Marquisランサムウェア侵害：金融サービスにおいてサードパーティベンダーが最も弱いリンクになるとき

約80万人の銀行および信用組合顧客が情報流出の被害を受けた、2025年8月の攻撃に関する包括的分析

エグゼクティブサマリー

2025年8月、テキサス州に拠点を置き、700を超える銀行および信用組合にサービスを提供するフィンテックベンダーであるMarquis Software Solutionsが、高度なランサムウェア攻撃の被害に遭い、約788,000人分の個人情報および金融情報が侵害された。侵害は2025年8月14日に発生し、攻撃者は同社のSonicWallファイアウォールの脆弱性を悪用して、機密性の高い顧客データへ不正アクセスした。このインシデントは、金融サービス分野におけるサードパーティベンダー集中がもたらすシステミックリスクを、あらためて強く印象づけるものとなった。

侵害のタイムライン

2025年8月14日：攻撃者がSonicWallファイアウォールの脆弱性を通じてMarquis Software Solutionsのネットワークに侵入
同日：同社が不審な活動を検知し、影響を受けたシステムをオフライン化
2025年10月27日：金融機関が侵害通知の受領を開始
2025年11月下旬〜12月上旬：複数州の司法長官への届出を通じて公表
継続中：調査が継続されており、2025年12月初旬時点ではダークウェブ上でデータが確認された形跡はない

どのようなデータが侵害されたのか？

盗まれた情報は、被害者の金融アイデンティティの包括的なプロファイルに相当する：

氏名および住所
社会保障番号（SSN）
納税者番号（TIN）
生年月日
電話番号
金融口座情報（セキュリティコードやアクセス認証情報は除く）
クレジットカードおよびデビットカード番号

このような個人を特定できる情報（PII）と金融データの組み合わせは、被害者にとって重大なアイデンティティ盗難リスクを生み出す。

影響の規模：74以上の金融機関が被害

メイン州、アイオワ州、テキサス州、マサチューセッツ州、ニューハンプシャー州、サウスカロライナ州、ワシントン州の司法長官事務所に提出されたデータ侵害通知によると、少なくとも74の銀行および信用組合が影響を受けた。しかし、Marquisは全米で700を超える金融機関にサービスを提供しているため、実際の影響範囲はさらに広い可能性がある。

影響を受けた機関は、Marquisに以下のような用途で依存している地域銀行および信用組合の一群を代表している：

データ分析およびビジネスインテリジェンス
顧客関係管理（CRM）ツール
コンプライアンス報告および規制文書作成
デジタルマーケティングサービス

技術的な攻撃ベクター：SonicWall ― だが、どの脆弱性か？

重要な補足：Marquisは、2025年8月14日に攻撃者が「SonicWallファイアウォールを通じて」ネットワークに侵入したことのみを認めており、どの特定の脆弱性が悪用されたかは開示していない。以下は、攻撃パターンと時期に基づくセキュリティ研究者の推測であり、事実として確認されたものではない。

推測：2つの有力な説

セキュリティ研究者は、どの脆弱性が使われたかについて、主に2つの説を提示している：

説1：CVE-2024-40766（メディアで最も多く報じられている説）

多くのセキュリティ系メディアは、これがCVE-2024-40766であると推測している。これは、SonicWall SonicOSにおける重大な不適切アクセス制御の脆弱性であり、2024年8月に公開された。Marquis侵害の約1年前である。

この脆弱性は、CVSSスコア9.3（クリティカル）を付与され、複数世代のデバイスにおけるSonicWallのSSL VPNおよび管理アクセスコンポーネントに影響する：

第5世代デバイス：バージョン5.9.2.14-12o以前を実行するSOHOモデル
第6世代デバイス：バージョン6.5.4.14-109n以前を実行するTZ、NSA、SMモデル
第7世代デバイス：SonicOSビルド7.0.1-5035以前を実行するTZおよびNSAモデル

研究者がCVE-2024-40766を疑う理由：

2024〜2025年を通じてAkiraランサムウェアにより多用された
VPN認証情報、パスワード、OTPシードの窃取を可能にする
認証情報をローテーションしない限り、パッチ適用後も永続的なアクセスを許してしまう
既知のAkiraキャンペーンとタイムラインが一致する
Marquisの事後対策（MFA、ジオブロッキング、認証情報ローテーション）がVPN侵害を示唆している

重大なタイミングの問題：もし本当にこの脆弱性が使われたのであれば、Marquisは1年前にパッチが公開されていた脆弱性を突かれて侵害されたことになり、パッチ管理の致命的な失敗を意味する。

