- Marquisがランサムウェア攻撃を受け、機微な顧客データと財務データを喪失
- 同社はSonicWallの侵害を原因と主張するが、SonicWallは直接の関連を否定
- 攻撃は、SonicWallシステムを標的とするロシアの国家支援ランサムウェア集団「Akira」と関連付けられている
銀行や信用組合向けにソフトウェアを構築する米国のフィンテック企業Marquisは、ランサムウェア攻撃を受けて機微な顧客データを失ったことを確認したが、責任は自社のファイアウォール提供元であるSonicWallにあるとしている。
2025年9月中旬、SonicWallは、正体不明の脅威アクターが同社のMySonicWallクラウドサービスに総当たり攻撃で侵入したことを受け、ファイアウォール顧客に対してパスワードのリセットを警告した。このツールにより、SonicWallファイアウォールの利用者(通常は企業やITチーム)は、ネットワークルールやアクセスポリシー、VPN設定、サービス認証情報(LDAP、RADIUS、SNMP)、(設定内に保存されている場合は)管理者のユーザー名とパスワードを含む、ファイアウォールの設定ファイルをバックアップできる。
当初SonicWallは、影響を受けたのは顧客基盤の5%未満だと主張していたが、その後、全員のバックアップがハッカーに奪われたと結論づけた。
証拠を求める
現在、顧客と共有されたメモの中でMarquisは、自社も影響を受けた企業の一つであることを確認し、損害についてSonicWallに補償させるための選択肢を検討していると述べた。
一方のSonicWallは、両者の侵害が関連しているという証拠はないことを示唆した。
「2025年9月に報告されたSonicWallのセキュリティインシデントと、ファイアウォールやその他のエッジデバイスに対する現在進行中の世界的なランサムウェア攻撃との関連を立証する新たな証拠はありません」と、SonicWallの広報担当者ブレット・フィッツジェラルド氏はTechCrunchに語った。
Marquisの顧客には、顧客データを可視化する同社ツールを利用する「数百」の銀行や信用組合が含まれる。サイバー犯罪者が侵入した際、個人情報、金融情報、社会保障番号(SSN)を含む大量のデータが盗まれた。影響を受けた顧客が正確に何人いるのかは分かっていない。
攻撃の帰属特定はかなり難しい。9月下旬にはSonicWall自身が、攻撃は国家支援の脅威アクターによる可能性が最も高いと述べたものの、具体名は挙げなかった。その一方で、複数のセキュリティ系メディアは、Marquisへの攻撃はAkiraと呼ばれるランサムウェア運用者によるものだとし、SonicWallのインフラを標的にすることで知られるロシアの国家支援アクターだと指摘している。
