はじめに:SonicWall、顧客バックアップファイルへの広範なアクセスを認める
サイバーセキュリティ企業SonicWallは水曜日、同社のMySonicWallクラウドバックアップサービスを利用していた全顧客のファイアウォール設定バックアップファイルにハッカーがアクセスしていたことを示す調査結果を完了したと発表しました。この調査は、Google Cloudのサイバーセキュリティインシデント対応部門であるMandiantと共同で実施されました。
この発表は、以前のSonicWallの主張と大きく矛盾しています。同社は9月に、クラウドバックアップサービスへのブルートフォース攻撃について警告した際、影響を受けたファイアウォール設定バックアップファイルはわずか5%であると述べていました。
調査結果の詳細:影響範囲と漏洩情報
調査によると、ハッカーがアクセスしたファイルには暗号化された認証情報と設定データが含まれていました。SonicWallは、データが暗号化されたままであるとしながらも、標的型攻撃のリスクが高まっていると指摘しています。同社は現在、影響を受けたパートナーや顧客への通知を急いでおり、状況の評価と危険性の是正に役立つツールもリリースしています。
以前の発表との矛盾と対応
今回の調査結果は、攻撃の範囲に関するSonicWallの以前の開示について深刻な疑問を投げかけています。同社は、わずか5%という初期の見積もりから100%へとどのように変化したのかについて説明しておらず、この矛盾に関する追加の質問にもすぐには回答しませんでした。
このインシデントは非常に緊急性が高いと見なされ、サイバーセキュリティ・インフラセキュリティ庁(CISA)は9月に、ユーザーに対し、リスクがあるかどうかを確認するために顧客アカウントにログインするよう促す勧告を発表していました。
専門家からの警告と推奨事項
Arctic Wolfの研究者はブログ投稿で、ユーザーは稼働中のファイアウォールデバイスの認証情報をリセットすることを優先すべきだと指摘しました。ファイアウォール設定ファイルには、ユーザー、グループ、ドメイン設定、DNS、ログ設定などの機密情報が含まれており、国家支援型アクターやランサムウェアグループが将来の攻撃に利用するためにこれらの情報を盗む可能性があると警告しています。
SonicWallは、影響を受けたデバイスの包括的なリストをMySonicWallポータルに掲載していると述べています。
今後の対策と影響
SonicWallの広報担当者は木曜日、同社がMandiantと協力してクラウドインフラストラクチャと監視システムを強化していると述べました。Mandiantの担当者はコメントを控えました。