はじめに:Marquis Software Solutionsへのランサムウェア攻撃
テキサス州を拠点とする金融サービスプロバイダーであるMarquis Software Solutionsは、2025年8月に発生したランサムウェア攻撃について、その原因がSonicWallのクラウドバックアップサービス侵害にあると発表しました。この攻撃は、米国の数十の銀行および信用組合に影響を与えました。
原因:SonicWallクラウドバックアップからの設定データ流出
Marquisによると、当初は未パッチのSonicWallファイアウォールが悪用されたと考えられていましたが、現在進行中の第三者調査により、攻撃者はSonicWallのMySonicWallオンライン顧客ポータルへの不正アクセスを通じて盗み出されたファイアウォール設定バックアップファイル内の設定データを悪用し、Marquisのファイアウォールを迂回したことが判明しました。
Marquisは、「サービスプロバイダーのクラウドバックアップ侵害から抽出された設定データを悪用することで、脅威アクターがMarquisを攻撃し、ファイアウォールを回避できたと判断しました」と述べています。同社は現在、ファイアウォールプロバイダー(SonicWall)に対して、データ侵害への対応にかかった費用を回収するための法的措置を含め、選択肢を検討している模様です。
SonicWallの対応と調査結果
SonicWallは、Marquisの攻撃が発覚する1ヶ月前の9月17日に、自身のセキュリティ侵害を公表し、顧客に対してMySonicWallアカウントの認証情報をリセットするよう警告していました。当初、このインシデントはクラウドバックアップサービス利用者の約5%にのみ影響するとされていましたが、約3週間後にはクラウドバックアップサービスを利用するすべての顧客が影響を受けたことを確認する更新を発表しました。
さらに1ヶ月後、SonicWallはMandiantによる9月の攻撃に関する調査結果を公表し、このインシデントが国家支援型ハッカーに関連している証拠が見つかったと報告しています。
他のサイバー攻撃との区別
SonicWallは、MySonicWallの侵害が、9月下旬にMFA保護されたSonicWall VPNアカウントを標的としたAkiraランサムウェアグループによる攻撃とは無関係であると付け加えています。サイバーセキュリティ企業Huntressは、10月13日に、盗まれた有効な認証情報を使用して100以上のSonicWall SSLVPNアカウントが侵害された大規模なキャンペーンを観測したと報告しましたが、これらの攻撃とSonicWallのクラウドバックアップ侵害との関連性は見つかっていません。