SonicWall Advises Users to Reset Logins After Config Backup Leak
2025/09/18 gbhackers — 最近の情報漏洩により、ファイアウォール・コンフィグのバックアップが流出したことを受け、SonicWall は顧客に対して、すべてのログイン認証情報のリセットを強く推奨している。SonicWall は、リスクの最小化と安全なアクセス回復のために、封じ込め/修復/監視という3つの段階を重視している。ユーザーにとって必要なことは、封じ込め (さらなる漏洩阻止) → 修復 (パスワードと共有秘密のリセット) → 監視 (不正活動の検出) を順番に実行することである。
HTTP/HTTPS/SSH 管理のアクセス無効化
最初の手順は、パブリック・インターネットに対するアクセスの制限である。管理者にとって必要なことは、コンフィグを変更する前に、WAN インターフェイス経由の管理サービスを無効化または制限することである。
Network > System > Interfaces へと移動して、各 WAN インターフェイスを編集し、HTTP/HTTPS/SSH 管理を無効化する。完全な無効化ができない場合には、信頼できる IP のみに管理アクセスを制限する方法が、ナレッジベースで説明されている。
続いて、Network > SSL VPN > Server Settings and Network > IPsec VPN > Rules and Settings へと移動し、SSL VPN and IPsec VPN を無効化する必要がある。それにより、パスワード・リセット後の、攻撃者による再アクセスを防止できる。最後に、内部サーバへの受信アクセスをブロックする。
Policy > Rules and Policies > Access Rules へと移行し、WAN トラフィックを許可するルールを特定し、無効化または信頼済みソースに限定する。
封じ込めが完了したら、公開される可能性のある、認証情報のリセットに移る。管理者にとって必要なことは、インターネット経由でアクセス可能だった機能のパスワードや共有シークレットを、すべてリセットすることだ。
HTTPS/SSH 管理については、System > Administration で新しい管理者パスワードを設定する。SSL VPN と IPsec VPN の証明書と事前共有鍵は、それぞれの設定タブで再生成する必要がある。
動的 DNS 認証情報/LDAP/RADIUS/ワイヤレス認証シークレットも、それらがファイアウォールに保存されるため、更新が必要である。
管理者ガイドとナレッジベースには、パスワードタイプと暗号化キーの詳細手順が記載されている。TOTP バインディングは解除後に再バインドし、新しいコードが有効化されていることを確認する。
GMS を利用する管理者は、制限された HTTPS により必要な管理接続が停止されないことを確認し、必要に応じてポリシーを調整する必要がある。
すべての認証情報をリセットした後にも、継続的な監視は不可欠である。SonicWall が推奨するのは、リアルタイム・ログの有効化と、システム・イベント・ログにおいてログイン失敗/設定変更/異常な VPN 接続を確認することだ。
アラートを設定し、認証失敗の多発や、新規 WAN サービス有効化時に通知を受けることもできる。また、ファイアウォール・ログを SIEM プラットフォームに統合することで潜在的な脅威を可視化できる。監視は少なくとも 30 日間もしくは、ネットワーク整合性が回復するまで継続する必要がある。
これらの封じ込め/修復/監視の手順を順守することで、コンフィグ・バックアップが流出したユーザー組織であっても、SonicWall ファイアウォールを迅速に保護し、不正アクセスのリスクを低減できる。
SonicWall 製品のファイアウォール・コンフィグのバックアップが流出したことを想定した、事後対策が説明されています。想定すべきは、保存されていた認証情報が外部に漏れてしまった状況であり、目的は、攻撃者による不正アクセスを防ぐ点にあります。SonicWall は、封じ込め/修復/監視の三段階を推奨しており、特に WAN インターフェイスや VPN 関連の管理アクセスの悪用を懸念しているようです。まず、公開されている経路を無効化または制限することが重要とされています。よろしければ、SonicWall で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.