9月中旬、SonicWallはクラウドバックアップサービスにおけるセキュリティインシデントを報告しました。現在、すべての顧客が影響を受けていることが明らかになりました。
Tada Images – shutterstock.com
9月17日、セキュリティベンダーのSonicWallは、サイバー犯罪者がクラウドバックアップ用に設定されたバックアップファイルを盗んだと発表しました。当時、同社は「顧客の5%未満」に限定されたインシデントだと主張していました。しかし、ファイアウォールベンダーは「MySonicWallクラウドバックアップ機能を利用していたすべての顧客」がこのインシデントの影響を受けたことを認めざるを得なくなりました。
攻撃の影響
盗まれたファイルには、同社によると暗号化された認証情報や設定データが含まれているとのことです。「暗号化は維持されていますが、これらのファイルを所持することで標的型攻撃のリスクが高まる可能性があります」とSonicWallは声明で警告しています。
また、セキュリティ専門企業のArctic Wolfもこのインシデントの影響について警鐘を鳴らしています。「ファイアウォールの設定ファイルには、脅威アクターが企業ネットワークへのアクセスに利用できる機密情報が保存されています」とArctic Wolfの脅威インテリジェンスリサーチャー、Stefan Hostetler氏は説明します。
「これらのファイルは、ユーザー、グループ、ドメイン設定、DNSやプロトコル設定、証明書などの重要な情報を攻撃者に提供する可能性があります」と専門家は付け加えます。Arctic Wolfは、国家主体やランサムウェアグループを含む脅威アクターが、将来の攻撃に利用するためにファイアウォール設定ファイルを流出させた事例を過去にも確認しています。
必要なセキュリティ対策
SonicWallは現在、すべての顧客とパートナーに対し、定期的なデバイスのアップデート確認を強く呼びかけています。そのため、同社はカスタマーポータルの「Product Management > Issue List」に影響を受けたデバイスのリストを公開しています。
デバイスは緊急度に応じて分類されています:
- 「Active – High Priority」:インターネットに公開されているデバイス
- 「Active – Lower Priority」:インターネット接続のないデバイス
- 「Inactive」:過去90日間接続がなかったデバイス
また、管理者が参考にできる詳細なプレイブックも用意されています。
