエストを行わせられると記されています。
Rapid7の分析によると、この機能はWork Placeの/wsproxyパス経由で到達できるwebsocketプロキシで、利用者が渡したパラメータをもとに任意のホストやポートへのトンネルを開きます。攻撃者はこの宛先をlocalhostへ向け、外部からは直接届かないはずのローカル限定サービスに到達します。Rapid7は、最初の段でlocalhostのポート1050で待ち受けるErlangプロセスが狙われ、認証を要さずにコード実行へ至ると説明しています。境界の外に置かれた未認証の機能が、内部限定サービスへの通路を開いてしまう点がこの脆弱性の急所です。
ポスト認証のCVE-2026-15410がroot権限奪取につながる機構
CVE-2026-15410は、SMA1000のAppliance Management Consoleにおけるコードインジェクションです。SonicWall公式は、特定条件下で認証済みの管理者が任意のOSコマンドを実行できる脆弱性と説明しており、NVDの分類もコードインジェクション(CWE-94)です。CVSSは7.2で、悪用には管理者相当の権限が前提になります。
Rapid7は、この脆弱性の機構としてremove_hotfixワークフローのパストラバーサルを挙げています。攻撃者がトラバーサル列を含むパラメータを与えることで、攻撃者が用意したスクリプトをroot権限で実行させる、という説明です。ここで注意したいのは出典の区別です。ベンダーによる分類はコードインジェクションであり、Rapid7が示すのはその悪用機構としてのパストラバーサルです。両者は矛盾せず、脆弱性の種別と具体的な悪用経路という異なる粒度の説明です。
CVE-2026-15409の未認証コード実行で装置内の足場を得た攻撃者が、続けてCVE-2026-15410でroot権限のOSコマンド実行へ格上げする、という連鎖になります。未認証のSSRFが入口を開き、ポスト認証の欠陥が最上位権限への到達を許すため、2件が組み合わさると装置全体の掌握に至ります。SonicWall公式はCVE-2026-15410を認証済み管理者による任意OSコマンド実行(PR:H)に分類していますが、Rapid7が観測した実際の悪用連鎖では、攻撃者が正規の管理者資格情報をあらかじめ持っていなくても、CVE-2026-15409のSSRFが装置内部のサービスへの到達という前提を満たすため、連鎖が成立します。
攻撃者が窃取した資格情報とMFAシードで内部へ広げる流れ
Rapid7のMDRチームは、SonicWallの公式開示(2026年7月14日)より前に、インターネットに面したSMA1000装置への標的型の実際の悪用を検知しました。攻撃者は装置を侵害した後、高価値の資格情報、アクティブなセッションのデータベース、TOTP(多要素認証)のシード設定を窃取していたとされます。TOTPシードまで奪われると、多要素認証のワンタイムコードを攻撃者側でも生成できるため、認証の追加要素が突破される点が問題です。
さらにRapid7は、侵害された装置のIPを起点に、VPNを介さない異常なActive Directory認証へピボットする活動を観測しています。認証元にはKALIのような非業務のワークステーション名が現れ、正規のVPNセッションを伴わない点が手がかりになります。侵害の観測から、対応は装置の再イメージ化と、資格情報およびTOTPトークンのリセットが必要になります。修正版の適用だけでは、すでに窃取された資格情報やシードは無効化されないためです。
境界VPN装置がなぜ侵入口として優先的に狙われるのか、その背景は次の記事でも整理しています。
あわせて読みたい
境界に置くエッジ機器の脆弱性が侵入口として狙われる理由
侵害有無を確認する手がかり
Rapid7は侵害の痕跡(IoC)として、装置のログに残る特徴を挙げています。ここでは検知に使う観点にとどめ、攻撃の再現につながる詳細は示しません。extraweb_access.logに、wsproxyへのアクセスと=-3389を含むエントリが記録される点が代表例です。また、侵害装置のIPを送信元とするActive Directory認証で、非業務のワークステーション名が現れる点や、対応するVPNセッションが存在しない点も手がかりになります。攻撃インフラは複数のIP範囲やASNにまたがると報告されていますが、送信元IPだけに依存した検知は取りこぼしにつながるため、ログ上の挙動と併せて確認する運用が現実的です。
KEV収録と是正期限を踏まえた運用担当の初動
CISAは2026年7月14日、両CVEをKnown Exploited Vulnerabilities(KEV)カタログへ収録しました。この日のアラートは、SonicWallの2件に加えてMicrosoftのActive Directory Federation ServicesとSharePointに関する脆弱性を含む合計4件の追加を告知しています。Binding Operational Directive 26-04のもと、連邦民間行政機関に対するCVE-2026-15409とCVE-2026-15410の是正期限は2026年7月17日に設定されました。KEVは連邦機関向けの拘束的な指示ですが、実際の悪用が確認された脆弱性の一覧として、民間の運用でも優先度の判断に使えます。