説2：CVE-2024-53704（技術的分析）

しかし、Ridge Security社長のLydia Zhangは、この侵害は別のSonicWall SSL VPN脆弱性であるCVE-2024-53704により近いと主張している：

“今回の攻撃はCVE-2024-40766ではなく、CVE-2024-53704により密接に関連している。『53704』のSonicWall SSL VPN脆弱性はスワップクッキーとセッションIDを漏えいさせ、リモート攻撃者が認証をバイパスして既存セッションを乗っ取ることを可能にする。”

CVE-2024-53704の詳細：

公式公開日：2025年1月7日（それ以前にゼロデイとして悪用されていた可能性あり）
CVSSスコア：9.8（クリティカル）
認証情報なしでのセッションハイジャックを許す
TZ、NSa、NSsp、NSvシリーズのファイアウォールに影響
CISA KEVへの追加：2025年2月18日

この説におけるタイミングの問題：CVE-2024-53704は2025年1月まで公表されていなかったが、Marquis侵害は2025年8月に発生している。これは次の可能性を意味しうる：

攻撃者がゼロデイとしてこの脆弱性を発見し、公表前の数カ月間利用していた
2025年1月の公表以前からすでに実際の攻撃で悪用されていた
研究者の推測が誤りで、実際にはCVE-2024-40766が使われた

実際に分かっていること

確認されている事実：

攻撃者はSonicWallファイアウォールを通じて侵入した
攻撃は2025年8月14日に発生した
MarquisはVPN／認証の侵害を示唆する事後対策を実施した
攻撃パターンはAkiraランサムウェアの手口と類似している

推測／未確認事項：

どのCVEが具体的に悪用されたのか
Akiraランサムウェアが実行犯かどうか
身代金が支払われたかどうか

より広い意味での真実：どの脆弱性が使われたかにかかわらず、Marquisはパッチ適用、適切な設定、あるいはリプレースが行われるべき脆弱なSonicWall機器を稼働させていたという点は変わらない。特定のCVEが何であるかは、根本的なセキュリティ失敗という観点ではほとんど意味を持たない。

SonicWallの4年間にわたるセキュリティ悪夢：搾取の歴史（2021〜2025年）

Marquis侵害を理解するには背景が必要だ。SonicWallは4年連続でランサムウェア攻撃者のお気に入りの標的となっている。これは単発のインシデントではなく、SonicWall製品が世界中の数百組織で体系的かつ継続的に悪用されてきた流れの一部である。

厳しい統計

2021年末以降、CISAの既知悪用脆弱性（KEV）カタログに掲載されたSonicWallのCVEは14件
そのうち8件はランサムウェアキャンペーンでの利用が確認済み
2025年だけで4件が積極的に悪用（2025年12月時点）
2025年にSonicWallが公表した脆弱性は20件以上
特筆すべき点：多くの競合と異なり、SonicWallはSecure-by-Design誓約に署名していない

主なインシデントのタイムライン

2021年：ゼロデイによる目覚めの一撃

CVE-2021-20016（SonicWall Email Security ― SQLインジェクション）

UNC2447脅威グループによりゼロデイとして悪用
FiveHandsランサムウェア（HelloKittyの亜種）の展開に利用
初検知：2020年10月、公表：2021年初頭
同時に悪用された脆弱性：CVE-2021-20021、CVE-2021-20022、CVE-2021-20023

CVE-2021-20035（SMA 100 ― コマンドインジェクション）

認証済みOSコマンドインジェクションの脆弱性
2025年のキャンペーンで再悪用（後述）
CISA KEVへの追加：2025年

2022年：一時的な小康状態と潜在的な問題

CVE-2022-22274（NGFW ― バッファオーバーフロー）

Web管理機能における認証不要のバッファオーバーフロー
CVSS：9.4（クリティカル）
DoSまたはRCEの可能性
第6世代および第7世代ファイアウォールが対象
後にCVE-2023-0656と関連していることが判明

2023年：継続する圧力

CVE-2023-0656（NGFW ― バッファオーバーフロー）

CVE-2022-22274と本質的に同一だが、別のURIパス上の脆弱性
Bishop Foxの研究者により発見
公表時点で178,000台以上のデバイスが脆弱な状態
不完全なパッチ適用のパターンを示す

