SonicWall：ファイアウォールのバックアップの100%が侵害された

出典：Fir Mamat（Alamy Stock Photoより）

先月初めて公表されたSonicWallのクラウドバックアップサービスに対するデータ侵害は、当初考えられていたよりもはるかに深刻です。

9月17日、ネットワークセキュリティベンダーのSonicWallは「クラウドバックアップファイルインシデント」と呼ばれるものを公表しました。同社は不審な活動を検知し、さらに調査を進めた結果、攻撃者が暗号化された認証情報およびクラウドに保存されていたバックアップのファイアウォール設定ファイルにアクセスしていたことが明らかになりました。攻撃者は理論上、これらの設定を利用して顧客のファイアウォールを悪用する可能性がありますが、この問題は「ファイアウォール設置ベースの5%未満」に影響すると述べていました。

しかし、この5%という数字は大幅な過小評価であることが判明しました。10月8日、SonicWallはナレッジベース記事を更新し、Google CloudのMandiantと協力してインシデント対応調査を完了したと発表。「調査の結果、SonicWallのクラウドバックアップサービスを利用したすべての顧客のファイアウォール設定バックアップファイルに不正な第三者がアクセスしたことが確認されました」（強調はDark Readingによる）。

Dark Readingは、影響を受けたクラウドバックアップ利用者が5%未満から100%に増加したことについてSonicWallに質問しましたが、同社はナレッジベース記事の内容を繰り返す声明以上のコメントは控えました。

SonicWall侵害の封じ込めと修復手順

SonicWallは、ファイルには暗号化された認証情報と設定データが含まれていることを再確認しました。「暗号化は維持されていますが、これらのファイルを所持することで標的型攻撃のリスクが高まる可能性があります」と付け加えています。現時点で実際の二次攻撃の報告はありませんが、MySonicWall.comにバックアップされた設定ファイルを持つSonicWallファイアウォールのすべての顧客が影響を受けたと見なされ、即時の封じ込めに関する公開ガイダンスに従うべきです。

同社は現在、影響を受けたすべての関係者への通知を進めており、評価と修復を支援するツールも公開しています。修復作業は、すべての関連するパスワード、キー、シークレットが一貫して更新されるように構成する必要があり、SonicOSで設定されている一部のシークレットは「ISP、ダイナミックDNSプロバイダー、メールプロバイダー、リモートIPSec VPNピア、LDAP/RADIUSサーバーなど、他の場所でも更新が必要な場合があります」としています。

「すべてのパートナーおよび顧客の皆様に、ログインして自社のデバイスを確認するよう強く推奨します。SonicWallは追加のセキュリティ強化策を実施し、Mandiantと緊密に連携してクラウドインフラおよび監視システムのさらなる強化に取り組んでいます」とSonicWallは述べています。

SonicWallクラウドバックアップ利用者の5%から100%へ

セキュリティベンダーAction1のフィールドCTOであるジーン・ムーディ氏は、Dark Readingに対し、調査の初期段階では「何が、どのように起きたか」を理解することに重点が置かれ、影響を受けた可能性のある対象の暫定的な推定が行われると述べています。インシデント対応調査がログ、アクセスパターン、集中ストレージシステムをさらに深く掘り下げるにつれ、全体像がより明確になった可能性が高いといいます。

「正確に何が盗まれたかを確認することは不可能なため、影響を受けた可能性のある顧客の100%がリスクにさらされていると仮定するのが最も安全なアプローチです」と同氏は述べています。「このように、初期の低い推定から全面的なカバレッジへと移行するのは、誰にも誤った安心感を与えないための標準的な手法であり、実際に盗まれたことが確認された場合よりも最悪のシナリオを強調しています。」

ムーディ氏は、今回の侵害全体が、ベンダーからのセキュリティアラートに注意を払い、定期的な認証情報のローテーションや認証情報の使い回しの厳格な禁止を実践する必要性を改めて浮き彫りにしたと付け加えています。