流出したファイアウォール設定情報に潜むリスク SonicWallが標的に

SonicWallのクラウドバックアップサービスがブルートフォース攻撃に襲われて、認証情報の一部が不正アクセスを受けた。

[David Jones，Cybersecurity Dive]

　ネットワークセキュリティソリューションを提供するSonicWallは2025年9月17日（現地時間、以下同）、同社に対するセキュリティインシデントについて発表した（注1）。

　攻撃者がSonicWallのファイアウォール向けクラウドバックアップサービスにアクセスする目的で、ポータルサイトのMySonicWall.comに対してブルートフォース攻撃を実行中だという（注2）。SonicWallのユーザーはどのような対応が必要なのだろうか。

流出したファイアウォール設定情報に潜むリスク

　SonicWallの調査の結果、バックアップされたファイアウォールの設定用ファイルの約5％に攻撃者がアクセスしていた。同社は勧告の中で、ファイル内の認証情報は暗号化されているものの、内部には攻撃者がファイアウォールを悪用する手掛かりとなり得る他の情報も含まれていたと警告した。同社は今回のインシデントの範囲を説明する動画も公開した（注3）。

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2025年9月22日にSonicWall製品のユーザーに勧告を出した（注4）。ユーザーアカウントにログインして、デバイスがリスクにさらされていないか確認する必要があるという。

　サイバーセキュリティ事業を営むArctic Wolfの研究者によると（注5）、SonicWallは2025年9月15日の週にファイアウォールの設定用バックアップファイルが流出した可能性に関連する調査を開始したという。

　その後、SonicWallは不正なバックアップ拠点を遮断し、被害の範囲を把握するために複数のサイバーセキュリティ企業と法執行機関との連携を開始した。

　ファイアウォールの設定用ファイルには、ユーザー情報やグループ情報、DNS（ドメインネームシステム）に関する設定、ログ設定などの機密情報が含まれている。研究者によると、国家から支援を受けている攻撃者やランサムウェアグループが、過去にもこのような情報を悪用して後続の攻撃を仕掛けた例があるという。

　研究者はユーザーに、保存されている認証情報をリセットするよう呼び掛けた。

出典：SonicWall customers warned about brute force attacks against cloud backup service（Cybersecurity Dive）
注1：MySonicWall Cloud Backup File Incident（SonicWall）
注2：SONICWALL（SonicWall、ログインが必要）
注3：Important Update on the MySonicWall Cloud-Backup File Incident（YouTube）
注4：SonicWall Releases Advisory for Customers after Security Incident（CISA）
注5：SonicWall Warns Customers of Data Exposure Incident Affecting MySonicWall Configuration Backup Files（Arctic Wolf）