CVE-2023-44221（SMA 100 ― コマンドインジェクション）

認証後のOSコマンドインジェクション
CISA KEVへの追加：2025年7月
公表から数年後も実際の攻撃で悪用

2024年：Akiraの年

CVE-2024-40766（SonicOS ― 不適切アクセス制御） ― 最大級の一撃

公開日：2024年8月22日
CVSS：9.3（クリティカル）
CISA KEVへの追加：2024年9月10日
ランサムウェアキャンペーンでの利用が確認済み

悪用の波：

AkiraおよびFogランサムウェアが公開直後から大規模悪用を開始
Arctic Wolfは2024年8〜10月に30件以上の侵入を観測
攻撃者はVPN認証情報とOTPシードを窃取
認証情報をローテーションしない限り、パッチ適用後も脆弱な状態が継続
2024年12月時点で48,933台のデバイスが未パッチ（公開デバイスの13％）

ユニークな永続化メカニズム：パッチ適用前に侵害されたシステムでは、攻撃者は盗んだOTPシードを用いて有効な2要素認証コードを生成できるため、パッチ適用後も無期限にアクセスを維持できた。これに対処するには、単なるパスワードリセットではなく、MFAの完全な再登録が必要だった。

CVE-2024-38475（SMA 100 ― コマンドインジェクション）

認証後のコマンドインジェクション
CISA KEVへの追加：2024年
継続的なSMA 100の標的化の一部

CVE-2024-53704（SonicOS SSL VPN ― 認証バイパス）

公開日：2025年1月7日（だがゼロデイとしてそれ以前から悪用されていた可能性が高い）
CVSS：9.8（クリティカル）
不適切なクッキー処理による認証バイパス
認証情報なしでのセッションハイジャックを許す
CISA KEVへの追加：2025年2月18日
Bishop FoxによるPoC公開：2025年2月
Arctic Wolfにより積極的な悪用が確認

2025年：危機は続く

2025年1月 ― 1日で9件の脆弱性

SonicWallは2025年1月7日に9件の脆弱性に関するアドバイザリを公開
厳しい1年の幕開けとなった

CVE-2025-23006（SMA 1000 ― デシリアライゼーション）

クリティカルなデシリアライゼーション脆弱性
リモートかつ認証不要のRCE
公開日：2025年1月22日
CISA KEVへの追加：2025年1月24日
ランサムウェアキャンペーンでの利用が確認済み

2025年7〜8月 ― 「ゼロデイ」混乱

当初ゼロデイとされた攻撃の波が発生
Huntress、Arctic Wolf、Mandiantなど複数のセキュリティ企業が、完全にパッチ適用済みかつMFA有効なシステムへの攻撃を報告
SonicWallは最終的に、2024年のCVE-2024-40766が原因だと説明
論争点：研究者は以下の理由から新たなゼロデイだと考えていた：
- 完全にパッチ適用されたシステムが侵害されていた
- MFAがバイパスされていた
- 攻撃のスピードと高度さ
もっともらしい説明：パッチ適用前に盗まれた認証情報と不十分な認証情報管理を攻撃者が利用していた

Google TAGの発見 ― Overstepバックドア（2025年5月）

Google Threat Intelligence GroupがSMA 100デバイス上で高度なバックドアを発見
「Overstep」マルウェアは永続化を目的として設計
Abyssランサムウェアキャンペーンと関連付けられた
サポート終了（EOL）のSMA 100シリーズデバイスを標的
盗まれた管理者認証情報を用いて繰り返し攻撃
再起動や多くの除去手段を生き延びる

2025年5月 ― さらに3件のSMA 100脆弱性

CVE-2025-32819（任意ファイル削除） ― 実際の攻撃で悪用されたとみられる
CVE-2025-32820（権限昇格）
CVE-2025-32821（root権限でのRCE）
これらを連鎖させることでデバイスの完全な乗っ取りが可能
Rapid7により発見・公開
5日以内（2025年5月7日）にパッチがリリース

2025年7月 ― ルートキットキャンペーン

CVE-2025-40599（SMA ― 認証済みファイルアップロード）
SMA 100シリーズにルートキットを展開するために利用
Google TAGとSonicWall PSIRTが発見
緊急アドバイザリが発行
専用の除去ツールが公開

