この調査は、影響を受けたMySonicWall顧客が限定的だったという以前の主張と矛盾しています。
SonicWallは水曜日、調査を完了したと発表し、同社のMySonicWallクラウドバックアップサービスを利用していたすべての顧客のファイアウォール設定バックアップファイルにハッカーがアクセスできたことが判明したと明らかにしました。
この調査はGoogle Cloudのサイバーセキュリティインシデント対応部門であるMandiantと共に完了しました。
同社によると、これらのファイルには暗号化された認証情報や設定データが含まれており、暗号化は維持されているものの、標的型攻撃のリスクが高まっていると指摘しています。
同社は影響を受けたパートナーや顧客への通知を急いでいます。SonicWallはまた、状況の評価や危険の解消を支援するツールも公開しています。
この調査結果は、攻撃の範囲に関するSonicWallのこれまでの説明に重大な疑問を投げかけています。
9月、同社はハッカーがクラウドバックアップサービスにアクセスするためブルートフォース攻撃を行っていると警告していました。
当時SonicWallは、ファイアウォール設定バックアップファイルのうち影響を受けたのは5%のみだと述べていました。同社は、なぜこのような低い推定値から100%にまで拡大したのか説明しておらず、この相違点についての追加質問にもすぐには回答しませんでした。
このインシデントは非常に緊急性が高いとみなされ、サイバーセキュリティ・インフラストラクチャセキュリティ庁は9月に勧告を発表し、ユーザーに自分の顧客アカウントにログインしてリスクがあるかどうか確認するよう促しました。
Arctic Wolfの研究者は、ブログ記事で、ユーザーは稼働中のファイアウォール機器の認証情報のリセットを優先すべきだと述べています。
Arctic Wolfの研究者は、ファイアウォール設定ファイルにはユーザー、グループ、ドメイン設定、DNSやログ設定などの機密情報が含まれていると指摘しています。国家支援型の攻撃者やランサムウェアグループは、この種の情報を将来の攻撃に利用するために盗みます。
SonicWallは、影響を受けたデバイスの包括的なリストをMySonicWallポータルに掲載したと述べています。
SonicWallは、クラウドインフラストラクチャと監視システムの強化に向けてMandiantと協力していると、SonicWallの広報担当者が木曜日に述べました。Mandiantの担当者はコメントを控えました。
