9月中旬、SonicWallはクラウドバックアップサービスにおけるセキュリティインシデントを報告しました。現在、全顧客が影響を受けていることが明らかになっています。
9月17日、セキュリティベンダーの SonicWallは、サイバー犯罪者によってクラウドバックアップ用に設定されたバックアップファイルが盗まれたと発表しました。当時、同社はインシデントの影響は「顧客の5%未満」に限定されていると主張していました。しかし現在、ファイアウォールプロバイダーは、MySonicWallクラウドバックアップ機能を利用している「全顧客」が影響を受けたことを認めています。
攻撃の影響
同社によると、盗まれたファイルには暗号化された認証情報と構成データが含まれています。「暗号化は維持されているものの、これらのファイルを所持することで標的型攻撃のリスクが高まる可能性がある」と、SonicWallは プレスリリースで警告しています。
セキュリティ専門企業の Arctic Wolfも、このインシデントの影響について警告しています。「ファイアウォールの構成ファイルには、脅威アクターが悪用し、組織のネットワークにアクセスするために利用できる機密情報が保存されています」と、Arctic Wolfの脅威インテリジェンス研究者Stefan Hostetler氏は説明しています。
「これらのファイルは、ユーザー、グループ、ドメイン設定、DNSやログ設定、証明書などの重要な情報を脅威アクターに提供する可能性があります」と彼は付け加えています。Arctic Wolfはこれまでにも、国家支援やランサムウェアグループを含む脅威アクターが、将来の攻撃に利用するためにファイアウォール構成ファイルを流出させている事例を確認しています。
必要なセキュリティ対策
SonicWallは現在、すべての顧客およびパートナーに対し、定期的なデバイスのアップデート確認を強く推奨しています。同社はカスタマーポータルの「製品管理 > 問題リスト」に、影響を受けたデバイスの一覧を公開しています。
デバイスは緊急度に応じて分類されています:
- 「アクティブ — 高優先度」:インターネットに公開されているデバイス
- 「アクティブ — 低優先度」:インターネットに接続されていないデバイス
- 「非アクティブ」:90日間接続がないデバイス
また、管理者が参考にできる 詳細なプレイブック も用意されています。