パターン：なぜSonicWallは繰り返し攻撃されるのか

レガシー製品：多くの悪用CVEは、依然として広く利用されている旧式のSMA 100シリーズや第6／7世代ファイアウォールに影響
不完全なパッチ：CVE-2022-22274とCVE-2023-0656のように、一部を修正しても類似の欠陥が別の箇所に残る事例が複数存在
パッチ後の永続化：CVE-2024-40766のような脆弱性は、認証情報を適切にローテーションしない限り、パッチ適用後も攻撃者のアクセスを許す
サポート終了機器：多くの組織が、ベンダーサポートのないEOLデバイスを使い続けている
設定の複雑さ：適切なハードニングには、パッチ適用だけでなく、MFA、認証情報ローテーション、OTP再登録、ジオブロッキングなど複数のステップが必要
広範な導入：SonicWallは世界中で数十万の組織に利用されており、非常に価値の高い標的となっている
Ransomware-as-a-Service（RaaS）への集中：Akira、Fog、Abyssといったグループが、SonicWallをアフィリエイト向けプレイブックの中核に据えている

業界比較

参考として、CISAのKEVカタログにおける他のVPN／ファイアウォールベンダーとの比較は以下の通り：

Ivanti：2024年1月以降16件のCVE（最悪の成績）
SonicWall：2021年末以降14件のCVE（2番目に悪い）
Fortinet：複数のCVEがあるが、より長い期間に分散
Palo Alto Networks：KEVへの掲載は少ないが、最近クリティカルな問題が発生
Cisco：AkiraはCiscoデバイスも標的とするが、KEVへの掲載頻度は低い

2025年8月Marquis侵害の文脈

2025年8月にMarquisが侵害された時点で、同社は次のような環境下で事業を行っていた：

SonicWallは複数のランサムウェアグループから継続的かつ集中的な攻撃を受けていた
少なくとも2〜3件の重大な脆弱性が積極的に悪用されていた
セキュリティコミュニティは新たなゼロデイの可能性を警告していた
直近数カ月でCISAが複数のSonicWallのCVEをKEVに追加していた
ベストプラクティスとして、単なるパッチ適用だけでなく、認証情報の全面的な見直しが求められていた

根本的な問い：このような脅威状況にもかかわらず、なぜ700以上の銀行データを扱う金融サービスベンダーがSonicWall機器に依存し続け、かつそれを適切に保護していなかったのか？

業界にとっての意味

SonicWallを巡る一連の出来事は、次のことを示している：

ネットワーク機器は継続的な標的である：VPN／ファイアウォールベンダーは、持続的かつ高度な攻撃にさらされている
パッチ適用だけでは不十分：多くの攻撃は、パッチ適用後も認証情報の再利用を通じて成功している
サポート終了はセキュリティ危機：サポートのないデバイスは時限爆弾のような存在
セキュリティベンダーへの信頼は獲得されるべきもの：KEVカタログに繰り返し登場するベンダーは、ベンダー選定の見直しを促すシグナルとなるべき
サードパーティリスクはインフラリスク：ベンダーが脆弱な機器を使えば、その代償を払うのは顧客データである

問われていない問い

規制当局や取締役会が問うべきなのは次の点だ：あるセキュリティベンダーがCISAの既知悪用脆弱性カタログに14回登場し、そのうち8件がランサムウェアキャンペーンでの悪用が確認されている場合、その製品を使い続けることは、どの時点から過失と見なされるのか？

Marquis侵害は、繰り返し侵害されているインフラに依存することが、特に機密性の高い金融データを扱う組織にとって、容認しがたいリスクを生むという警鐘となりうる。

関連資料：Akiraランサムウェアがどのようにして一企業を破壊しうるかの生々しい例として、次のケーススタディを参照されたい：The KNP Logistics Ransomware Attack: How One Weak Password Destroyed a 158-Year-Old Company。この攻撃により730人の従業員が職を失い、158年続いた企業が終焉を迎えた。これは、基本的なセキュリティ失敗が現実世界にもたらす壊滅的な結果を示している。

Akiraランサムウェアとの関連（推測）

いかなるランサムウェアグループもMarquis攻撃の犯行声明を出してはいないものの、セキュリティ研究者は既知のAkiraランサムウェアの戦術との類似点を指摘している。これは以下に基づく推測である：

攻撃パターン：SonicWallの脆弱性を利用する手口がAkiraの既知プレイブックと一致
タイミング：2024〜2025年に記録されたAkiraキャンペーンと時期が重なる
テクニック：VPN侵害、認証情報窃取、迅速なラテラルムーブメント
身代金支払いの噂：Akiraは通常、暗号化＋情報流出の二重恐喝モデルで活動

