Source:https://thehackernews.com/2025/11/sonicwall-confirms-state-sponsored.html
🛡 概要
SonicWallは、9月に発生したクラウドバックアップ環境への不正アクセスについて、国家支援(state-sponsored)の脅威アクターが関与していたと正式に認めました。影響は、特定のクラウド環境に保存されたファイアウォール構成バックアップへのAPI経由の不正取得に限定され、製品やファームウェア、他の社内システムへの侵害は確認されていません。同社はMandiantと連携し是正措置を実施済みで、継続的にセキュリティ態勢を強化するとしています。また、この事案は世界的に観測されているAkiraランサムウェアの攻撃とは無関係と明言しています。
🔍 技術詳細
公開情報によれば、攻撃はSonicWallの特定クラウド環境に保存されたファイアウォール構成バックアップに対し、クラウドAPIコールを用いて不正アクセスが行われたものです。アクセスはバックアップファイルの取得に限定され、他システムや製品ファームウェアへの改ざん・侵入の痕跡はないと報告されています。国家支援アクターは、クラウド管理APIへの正規に見えるリクエスト(トークンや認証情報の悪用、許可されたエンドポイントの濫用、IPローテーションや時間帯偽装)を用いて、検出を回避しながら大量または選択的にデータを取得する傾向があります。構成バックアップには、ネットワークトポロジ、アドレス/オブジェクト、ポリシー、VPN設定、管理者アカウント情報、外部連携のエンドポイントなど、攻撃の偵察や横展開に有用なメタデータが含まれることが一般的です(実際に含まれる具体的な秘匿情報の有無は環境設定に依存します)。SonicWallは影響範囲について、クラウドバックアップを利用した全顧客のうち、実際にバックアップがアクセスされたのは5%未満としており、被害顧客向けにオンライン分析ツールおよび資格情報リセットツールを提供しています。現時点で、この事案に直結するCVEやCVSSは公表されていません(CVE/脆弱性悪用の有無は未開示)。
⚠ 影響
構成バックアップの流出は、直接的なマルウェア感染が無くとも重大です。ネットワーク構成やアクセス制御の可視化により、攻撃者は脆弱なセグメント、管理プレーンへの到達経路、露出サービス、信頼関係(Site-to-Site VPN等)を特定しやすくなります。バックアップに秘匿情報(例:ローカル管理者のハッシュ、VPN事前共有鍵、外部監視のコミュニティ文字列等)が含まれる設定の場合、これらの再利用・総当たり・なりすましによる二次侵害リスクが高まります。結果として、標的型侵入、ビジネスメール詐欺の前段偵察、横展開の効率化、フィルタ回避のためのルール悪用が起こり得ます。
🛠 対策
- 影響確認:MySonicWallにログインし、提供されるオンライン分析ツールで対象デバイス・サービスを確認。
- 資格情報再発行:該当する場合、管理者パスワード、ローカルユーザ、APIキー、SNMPコミュニティ、VPN事前共有鍵/証明書、外部連携の共有秘密をローテーション。
- アクセス強化:管理ポータル/APIのMFA必須化(可能ならFIDO2/WebAuthn)、IP許可リスト、条件付きアクセス、ダウンロード制限。
- 監査の強化:クラウドAPIの監査ログを保全し、地理的異常、短時間大量ダウンロード、未知のUser-Agent/クライアントの利用を検出。
- 最小権限:バックアップ閲覧/取得権限を最小化し、サービスアカウントの長期トークンを廃止。キー/トークンは短寿命化。
- 設定見直し:バックアップに秘匿情報を含めない設定の検討、暗号化の徹底、機密項目の分離保管。
- インシデント対応:二次被害想定のハンティング(不審ログイン、VPN接続、管理変更履歴)、IR手順のリハーサル。
📌 SOC視点
- ログ源:SonicWallクラウド/管理ポータルの監査ログ、IdP(Azure AD/Okta等)のサインイン/トークン発行ログ、CASB、プロキシ/ゲートウェイ、EDRのブラウザプロセス/資格情報保管操作。
- 注視イベント:短時間の大量GET/ダウンロード、非業務時間帯のAPI呼び出し、MFAバイパス/失敗後の成功、Impossible Travel、通常と異なるAS/国からのアクセス。
- ハンティング例(擬似KQL):
– 異常ダウンロード: where Event == “API” and Action == “Download” and Bytes > 100MB and Count by 1h > 閾値
– 不審サインイン: where MFAResult == “bypassed” or SignInRisk == “high”
– 新規クライアント: where UserAgent not in (過去30日の既知UA) - EDR観点:管理者端末でのブラウザトークン抽出、パスワードマネージャ同期へのアクセス、未知のクラウド管理スクリプト実行を監視。
📈 MITRE ATT&CK
- TA0001 Initial Access / T1078.004 Valid Accounts: Cloud Accounts — クラウドAPIへの正規資格情報やトークン悪用の可能性。
- TA0009 Collection / T1530 Data from Cloud Storage — クラウド上のバックアップ/ストレージからのデータ収集。
- TA0010 Exfiltration / T1567 Exfiltration Over Web Service — API/HTTPS経由での外部持ち出し。
- TA0003 Persistence / T1556 Modify Authentication Process(該当する場合)— 長期トークンや同意済みアプリの悪用に備えた監視が必要。
- TA0005 Defense Evasion / T1070.004 File Deletion(該当する場合)— ログ消去や低ノイズAPI利用による痕跡隠蔽が一般的。
根拠:公表情報は「APIコールによるクラウドバックアップへの不正アクセス」に限定されており、クラウドアカウントの不正利用とクラウドストレージからの収集・持ち出しに整合します。脆弱性悪用(T1190等)は現時点で示されていません。
🏢 組織規模別助言
- 小規模(〜50名):ベンダ提供ツールで影響確認→すべての管理者/VPN資格情報を即時ローテーション。MFAを全管理系に適用。バックアップ取得権限を1アカウントに限定。
- 中規模(50〜500名):IdP連携で条件付きアクセス、APIのIP許可リスト化、SIEMでクラウド監査ログを相関。秘匿情報の分離/暗号化ポリシーを手順化。
- 大規模(500名以上):ゼロトラスト原則をAPIにも適用(短命トークン、デバイス準拠性)。バックアップの機密区分と鍵管理(KMS)を厳格化。定期的なレッドチーム/テーブルトップ演習で二次侵害シナリオを検証。
🔎 類似事例
- LastPass(2022):開発者アカウント侵害を起点にクラウドバックアップ(S3)からデータ流出。
- Okta(2023):サポート環境にアップロードされたHARからセッショントークンが悪用。
- Microsoftメール侵害(2023):Storm-0558が盗難キーでクラウドメールAPIに不正アクセス(国家支援)。
- CVE-2021-20016(SonicWall SMA 100のSQLi、CVSS 9.8)— 過去に認証情報露出が可能となった重大欠陥。
- CVE-2020-5135(SonicOSのスタックBoF、CVSS 9.4)— クリティカル欠陥(本件とは無関係の参考)。
🧭 次の一手
- MySonicWallにログインし、オンライン分析ツールで対象デバイス/サービスを確認。
- 資格情報リセットツールを用い、管理者/ユーザ/APIキー/VPN PSK等をローテーション(該当時)。
- SIEM/CASBで過去90日以上のクラウドAPIアクセス監査を見直し、異常アクセスを封じるポリシーを実装。
- バックアップ運用を再設計(秘匿情報の分離、暗号化、アクセス最小化、取得・保管の可視化)。
- ベンダの後続アドバイザリとMandiant推奨事項を継続評価し、改善を追従。