運用担当が取るべき初動を、順に整理します。
- 1
影響版の該当を確認する
稼働中のSMA1000(6210/7210/8200v)とCMSの版が、影響を受ける版の一覧に該当するかを確認します。
- 2
修正版を適用する
12.4.3-03453以上または12.5.0-02835以上へ更新します。回避策は無いため、更新が唯一の露出低減策です。
- 3
侵害有無を確認する
extraweb_access.logのwsproxyと3389を含むエントリや、装置IPを起点とする異常なActive Directory認証など、Rapid7が示すIoCを照合します。
- 4
侵害時は再イメージ化と資格情報リセットを行う
侵害の痕跡が見つかった場合は装置を再イメージ化し、資格情報とTOTPトークンをリセットします。窃取済みの情報は更新だけでは無効化されません。
KEVに収録された脆弱性の優先度づけは、EPSSと併せて判断すると運用に落とし込みやすくなります。その考え方は次の記事で整理しています。
あわせて読みたい
脆弱性対応の優先順位付け。CVSSだけに頼らないEPSSとCISA KEVの使い方
侵害が確認された場合の初動対応の全体像は、次の記事も参考になります。
あわせて読みたい
インシデント発生時の初動対応。最初の1時間で何をするか
確認しておく項目
運用担当が短時間で押さえておく項目を、チェックリストにまとめます。
- 稼働中のSMA1000とCMSの版が影響を受ける版に該当するか確認した
- 修正版(12.4.3-03453以上または12.5.0-02835以上)を適用した
- extraweb_access.logのwsproxyと3389を含むエントリを確認した
- 装置IPを起点とする非業務ワークステーション名のActive Directory認証がないか確認した
- 侵害の痕跡がある場合に装置の再イメージ化と資格情報およびTOTPリセットを実施した
- KEVの是正期限(2026年7月17日)を踏まえ対応の優先度を設定した
SMA1000のゼロデイ連鎖は、認証境界の外側にある機能が入口となり、未認証のSSRFからroot権限のOSコマンド実行まで至る点に特徴があります。修正版の適用を最優先としつつ、適用前にすでに侵害されていないかを一次情報のIoCで確認し、痕跡があれば再イメージ化と資格情報およびTOTPのリセットまで行う、という一連の対応が求められます。
出典・参考
- SonicWall Product Notice: SMA 1000 Series affected by Multiple Vulnerabilities
- Rapid7 MDR Team Discovers New SonicWall SMA1000 Zero Days being Actively Exploited (CVE-2026-15409, CVE-2026-15410)
- CISA Known Exploited Vulnerabilities Catalog
- CISA Adds Four Known Exploited Vulnerabilities to Catalog (2026-07-14)
- Help Net Security: SonicWall SMA appliances targeted in zero-day attacks (CVE-2026-15409, CVE-2026-15410)
- NVD: CVE-2026-15409
- NVD: CVE-2026-15410
- CWE-918: Server-Side Request Forgery (SSRF)
関連する記事
境界に置くエッジ機器の脆弱性が侵入口として狙われる理由
VPN機器やファイアウォールなど境界に置くエッジ機器の脆弱性が、なぜ侵入口として狙われるのかを一次情報で整理します。攻撃者が公開機器を探索して内部へ横展開する流れ、取引先の機器が踏み台になる側面、パッチ優先度や露出削減といった運用側の対策を解説します。
脆弱性対応の優先順位付け。CVSSだけに頼らないEPSSとCISA KEVの使い方
毎月大量に出るパッチを全部当てるのは不可能です。実際に悪用されている脆弱性(CISA KEV)と悪用予測スコア(EPSS)、深刻度(CVSS)を組み合わせたリスクベースの優先度付けを、優先度マトリクスと運用ステップ付きで実務担当者向けに解説します。
インシデント発生時の初動対応。最初の1時間で何をするか
セキュリティインシデントの最初の1時間を、検知・トリアージ・封じ込め・証拠保全という順序で整理します。慌てて電源を切る前に何を確認し、何を記録すべきか。NISTやJPCERT/CCの枠組みをもとに実務の判断基準を示します。