Arctic Wolfなどの研究者は、2024〜2025年にSonicWall SSL VPNを標的としたAkiraランサムウェア侵入事例を記録しており、その特徴には次のようなものがある：

実行スピード：初期侵入から完全暗号化まで、最短で5時間というケースもあった
機会主義的な標的選定：特定業界を狙うのではなく、無差別的な攻撃が多く、大規模な自動スキャン・悪用が行われていたとみられる
パッチ後の永続化：組織がCVE-2024-40766にパッチを適用した後も、攻撃者は以前に盗んだ認証情報やOTPシードを用いてアクセスを維持していた

身代金支払いを巡る論争

この侵害で最も興味深い点の一つは、身代金支払いが行われたとされる疑惑である。Community 1st Credit Unionの通知（現在は削除済み）には、次のような記述があったと報じられている：

“Marquisは2025年8月14日直後にランサムウェアに対して支払いを行った。2025年10月27日、C1stはMarquis侵害にC1st会員の非公開個人情報が含まれていたとの通知を受けた。”

この通知は、削除前にセキュリティ系メディアComparitechによって確認されており、Marquisが盗まれたデータのダークウェブ公開を防ぐために、攻撃者へ支払いを行った可能性を示唆している。Marquisはこれらの疑惑について、公に認めても否定もしていない。

身代金支払いを巡る議論：身代金の支払いは物議を醸し、法執行機関からは多くの場合推奨されないが、以下のような理由から支払いを選択する組織もある：

事業中断による損失が身代金要求額を上回る場合
業務復旧を迅速に行うために復号鍵が必要な場合
盗まれたデータが削除されるとの約束（法的拘束力はない）がある場合
データ流出によるレピュテーション被害が壊滅的になりうる場合

2025年12月初旬時点で、いかなるランサムウェアグループもこの攻撃の犯行声明を出しておらず、盗まれたデータも既知のリークサイトには現れていない。これは、身代金が支払われたという説を補強する可能性がある。

侵害後、Marquisは複数のセキュリティ強化策を実施したが、セキュリティ専門家は、これらは本来ベースラインとして導入されているべきだったと指摘している：

実施されたセキュリティ対策

多要素認証（MFA）：すべてのアクセス経路に導入
アカウントロックアウトポリシー：ブルートフォース攻撃を防ぐために実装
Geo-IPフィルタリング：地理的な位置に基づくアクセス制限
ボットネットIPブロッキング：既知の悪意あるIPアドレスからのアクセスを遮断
監視強化：不審なネットワーク活動の検知能力を向上
サードパーティのサイバーセキュリティ専門家：有力なフォレンジックチームを起用して調査を実施
法執行機関への通報：連邦当局にインシデントを報告

被害者支援サービス

Marquisは被害者に対して以下を提供している：

無料のクレジットモニタリング（1〜2年）
Epiq Privacy Solutions IDによるアイデンティティ盗難保護サービス
必要に応じたアイデンティティ復旧の専用サポート

サードパーティリスク：システミックな危険

Marquis侵害は、金融サービスにおいて高まる懸念、すなわちサードパーティベンダー集中リスクを象徴している。XcapeのセキュリティエンジニアであるNoelle Murataは次のように述べている：

“Marquisは、サードパーティの集中が金融サービス業界にシステミックな危険をもたらす最新の例だ。多数の銀行のデータフロー上に位置する一つの中堅ベンダーが、瞬時に全国規模の被害範囲を生み出しうる。”

なぜサードパーティベンダーが主要な標的となるのか

複数組織へのアクセス：一度の侵害で、数十〜数百のクライアントからデータを得られる
しばしば防御が手薄：ベンダーは、彼らがサービスを提供する大規模機関と同等のセキュリティ水準を維持していない場合がある
信頼された関係：一度ベンダーネットワークに侵入すれば、クライアントシステムへのアクセスは正当なものに見える
規制のアービトラージ：小規模ベンダーは、銀行本体ほど厳格な監督を受けない場合がある

最近の類似インシデント

Marquis侵害は、金融サービスおよびその他の分野におけるサードパーティベンダー侵害の憂慮すべきパターンに続くものである：

MOVEit Transfer（2023年）：Cl0pランサムウェアにより悪用され、数百の組織に影響し、6,000万件超のレコードが盗まれた
Flagstar Bank／Fiserv（2022年）：サードパーティベンダー侵害により150万人の顧客が影響
FINRA／ION Markets（2023年）：ランサムウェア攻撃により重要な取引インフラが混乱
Salesforce／ShinyHuntersキャンペーン（2025年）：サードパーティへのソーシャルエンジニアリングにより、Allianz Life、Air France-KLM、Ciscoなどが影響
Salesloft Drift侵害（2025年）：Palo Alto Networks、Zscaler、Google、Cloudflareなどのセキュリティ大手に影響したサプライチェーン攻撃

