🛡 概要
ネットワークセキュリティ企業のSonicWallは、9月に発生したクラウド上のファイアウォール設定バックアップファイルへの不正アクセスについて、国家支援の脅威アクターが関与していたと結論づけた。Mandiantのフォレンジック調査により、活動は特定のクラウド環境におけるAPI呼び出しを悪用したバックアップ取得に限定され、製品、ファームウェア、社内ツール、ソースコード、顧客ネットワークへの影響は確認されていない。10月9日の更新では、クラウドバックアップ機能を利用していた全顧客が影響対象になり得るとされた。
🔍 技術詳細
事案はMySonicWallアカウントで保管されていた一部環境のクラウドバックアップに対し、認証済みAPIコールが悪用され、設定バックアップファイルが不正に取得されたもの。バックアップには、装置や周辺システムの運用に必要な機微情報が含まれる場合がある。具体例として、MySonicWallアカウントの認証情報・一時コード、LDAP/RADIUS/TACACS+のパスワード、L2TP/PPPoE/PPTPのWANインタフェース認証情報、IPSecサイト間VPNおよびGroupVPNの共有シークレットなどが挙げられる。これらは単体では直ちに装置乗っ取りを保証しないが、攻撃者が有効な資格情報を得た場合、VPN経由での侵入、ファイアウォール管理アクセスの奪取、ネットワーク横展開の足掛かりとなる可能性が高い。SonicWallは発覚直後から、MySonicWallの資格情報や各種パスワード、共有シークレットの即時リセットを推奨。併せてログ監査とアクセス元の見直しを促している。Mandiantは活動がバックアップ環境へ限定され、製品やファームウェアへ改ざん・混入が無いことを確認。また、9月末のAkiraランサムウェアによるMFA保護済みSonicWall VPNアカウントへの攻撃や、10月13日にHuntressが報告したSonicWall SSLVPNアカウントへの正規資格情報による侵害とは、現時点で関連性が認められていない。
⚠ 影響
設定バックアップから抽出可能な資格情報・トークンが悪用されると、装置管理アクセスやVPN接続の不正利用、認証基盤の連鎖的侵害、機密データへの到達などの二次被害が懸念される。広範な資格情報リセット、証明書・PSK再配布、接続切替の計画外メンテナンスにより、運用負荷やダウンタイム、インシデント対応コストの増加が発生しうる。
🛠 対策
– 即時の秘匿情報ローテーション: MySonicWall、AAA( LDAP/RADIUS/TACACS+ )、WAN認証、IPSec PSK/GroupVPN共有鍵、APIキー・トークンを全て更新。
– アクセス制御強化: 管理・APIアクセスに条件付きアクセスと地理/ASN制限、ネットワーク許可リスト、時間帯制限を適用。
– 最小権限・分離: バックアップ保管バケット/コンテナを分離し、読み取り専用ロールを最小化。
– 暗号化と鍵管理: バックアップの暗号化とKMSによる鍵ローテーション、自動失効。
– ログと監査: クラウド監査ログ、APIゲートウェイ、認証基盤、ファイアウォール管理ログを集中管理し、異常な大量ダウンロードや非通常地域からのアクセスを検知。
– セキュア開発/運用: バックアップに資格情報を平文保存しない設計、シークレットの外部保管(ボルト)と参照化。
– インシデントレスポンス: 影響資産の特定、証跡保全、段階的な再認証、周知と顧客連絡の計画を整備。
📌 SOC視点
– クラウド監査ログ: List/Get系オブジェクト操作のスパイク、短時間に多数の200応答・大容量転送、通常外のUser-Agent/ASN/地域。
– 認証ログ: 短時間にトークン再発行、MFA方法変更、Impossible Travel、APIキー使用元の急変。
– SonicWall/SSLVPN: 管理UIログイン試行の増加、設定エクスポート操作、VPN同時接続数の異常。
– 相関: API取得直後にVPNや管理アクセスが成功していないかを時系列で突合。
– 検知ルール例: バックアップ取得APIの高頻度呼び出し、初見ASNからの成功、1時間内に10件超のダウンロードなどを高優先度アラート。EDR単体では検知困難なため、CASB/IdP/クラウド監査ログをSIEMで統合。
📈 MITRE ATT&CK
– Initial Access: Valid Accounts (T1078) 正規資格情報/APIキーの悪用が示唆される。
– Collection: Data from Cloud Storage Object (T1530) クラウド上のバックアップオブジェクトからデータを収集。
– Credential Access: Unsecured Credentials – Credentials in Files (T1552.001) 設定バックアップに含まれる資格情報・トークンを抽出し得る。
– Exfiltration: Exfiltration Over Web Service – Exfiltration to Cloud Storage/Service (T1567.002/003) 正規のクラウド/ウェブAPI経由でデータを外部へ搬出。
根拠: MandiantはAPIコールによる特定クラウド環境のバックアップ取得に限定された活動と結論づけており、マルウェア混入や製品改ざんの痕跡はない。
🏢 組織規模別助言
– 小規模(〜50名): ベンダー推奨の全リセットを優先。管理アクセスのIP制限とMFA強制、バックアップ無効化や周期ローテーションを簡素な運用で徹底。
– 中規模(50〜500名): SIEMでクラウド監査ログとIdPログを集約。条件付きアクセス、特権アカウントのJIT化、PSKから証明書ベースVPNへの段階移行を計画。
– 大規模(500名〜): バックアップ分離ドメインと専用KMS、DLP/UEBAでの大量取得検知、セキュリティ境界ごとのシークレット階層化、レッドチームによる資格情報露出の定期検証。
🔎 類似事例
– Snowflake環境での2024年認証情報悪用によるデータ流出(有効資格情報とAPIの悪用)。
– Okta 2023年サポートケース侵害(HARファイルに含まれたトークン悪用)。
– AkiraランサムウェアによるSonicWall VPNアカウント狙い撃ち(正規資格情報の悪用)。
注: いずれも本件との直接的因果関係は確認されていない。
🧭 次の一手
直ちに資格情報・鍵・共有シークレットを全更新し、クラウド監査ログの30〜90日遡及調査を実施。次に、バックアップ設計からのシークレット排除と鍵管理のローテーション自動化、APIアクセスの許可リスト化を進める。詳細手順はシークレットローテーション運用ガイドとクラウド監査ログの検知プレイブックを参照して継続的に改善してほしい。CVSSに基づくCVEは本件に固有には存在しない(製品脆弱性ではないため)。
