SonicWallは、認可されていない第三者が、同社のクラウドバックアップサービスを利用したすべての顧客のファイアウォール設定バックアップファイルにアクセスしたことを確認しました。
アクセスされたバックアップファイルには、暗号化された認証情報および設定データが含まれています。
「暗号化は維持されていますが、これらのファイルを所持することで標的型攻撃のリスクが高まる可能性があります」と同社は10月8日に更新されたブログで述べています。
ファイアウォール設定バックアップファイルへのアクセスは、ブルートフォース攻撃によって得られたと考えられています。このハッキングの目的は、盗まれた情報を将来のサイバー攻撃に利用することにあったようです。
ファイアウォールクラウドバックアップサービスを標的とした不審な活動は、2025年9月初旬に最初に検知されました。
その後、サイバーセキュリティベンダーは9月17日に本件を公表し、脅威アクターがSonicWallのファイアウォール設置ベースの約5%にあたるクラウド上のファイアウォール設定ファイルにアクセスしたと警告しました。
Mandiantと協力して調査を完了した後、SonicWallは現在、影響を受けたすべてのパートナーおよび顧客への通知を進めていると述べています。
「すべてのパートナーおよび顧客の皆様には、ログインしてご自身のデバイスをご確認いただくよう強くお勧めします。SonicWallは追加のセキュリティ強化策を実施し、Mandiantと緊密に連携してクラウドインフラおよび監視システムのさらなる強化に取り組んでいます」とSonicWallは述べています。
更新された対策ツールとアドバイス
同社は、デバイスの評価および対策を支援するためのツールをリリースしたと発表しました。
顧客は、MySonicWallポータルの「製品管理 > 問題リスト」から、影響を受けたファイアウォールの最新の最終リストを確認できます。
各デバイスには、顧客が対策の優先順位を決めやすいよう、優先度レベルが割り当てられています。これらは以下の通りです:
- アクティブ – 高優先度:インターネット向けサービスが有効なデバイス
- アクティブ – 低優先度:インターネット向けサービスがないデバイス
- 非アクティブ:過去90日間に通信がなかったデバイス
リストにあるファイアウォールについては、SonicWallのガイダンスに従い、封じ込めおよび対策を実施してください。セキュリティチームは、まずWANからのサービスへのアクセスを無効化または制限する必要があります。
その後、各ファイアウォールデバイスでバックアップ時またはそれ以前に有効だった認証情報を見直し、更新してください。
SonicWallクラウドバックアップ機能を利用したにもかかわらず、ポータルでシリアル番号が確認できない顧客には、今後数日以内に追加のガイダンスを提供する予定です。
翻訳元: https://www.infosecurity-magazine.com/news/sonicwall-cloud-firewall/
