警告：SonicWallファイアウォールの設定バックアップがブルートフォース攻撃の標的に

SonicWallは、最近のファイアウォールのクラウドバックアップ用APIサービスへのブルートフォース攻撃により、クラウドポータルに保存されているバックアップ設定ファイルが漏洩した可能性があるとして管理者に警告しています。

影響を受けるのは、顧客のMySonicWall.comポータルに設定ファイルがバックアップされているSonicWallファイアウォールです。同社が発表しました。

これに対応し、バックアップ機能へのアクセスは無効化され、管理者はSSLVPNサービスおよびWeb/SSH管理のWAN経由でのアクセスを無効化または制限し、ファイアウォールのパスワード、キー、シークレットをリセットするよう強く求められています。

パスワードやキーは、組織のインターネットサービスプロバイダー、ダイナミックDNSプロバイダー、メールプロバイダー、リモートIPSec VPNピア、LDAP/RADIUSサーバーなど、他の場所でも更新が必要な場合があることに注意してください。SonicWallは自社ウェブサイトで詳細なガイダンスを提供しています。

クラウドバックアップ機能を使用した顧客で、MySonicWallアカウントにシリアル番号が表示されていない場合、SonicWallは今後数日以内にバックアップファイルが影響を受けたかどうかを判断するための追加ガイダンスを提供します。

SonicWallは声明で、「クラウドにバックアップされたファイアウォール設定ファイルを持つファイアウォールの設置ベースの5%未満が影響を受けた」と述べています。同社は50万社の顧客がいるとしていますが、全員がファイアウォールを利用しているわけではありません。それでも5%という数字は、数千の組織に相当する可能性があります。

「ファイルには暗号化されたパスワードが含まれていましたが」とSonicWallの声明は述べています。「攻撃者がファイアウォールを悪用するのを容易にする情報も含まれていました。」

「バックアップを持っているということは、パズルのピースがたくさんある宝の山のようなもので、それを組み合わせることでバックアップされたデバイスのセキュリティ状況や一般的なネットワークアクセスを把握できる」と、カナダのコンサルティング会社DeepCove CybersecurityのチーフセキュリティアーキテクトであるKellman Meghu氏は警告しています。

「ランサムウェアではない」

本日時点で、これらのファイルが脅威アクターによってオンラインに流出したという情報はありません。

「これはSonicWallにとってランサムウェアやそれに類する事件ではありませんでした」と声明は述べています。「むしろ、バックアップに保存された設定ファイルへのアクセスを得るために、アカウントごとにブルートフォース攻撃が繰り返されたものです。」

MySonicWall.comポータルの利用者はログインし、クラウド設定バックアップが有効になっているか確認してください。この機能を利用している場合、影響を受けたデバイスのシリアル番号が表示され、各顧客のポータルには情報バナーが表示されます。

今回の警告は、いくつかの国のサイバーセキュリティ当局が、Akiraランサムウェアグループが2024年の重大な脆弱性パッチを適用していないSonicWallファイアウォールを悪用していると警告した後に出されました。

ブルートフォース攻撃とは？

ブルートフォース攻撃は、パスワードやログイン認証情報、暗号鍵を総当たりで解読する手法です。コンピュータ時代の初期から存在しますが、今でも効果的です。

なぜでしょうか？一因として、人々が今でも「1234」や会社名、ベンダーが出荷時に設定したデフォルトパスワードなど、簡単に推測できるパスワードを使い続けているからです。

脅威アクターは、過去のデータ漏洩をもとに有名なスポーツ選手名、俳優名、ロックバンド名など、よく使われるパスワードのリストを作成し、それを販売したり、クレデンシャル・スタッフィング攻撃で共有しています。辞書攻撃は辞書に載っている単語のリストを使います。ハイブリッドブルートフォース攻撃は、辞書と盗まれたパスワードリストを組み合わせて使います。

現代のコンピューティング技術も脅威アクターを助けているとMeghu氏は指摘します。現在の低コストなクラウドコンピューティングリソースを使えば、誰でも一時的な仮想マシンを立ち上げて、あらゆる組み合わせを試すことができます。また、Picus Securityは最近、ハッシュ化されたパスワードでさえ簡単に解読できると報告しています。

防御策

従業員や顧客に16文字以上の長いパスワードを義務付けることが一つの防御策です。米国国立標準技術研究所（NIST）は、さらに良い方法として、従業員が覚えやすいフレーズ（パスフレーズ）を使うことを推奨しています。

ユーザーが推測しやすいパスワードを作らないようにするため、CSOは従業員にパスワードマネージャーを使って認証情報を保存することを義務付けるべきです。

最後に、専門家はブルートフォース攻撃に対する最善の防御策は、フィッシング耐性のある多要素認証であり、管理者には物理的なUSBキーや生体認証を追加のログイン手順として使うことを推奨しています。

「公開鍵/秘密鍵を使ってブルートフォースを無意味にする — その鍵を守ってください!! — あるいは何らかの二要素認証を使うだけでは十分ではありません」とMeghu氏は述べています。「追加の保護が標準であるべきです。」

「パスワードだけで保護されているものは基本的に信用できません」と彼は言います。「いずれコンピュータの計算能力がパスワードを解読できるレベルに達すると想定してください。その時間を延ばすためにも、できるだけ長いパスワードを使い、機密データには最低18文字を推奨します。」