はじめに
サイバーセキュリティ企業SonicWallは、ハッカーが同社のMySonicWallクラウドバックアップサービスを利用する全顧客のファイアウォール設定バックアップファイルにアクセスしていたことを示す調査結果を発表しました。この結果は、以前の発表と大きく矛盾するものです。
調査結果の詳細
Google Cloudのサイバーセキュリティインシデント対応部門であるMandiantと共同で実施された調査により、この広範な侵害が明らかになりました。アクセスされたファイルには、暗号化された認証情報と設定データが含まれており、SonicWallは、データが暗号化されているにもかかわらず、標的型攻撃のリスクが高まっていると警告しています。
以前の発表との矛盾
SonicWallは9月、ハッカーがクラウドバックアップサービスへのブルートフォース攻撃を行っていると警告し、その時点ではファイアウォール設定バックアップファイルのうちわずか5%のみが影響を受けたと発表していました。しかし、今回の調査結果は、その推定が100%にまで拡大したことを示しており、同社はこの大幅な食い違いについて説明していません。
SonicWallの対応と専門家の助言
SonicWallは現在、影響を受けたパートナーや顧客への通知を急いでおり、状況を評価し危険を軽減するためのツールをリリースしています。また、Mandiantと協力してクラウドインフラと監視システムの強化に取り組んでいます。
サイバーセキュリティ企業Arctic Wolfの研究者は、ブログ投稿で、ユーザーはライブファイアウォールデバイスの認証情報をリセットすることを優先すべきだと指摘しています。ファイアウォール設定ファイルには、ユーザー、グループ、ドメイン設定、DNS、ログ設定などの機密情報が含まれており、国家支援型アクターやランサムウェアグループが将来の攻撃に利用する可能性があります。
CISAの警告
このインシデントの緊急性から、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は9月にアドバイザリを公開し、ユーザーに対し、自身がリスクにさらされているかどうかを確認するために顧客アカウントにログインするよう促していました。