Akiraランサムウェアグループのより広範なキャンペーンについては、次の分析を参照されたい：The Ransomware-as-a-Service Ecosystem in Late 2025。ここでは、Akiraが約2億4,400万ドルのランサムウェア収益を得ており、現在の脅威環境で最も動きの速いグループの一つとして台頭していることを詳述している。

専門家分析：何が問題だったのか

パッチ管理の失敗

Xcape Inc.のsolution sleuthであるJohn Carberryは、Marquisの是正措置から、内部侵害というよりVPNアカウントの侵害が示唆されると指摘している。

CVE-2024-40766が使われた場合：SonicWallは2024年8月にパッチをリリースしており、Marquis侵害の1年前である。これはパッチ管理の壊滅的な失敗を意味する。

CVE-2024-53704が使われた場合：この脆弱性は2025年1月まで公表されておらず、2025年8月時点ではゼロデイとして悪用されていた可能性がある。それでもなお、MarquisはSonicWallの継続的なセキュリティ問題に関する脅威インテリジェンスを監視しているべきだった。

どの脆弱性であれ、SonicWallのアドバイザリは組織に対して次のことを警告していた：

パッチを即時適用すること
パッチ適用後にすべてのVPN認証情報をリセットすること
すべてのアカウントでMFAを有効化すること

このうち特に重要な2番目のステップ ― 認証情報のローテーション ― は見落とされがちであり、その結果、攻撃者はパッチ適用済みシステムでも、以前に盗んだ認証情報を用いてアクセスを維持できてしまう。

基本的なセキュリティ衛生の欠如

セキュリティ専門家は、Marquisが侵害後に実装したセキュリティ対策を特に批判しており、これらは本来、事前に導入されているべきだったと指摘している。

XcapeのMurataは次のように述べている：「これらは、ゼロデイが要因となる前から導入されているべきコントロールだ。ゼロデイは攻撃者をドアの中に入れるが、基本的なセキュリティ衛生が、侵入後にどこまで進まれるかを決定する。」

是正措置のリストは、基本的なセキュリティチェックリストのように見える：

すべてのアカウントへのMFA導入
アカウントロックアウトポリシー
ジオブロッキング
ボットネットフィルタリング

侵害前にこれらのコントロールが欠如していたことは、セキュリティプログラムの成熟度に大きなギャップがあったことを示唆している。

より広範なSonicWall搾取キャンペーン

Marquis侵害は、2024年に始まり2025年まで続いたSonicWallデバイスを標的とする攻撃の急増の最中に発生した：

2024年の波

AkiraおよびFogランサムウェアが2024年後半にCVE-2024-40766の悪用を開始
医療、教育、製造、金融サービスなど幅広い分野を標的
北米、欧州、オーストラリアにまたがる地理的な広がり
一部のケースでは、初期侵入から暗号化完了まで5時間という前例のないスピードで進行

2024年時点で依然として脆弱

2024年12月時点で、セキュリティ研究者は世界中で48,933台のSonicWallデバイスがCVE-2024-40766に対して脆弱なままであると推定しており、これは公開されているSonicWallアプライアンス全体の13％に相当する。

特に次のような組織で不十分な是正措置が目立った：

複数のアジア諸国
パッチは適用したものの、認証情報をローテーションしなかった組織
専任のセキュリティチームを持たない小規模組織

2025年：新たな悪用の波

2025年7月末、セキュリティチームはSonicWallデバイスを標的とするAkiraランサムウェア活動の再燃を観測した。今度は、完全にパッチ適用されたシステムに対して、次のような手法を用いて攻撃が行われていた：

認証情報の再利用：以前の侵害で盗まれた認証情報を利用
MFAバイパス：盗まれたOTPシードを用いて有効な認証トークンを生成
設定上の弱点：デフォルト設定や過剰な権限を悪用

法的・規制上の影響

州司法長官による調査

複数の法律事務所がMarquis侵害に関する調査を発表している：

Schubert Jonckheer & Kolbe LLP：データ保護慣行の調査
Wolf Haldenstein Adler Freeman & Herz LLP：被害者に代わる潜在的な請求権の検討
主な焦点：Marquisが適切なセキュリティ対策を維持していたか、また侵害への対応が適切だったか

