SonicWall、全クラウドバックアップ顧客のファイアウォール設定が盗難されたことを確認
SonicWallは、同社のクラウドバックアップサービスを利用していた全ての顧客が、先月のセキュリティ侵害の影響を受けていることを確認しました。以前は「特定のMySonicWallアカウントに保存されていたファイアウォール設定バックアップファイルが露出した」と述べるに留まっていましたが、今回の発表でその影響範囲が明らかになりました。
MySonicWallは、製品アクセス、ライセンス、登録、ファームウェアアップデート、サポートケース、およびファイアウォール設定(.EXPファイル)のクラウドバックアップを管理するためのオンライン顧客ポータルです。
侵害の詳細と初期警告
9月17日、同社はシステムに侵入した不正なアクターによってファイアウォール設定バックアップファイルがアクセスされる可能性があったため、顧客に対しMySonicWallアカウントの資格情報をリセットするよう警告していました。
露出したファイルには、AES-256で暗号化された資格情報と設定データが含まれていました。
SonicWallが推奨する緊急対応策
管理者が侵害によるリスクに対処できるよう、SonicWallは以下の重要なリセット手順を含むチェックリストを提供しています。これらは、全ての資格情報、APIキー、ユーザー認証トークン、VPNアカウント、およびサービスをカバーすべきです。
- 全てのローカルユーザーのパスワードのリセットと更新
- ローカルユーザーの一時アクセスコード(TOTP)のリセット
- LDAP、RADIUS、またはTACACS+サーバー上のパスワードの更新
- 全てのIPSecサイト間およびGroupVPNポリシーにおける共有シークレットの更新
- 全てのL2TP/PPPoE/PPTP WANインターフェースで使用されるパスワードの更新
- Cloud Secure Edge (CSE) APIキーのリセット
また、AWSキーの更新、SNMPv3ユーザー資格情報のリセット、WWAN接続のパスワード更新といった、重要度が低いとされるアクションも含まれています。
侵害の影響と確認方法
SonicWallは当時、「露出したファイアウォール設定ファイルへのアクセスは、脅威アクターによるファイアウォールの悪用を著しく容易にする可能性のある情報を含んでいる」と警告し、詳細な修復ガイダンスも公開していました。
以前はファイアウォール顧客の約5%がクラウドバックアップサービスを利用しているとされていましたが、昨日の更新で、クラウドバックアップポータルを利用してファイアウォール設定ファイルを保存していた全ての顧客が影響を受けることが確認されました。
ユーザーはMySonicWallにログインし、「Product Management → Issue List」に進むことで、自身のデバイスが影響を受けているかどうかを確認できます。もし未対応のアクション項目がある場合は、アクティブなインターネットに接続されたファイアウォールを優先して、緊急資格情報リセット手順に従うべきです。
専門家からの洞察とMFAへの影響
この事件は、約1ヶ月前に報告されたAkiraランサムウェア事件の「失われたパズルのピース」である可能性が指摘されています。クラウドバックアップが攻撃者の手に渡ったことで、Akira攻撃者がMFAをバイパスできた理由が説明できるかもしれません。これは、クラウドバックアップにTOTPのシードが含まれていた場合に起こり得ます。
このMFAの側面は、WebAuthn/パスキーのアプローチが理論上だけでなく、実践においても優れていることを示しています。WebAuthn/パスキーにはTOTPのような「共有シークレット」が存在しません。サーバーにシークレットが保存されていなければ、サーバー自体からも、そのバックアップからも盗まれることはありません。
今後の対応
SonicWallは調査が完了したと述べていますが、システム管理者は影響を受けたデバイスの更新リストがないか、定期的にMySonicWallアラートを監視し続けることが賢明です。