SonicWall クラウド・バックアップで発生した侵害:すべてのファイアウォール・コンフィグが流出

Threat actors steal firewall configs, impacting all SonicWall Cloud Backup users

2025/10/09 SecurityAffairs — SonicWall のクラウド・サービスからファイアウォール・コンフィグのバックアップを盗み出した脅威アクターたちが、同社のクラウド・バックアップ・プラットフォーム MySonicWall の全ユーザーに影響を与えている。2025年9月に SonicWall が顧客に促したのは、MySonicWall アカウントに関連付けられたファイアウォールのバックアップファイルの流出に対処するための、認証情報のリセットである。その時点で SonicWall は、攻撃者のアクセスをブロックし、サイバー・セキュリティの専門家や法執行機関と協力することで、侵害の範囲を特定していると公表した。

SonicWall は当初、影響を受けた顧客は 5% 未満であり、ファイルの漏洩はないとしていたが、この侵害がもたらすのは、緊急の対応が必要なリスクである。このインシデントが影響を及ぼす範囲は、MySonicWall.com にコンフィグ・ファイルがバックアップされている SonicWall ファイアウォールである。

SonicWall が顧客に促している確認事項は、MySonicWall アカウントにログインして、クラウド・バックアップの有効/無効を確認することだ。それが有効化されていない場合にはリスクは生じない。ただし、有効化されている場合は、フラグ付きのシリアル番号を探す必要がある。これらの番号は影響を受けたファイアウォールを示すものであり、早急な修復が求められる。このバックアップを使用している状況で、フラグの付いたデバイスが見つからないケースに対応するために、SonicWall は近日中に詳細なガイダンスを提供するとしている。

SonicWall が、影響を受ける顧客に対して推奨するのは、新しいコンフィグ・ファイルのインポートである。ただし、新しいファイルをインポートすると、IPSec VPN/TOTP バインディング/ユーザー・アクセスが中断される。したがって、インポート後のユーザーにとって必要なことは、VPN 事前共有キーの再設定/TOTP とユーザー・パスワードのリセットとなる。

このインポート処理により、ファイアウォールは直ちに再起動されるという。したがって、ダウンタイムを短縮するために SonicWall が推奨するのは、メンテナンス時間/営業時間外などの、アクティビティの少ない時間帯にインポートを実施することだ。

10月8日に SonicWall が認めたのは、MySonicWall クラウドバック・アップサービスを悪用する脅威アクターたちが、すべてのファイアウォールのコンフィグ・ファイルにアクセスしたことだ。

SonicWall は、窃取されたファイルには暗号化された認証情報とコンフィグが含まれており、攻撃に利用される可能性があると述べている。同社は、影響を受けたユーザーに通知し、評価ツールを提供している。なお、更新されたデバイス・リストでは、影響を受けるファイアウォールを優先度別に分類し、修復を支援する仕組みが導入されている。

SonicWall は、「大手 IR 企業である Mandiantと共同で実施した、最近のクラウド・バックアップ・セキュリティ・インシデントに関する調査を完了した。この調査の結果として確認されたのは、SonicWall のクラウド・バックアップ・サービスを利用した、すべての顧客のファイアウォール・コンフィグ・バックアップ・ファイルに、不正な第三者がアクセスしたことだ」と述べている。その詳細は、同社が調査後に発表した新たなアップデートに記載されている。

前述のとおり、これらのファイルには、暗号化された認証情報と設定データが含まれている。暗号化は維持されているが、これらのファイルが窃取されたことで、標的型攻撃のリスクが高まる可能性がある。

同社は、すべての影響を受けるパートナーおよび顧客に通知を行い、デバイスの評価と修復を支援するツールをリリースしている。影響を受けるデバイスの最新かつ包括的な最終リストは、MySonicWall ポータルの Product Management > Issue List で確認できる。

修復作業の優先順位付けを支援するため、以下のように各デバイスを分類するフィールドが含まれている。

  1. Active – High Priority:インターネット接続サービスが有効なデバイス
  2. Active – Lower Priority:インターネット接続サービスが無効なデバイス
  3. Inactive:90日間にわたりホームに ping を送信していないデバイス

SonicWall は、ユーザーにデバイスの確認を促している。また、Mandiantと協力してクラウド・インフラの監視を改善し、セキュリティを強化していると述べている。

MySonicWall のクラウド・バックアップが、ファイアウォール・コンフィグを一元的に保管していたことで、脅威アクターたちにとって高価値の標的になっていたようです。この問題の原因は、クラウド上のバックアップへの不正アクセスと、窃取された暗号化済み認証情報の二次利用リスクにあります。さらに、コンフィグのインポートや認証リセットといった運用手順も複雑なようです。ご利用のチームは、ご注意ください。よろしければ、SonicWall で検索も、ご参照ください。