規制上の考慮事項

侵害の影響を受けた金融機関は、以下のような規制上の懸念に直面している：

GLBA遵守：グラム・リーチ・ブライリー法（GLBA）は、金融機関に顧客情報の保護を義務付けている
州のデータ侵害通知法：州ごとに異なるが、一般的に迅速な通知が求められる
サードパーティリスク管理：規制当局はベンダーリスク管理プログラムをますます厳しく精査している
検査結果：サードパーティリスク管理に関するFFIECガイダンスに基づき、検査で指摘を受ける可能性

CISAの対応

サイバーセキュリティ・インフラセキュリティ庁（CISA）は、2024年9月10日にCVE-2024-40766を既知悪用脆弱性（KEV）カタログに追加し、連邦組織に対して2024年9月30日までのパッチ適用を義務付けた。

Marquis侵害は2025年8月に発生しており、脆弱性が初めて公表されKEVに追加されてから約1年後である。これは、パッチが利用可能になってから長期間経過しても、組織が依然として脆弱なままでありうることを浮き彫りにしている。

得られた教訓と推奨事項

金融機関向け

ベンダーリスク管理
- すべてのサードパーティベンダーに対して徹底したセキュリティ評価を実施する
- SOC 2やISO 27001などのセキュリティ認証の証拠を要求する
- ベンダーとの契約にセキュリティ要件を盛り込む
- オンボーディング時だけでなく、継続的にベンダーのセキュリティ態勢を監視する
データ最小化
- サービス提供に絶対に必要なデータのみをベンダーと共有する
- データ保持ポリシーを実装し、露出期間を最小化する
- 可能な場合はデータの匿名化または仮名化を検討する
インシデント対応計画
- サードパーティベンダー侵害に特化したプレイブックを策定する
- ベンダーとの明確なコミュニケーションプロトコルを確立する
- ベンダー侵害シナリオを含む定期的なテーブルトップ演習を実施する
規制遵守
- ベンダー管理プログラムがFFIECガイダンスを満たしていることを確認する
- 監査・検査に備え、デューデリジェンスの実施状況を文書化する
- リスク評価付きのベンダーインベントリを維持する

サードパーティベンダー向け

ベースラインセキュリティコントロール
- （侵害後ではなく）すべてのアクセス経路にMFAを実装する
- 24時間365日の監視を伴うEDR／XDRソリューションを導入する
- テストプロセスを備えた最新のパッチ管理プログラムを維持する
- ラテラルムーブメントを制限するためにネットワークセグメンテーションを実施する
脆弱性管理
- ベンダーのセキュリティアドバイザリを購読する
- インターネットに面したシステム（VPN、ファイアウォールなど）のパッチ適用を優先する
- 認証関連の脆弱性にパッチを適用した後は、必ず認証情報をローテーションする
- 定期的な脆弱性スキャンおよびペネトレーションテストを実施する
ゼロトラストアーキテクチャ
- 最小権限アクセス制御を実装する
- ユーザーおよびデバイスの信頼性を継続的に検証する
- 侵害を前提とし、被害範囲を限定する
- 行動分析を用いてすべてのアクセスを監視する
透明性とコミュニケーション
- クライアントとの明確なインシデント対応コミュニケーションプロトコルを維持する
- 顧客に対して定期的なセキュリティ態勢レポートを提供する
- 影響を受けた当事者への通知を数週間〜数カ月も遅らせない
- セキュリティ投資や認証について透明性を保つ

被害を受けた個人向け

影響を受けた74の金融機関のいずれかの顧客である場合：

直ちに行うべきこと
- Marquisが提供する無料のクレジットモニタリングに登録する
- 3大信用情報機関（Equifax、Experian、TransUnion）すべてに不正利用アラートを設定する
- 最大限の保護のため、クレジット凍結を検討する
- すべての金融口座に不審な取引がないか確認する
継続的な警戒
- クレジットレポートを定期的に確認する（AnnualCreditReport.comで週1回無料）
- 盗まれた情報を悪用したフィッシングに注意する
- アイデンティティ盗難保険の検討
- 税還付詐欺を防ぐため、早めに確定申告を行う
記録の保持
- すべての侵害通知のコピーを保管する
- 不審な活動やアイデンティティ盗難の試みを記録する
- 侵害対応に費やした時間を記録しておく（後に補償対象となる可能性あり）

