SonicWallは、ファイアウォールの設定ファイルを保存するために同社のクラウドバックアップサービスを利用していたすべての顧客が、9月中旬に最初に公表されたサイバーセキュリティインシデントの影響を受けていたことを認め、影響を受けたのはごく一部のユーザーのみという以前の説明を撤回しました。
テキサス州に本拠を置くネットワークセキュリティベンダーであるSonicWallは、水曜日に公開した更新声明の中で、調査の結果、「すべての顧客」がMySonicWallクラウドバックアップ機能を利用していた場合に影響を受けていたことが判明したと述べ、攻撃者が同社のシステムに保存されていた設定バックアップファイルにアクセスしていたことを認めました。これらのバックアップには通常、ファイアウォールの設定、ポリシー、ネットワーク構成などが含まれており、内部インフラの把握や接続された環境への侵入を狙う者にとって貴重な標的となります。
SonicWallが9月17日に最初に侵害を公表した際、同社はこのインシデントが「顧客の5%未満」に限定されていると主張していました。当時、同社は次世代ファイアウォールで使用されているクラウドバックアップ環境に対して「不審な活動」を検知し、「念のため」サービスを即座に無効化したと説明していました。
しかし、その最初の安心感は今や時期尚早だったようです。独立した調査および外部のフォレンジックレビューを経て発表されたSonicWallの最新の事後報告では、攻撃者がクラウドバックアップサービスを一度でも利用したことのあるすべての顧客のデータに、バックアップの作成時期を問わずアクセスしていたことが確認されました。
The RegisterはSonicWallにクラウドバックアップサービスの利用顧客数について問い合わせましたが、回答は得られていません。
SonicWallは、今回の侵入が他のMySonicWallサービスや顧客デバイスには影響しなかったと主張しつつも、管理者に対してこのインシデントを深刻に受け止めるよう呼びかけています。顧客には、既存のクラウドバックアップを削除し、MySonicWallの認証情報を変更し、共有シークレットやパスワードをローテーションし、新たなバックアップファイルはクラウドではなくローカルで作成するよう指示しています。
同社は、インフラストラクチャの「強化」、追加のログ記録、より強力な認証制御の導入など、再発防止策を講じたと述べています。しかし、攻撃者がどのように初期アクセスを得たのかについては、「暗号化および圧縮されたバックアップアーカイブを保持していたクラウドストレージ環境への不正アクセス」と説明する以外、具体的な情報は明かしていません。
このインシデントを追跡しているArctic Wolfによると、バックアップには二次攻撃を助長する可能性のあるデータが含まれているとのことです。
「ファイアウォールの設定ファイルには、脅威アクターが組織のネットワークに侵入・悪用するために利用できる機密情報が保存されています」と、Arctic Wolfの脅威インテリジェンス研究者Stefan Hostetler氏は述べています。「これらのファイルには、ユーザー、グループ、ドメイン設定、DNSやログ設定、証明書など、脅威アクターにとって重要な情報が含まれています。過去には、Arctic Wolfは国家支援型やランサムウェアグループを含む脅威アクターが、将来の攻撃に利用するためにファイアウォールの設定ファイルを持ち出す事例を観測しています。」
SonicWallは、今回の侵害を特定の脅威アクターや国家に帰属させておらず、データがコピーされたのか、流出したのか、破壊されたのかについても言及していません。同社は、プロダクションファイアウォールや他の顧客ホスト型システムに対する侵害の「証拠はない」との立場を維持しています。
SonicWallにとって、これはオンライン攻撃者との初めての遭遇ではありません。今年初めにも、同社はファイアウォール機器を標的とした一連のランサムウェア活動を調査していると発表しており、同社のVPNにおけるゼロデイ脆弱性が積極的に悪用されているとの複数の報告がありました。今回の侵害はより限定的に見えるものの、「5%」から「100%」への方針転換は、ファイアウォールの設計図をクラウドに預けていた顧客の信頼を損なうことは避けられないでしょう。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/09/sonicwall_breach_hits_every_cloud/
