金融ソフトウェアプロバイダーのMarquis Software Solutionsは、米国内の多数の銀行および信用組合に影響を与えるデータ侵害が発生したと警告しています。
Marquis Software Solutionsは、700を超える銀行、信用組合、住宅ローン貸し手に対し、データ分析、CRMツール、コンプライアンス報告、デジタルマーケティングサービスを提供しています。
米国各州の司法長官事務所に提出されたデータ侵害通知によると、Marquisは2025年8月14日に、SonicWallファイアウォールを通じてネットワークに侵入され、その後ランサムウェア攻撃を受けました。
この侵入により、攻撃中にハッカーが「同社のシステムから特定のファイルを盗み出す」ことが可能になりました。
「調査の結果、これらのファイルには一部のビジネス顧客から受領した個人情報が含まれていたことが判明しました」と、メイン州司法長官事務所に提出された通知には記載されています。
「メイン州居住者に関して潜在的に関与した個人情報には、氏名、住所、電話番号、社会保障番号、納税者識別番号、セキュリティコードやアクセスコードを伴わない金融口座情報、生年月日が含まれます。」
Marquisは現在、顧客に代わって通知を提出しており、場合によっては州内の銀行ごとに影響を受けた人数を細かく分けて報告しています。これらの通知では、他の米国州の顧客についても同様のデータが攻撃によって流出したとしています。
メイン州、アイオワ州、およびテキサス州に提出された通知によると、以下の74の銀行および信用組合の顧客40万人以上が影響を受けています。
| 1st Northern California Credit Union | Abbott Laboratories Employees Credit Union | Advantage Federal Credit Union |
| Agriculture Federal Credit Union | Alltrust Credit Union | BayFirst National Bank |
| Bellwether Community Credit Union | C&N Bank | Cape Cod Five |
| Capital City Bank Group | Central Virginia Federal Credit Union | Clark County Credit Union |
| Community 1st Credit Union | Community Bancshares of Mississippi, Inc. | Cornerstone Community Financial Credit Union |
| CPM Federal Credit Union | CSE Federal Credit Union | CU Hawaii Federal Credit Union |
| d/b/a Community Bank | Discovery Federal Credit Union | Earthmover Credit Union |
| Educators Credit Union | Energy Capital Credit Union | Fidelity Cooperative Bank |
| First Community Credit Union | First Northern Bank of Dixon | Florida Credit Union |
| Fort Community Credit Union | Founders Federal Credit Union | Freedom of Maryland Federal Credit Union |
| Gateway First Bank | Generations Federal Credit Union | Gesa Credit Union |
| Glendale Federal Credit Union | Hope Federal Credit Union | IBERIABANK n/k/a First Horizon Bank |
| Industrial Federal Credit Union | Interior Federal | Interior Federal Credit Union |
| Interra Credit Union | Jonestown Bank & Trust Co. | Kemba Financial Credit Union |
| Liberty First Credit Union | Maine State Credit Union | Market USA FCU |
| MemberSource Credit Union | Michigan First Credit Union | MIT Federal Credit Union |
| New Orleans Firemen’s Federal Credit Union | New Peoples Bank | Newburyport Five Cents Savings Bank |
| NIH Federal Credit Union | Pasadena Federal Credit Union | Pathways Financial Credit Union |
| Peake Federal Credit Union | Pelican Credit Union | Pentucket Bank |
| PFCU Credit Union | QNB Bank | Security Credit Union |
| Seneca Savings | ServU Credit Union | StonehamBank Cooperative |
| Suncoast Credit Union | Texoma Community Credit Union | Thomaston Savings Bank |
| Time Bank | TowneBank | Ulster Savings Bank |
| University Credit Union | Valley Strong Credit Union | Westerra Credit Union |
| Whitefish Credit Union | Zing Credit Union |
現時点で、Marquisはデータが悪用されたり、どこかで公開されたりした証拠はないと述べています。
しかし、以前にComparitechが報じたように、現在は削除されているCommunity 1st Credit Unionによる提出書類では、Marquisが身代金を支払ったとされており、これは盗まれたデータの流出や悪用を防ぐ目的で行われるものです。
「Marquisは08/14/25の直後にランサムウェア(の身代金)を支払いました。10/27/25に、C1stはC1st会員に関する非公開の個人情報がMarquisの侵害に含まれていたとの通知を受けました」と、Comparitechが確認した削除済み通知には記載されています。
同社のデータ侵害通知では「この種のインシデントのリスクを低減するための措置を講じた」としか述べられていませんが、ニューハンプシャー州司法長官に提出されたCoVantage Credit Unionによる書類では、同社がどのようにセキュリティを強化しているかについて、さらに詳しい情報が共有されています。
この通知によると、Marquisは次のような対応によりセキュリティ管理を強化したとしています。
- すべてのファイアウォール機器が完全にパッチ適用され、最新の状態であることを保証すること、
- ローカルアカウントのパスワードをローテーションすること、
- 古い、または使用されていないアカウントを削除すること、
- すべてのファイアウォールおよび仮想プライベートネットワーク(「VPN」)アカウントに多要素認証を有効化すること、
- ファイアウォール機器のログ保持期間を延長すること、
- ログイン失敗が多すぎる場合にVPNでアカウントロックアウトポリシーを適用すること、
- 業務上必要な特定の国からの接続のみを許可するようgeo-IPフィルタリングを適用すること、そして
- 既知のボットネットC&C(コマンド&コントロール)サーバーとの間の接続をファイアウォールで自動的にブロックするポリシーを適用すること。
これらの対応から、脅威アクターがSonicWallのVPNアカウントを通じて同社ネットワークにアクセスした可能性が高いことが示唆されます。これは、一部のランサムウェア集団、特にAkiraランサムウェアがよく用いる手口です。
SonicWallファイアウォールを標的に
Marquisはランサムウェア攻撃の詳細をそれ以上共有していませんが、Akiraランサムウェア集団は少なくとも2024年9月初旬から、企業ネットワークへの初期侵入手段としてSonicWallファイアウォールを標的にしています。
Akiraは2024年、CVE-2024-40766の脆弱性を悪用することによりSonicWall SSL VPNデバイスへの侵入を開始しました。この脆弱性により、攻撃者はVPNのユーザー名、パスワード、ワンタイムパスコード生成用のシードを盗み出すことが可能でした。
SonicWallがこのバグにパッチを適用した後も、多くの組織がVPNの認証情報を適切にリセットしなかったため、Akiraは以前に盗まれた認証情報を使って、パッチ適用済みデバイスへの侵入を継続できていました。
最近の報告では、このグループがMFA(多要素認証)が有効になっている場合でもSonicWall VPNアカウントにサインインし続けていることが示されており、攻撃者が以前の悪用時にOTP(ワンタイムパスワード)のシードを盗んでいた可能性が示唆されています。
AkiraがVPN経由で侵入に成功すると、ネットワークのスキャン、偵察の実施、Windows Active Directoryでの権限昇格、そしてランサムウェアを展開する前にデータ窃取を行うなど、素早く行動します。