今後：このような事態は続くのか？

残念ながら、サードパーティベンダーの侵害は今後も継続し、加速する可能性すらある：

要因

ベンダー集中の進行：銀行の統合やクラウドサービスの採用により、少数のベンダーがより多くの機関を支える構造に
攻撃者の高度化：Ransomware-as-a-Service（RaaS）モデルにより、高度な攻撃がスキルの低い犯罪者にも利用可能に
脆弱性公開のタイミング：脆弱性の公開から広範な悪用までの時間が短縮している
パッチ疲れ：セキュリティチームは評価・是正すべき膨大な脆弱性に直面している
リモートワークの拡大：VPNやリモートアクセス技術により攻撃面が拡大

潜在的な解決策

規制措置：金融機関にサービスを提供するサードパーティベンダーへの監督強化
情報共有：金融セクター内での脅威インテリジェンス共有の強化（ISACなど）
サイバー保険要件：市場圧力によるセキュリティベースラインの底上げ
サプライチェーンセキュリティ標準：業界全体でのセキュリティフレームワーク採用
AIによる防御：高度な行動検知により、侵害の早期発見を実現

結論：金融サービスへの警鐘

Marquis Software Solutions侵害は、相互接続された金融エコシステムにおいて、組織のセキュリティは最も弱いサードパーティベンダーと同程度にしか強固ではない、という事実をあらためて示した。74以上の金融機関にまたがり、約80万人が影響を受けたこの攻撃は、単一ベンダーの侵害がセクター全体に連鎖的なリスクを生み出しうることを明らかにしている。

ここから導かれる主な教訓は次の通りである：

基本的なセキュリティ衛生が重要：MFA、適切なパッチ管理、認証情報ローテーションがあれば、この侵害は防止または被害軽減できた可能性が高い
サードパーティリスクは企業リスク：金融機関は、自社と同じ厳格さでベンダーのセキュリティを扱う必要がある
スピードが重要：脆弱性公開から悪用までの時間は、もはや数カ月ではなく数日〜数週間である
透明性が信頼を生む：侵害時に明確かつ迅速にコミュニケーションを行う組織は、対応を遅らせたり情報を隠したりする組織よりも良い結果を得る

PathlockのCEOであるPiyush Pandeyは次のように述べている：「Marquisのインシデントは、サイバー犯罪者がサードパーティの脆弱性を悪用して大企業を標的とするという、より広範なトレンドを反映している。これは、サプライチェーンセキュリティに対して、より包括的かつプロアクティブなアプローチが必要であることを示している。」

金融サービスのCISOやセキュリティリーダーにとって、問題は「サードパーティベンダーが標的になるかどうか」ではなく、「攻撃が来たときにそれに耐えられるかどうか」である。次のMarquis級の侵害が発生する前に、ベンダーのセキュリティ態勢を評価し、強化する時期は「今」だ。

追加リソース

Akiraランサムウェア分析：

The Ransomware-as-a-Service Ecosystem in Late 2025 ― Akiraの2億4,400万ドルの収益と、最も高速な攻撃戦術に関する包括的分析
The KNP Logistics Ransomware Attack ― Akiraが1つの弱いパスワードから158年続いた企業をいかに破壊したか
Ransomware Onslaught: October 3, 2025 ― Akiraおよび他の主要グループによる日次ランサムウェア活動

サードパーティ＆サプライチェーン攻撃：

Who’s Been Getting Hacked? Late 2025 ― Palo Alto、Zscalerなどに影響したSalesloft Drift侵害
The 15 Most Devastating Data Breaches in History ― MOVEitなどのサプライチェーン侵害を含む
The Most Common Methods Behind Major Data Breaches ― 2024年の侵害の62％にサードパーティが関与していたことを示す分析

2025年の脅威情勢：

Threat Intelligence Report: Summer 2025 ― ランサムウェア動向と攻撃者TTPの包括的概要
The Ransomware Revolution ― 2026年に向けて変化する攻撃経済の姿
2024 IC3 Report Analysis ― Akira、LockBit、RansomHub、FOG、PLAYが最も多く報告されたランサムウェアであることを示すFBIデータ

本分析は2025年12月時点の情報に基づく。公開された侵害通知、セキュリティベンダーのアドバイザリ、調査報道から情報を収集した。被害者は、自身の金融機関が提供する公式ガイダンスに従うとともに、自らの権利について法的助言を求めることを検討すべきである。

翻訳元: https://breached.company/marquis-ransomware-breach-when-third-party-vendors-become-the-weakest-link-in-financial-services/