- SonicWallのクラウドバックアップ侵害により、多くのグローバル顧客のファイアウォール設定ファイルが流出
- 攻撃者がMySonicWallをブルートフォース攻撃し、認証情報漏洩や標的型ネットワーク侵入のリスクが発生
- SonicWallはユーザーにバックアップ削除、シークレットのローテーション、設定のローカル再作成を推奨
SonicWallのMySonicWall クラウドバックアップ機能を利用しているすべての企業のファイアウォール設定ファイルが、最近のサイバー攻撃で流出したことを同社が認めました。
当初「顧客ベースの5%未満が影響を受けた」と主張していましたが、同社は事件の実際の規模を明らかにしました。
2025年9月中旬、SonicWallはファイアウォール顧客にパスワードのリセットを警告しました。これは、正体不明の脅威アクターが同社のMySonicWallクラウドサービスにブルートフォース攻撃で侵入したためです。このツールは、SonicWallファイアウォールのユーザー(主に企業やITチーム)が、ネットワークルールやアクセス制御ポリシー、VPN設定、サービス認証情報(LDAP、RADIUS、SNMP)、管理者ユーザー名やパスワード(設定ファイルに保存されている場合)などのファイアウォール設定ファイルをバックアップするために使用されています。
他のサービスは無事
理論上、攻撃者はシークレットをブルートフォースや復号して、ファイアウォールに紐づくサービスで使われている認証情報を抽出したり、ネットワークのトポロジーやルールを把握して防御を回避しやすくしたり、ファイアウォールの設定方法に関する内部情報を利用して標的型攻撃を仕掛けることが可能です。
「暗号化は維持されていますが、これらのファイルを所持することで標的型攻撃のリスクが高まる可能性があります」と通知には記載されています。「当社は影響を受けたすべてのパートナーおよび顧客への通知に取り組んでおり、デバイスの評価と修復を支援するツールも提供しています。」
当時、SonicWallはこの事件で影響を受けたのは顧客ベースの5%未満であり、最悪の場合でも被害者数は25,000人程度と述べていました。
しかし、実際の被害者数ははるかに多いようです。SonicWallは世界中で約50万の顧客にサービスを提供していると主張していますが、すべての顧客がファイアウォールやクラウドバックアップサービスを利用しているわけではありません。
同社はまた、今回の攻撃は他のMySonicWallサービスや顧客デバイスには影響を与えていないとしつつも、引き続き顧客に警戒を呼びかけ、既存のクラウドバックアップの削除、認証情報の変更、共有シークレットのローテーション、ローカルでの新規バックアップの作成を推奨しています。
