SonicWall(ソニックウォール)、不正アクセスで全クラウドバックアップ 顧客のファイアウォール 設定が盗まれる

SonicWallは、2025年9月に判明したクラウドバックアップ関連のセキュリティインシデントについて調査を完了し、クラウドバックアップ機能を利用したすべての顧客のファイアウォール設定バックアップファイルが不正アクセスを受けたことを明らかにしました。

対象ファイルにはAES-256で暗号化された認証情報や設定データが含まれており、同社はただちに資格情報を全面リセットするよう、具体的な作業手順（Containment／Remediation／Monitoring）を公開しています。管理者は、インターネットに露出する機器から優先して対応を進める必要があります。

影響範囲と確認方法

• 影響対象：MySonicWallのクラウドバックアップに保存されたファイアウォール設定（.EXP）。
  ※同社は当初「一部アカウントのバックアップが露出」としていましたが、最新の更新でクラウドバックアップ利用顧客すべてに影響が及ぶと訂正。

• 含まれる情報：AES-256で暗号化された資格情報・構成データ（復号に必要な要素が攻撃者側にない前提でも、設定の地図を与えること自体が攻撃を容易にするとSonicWallは警告）。

• 影響有無の確認：MySonicWallにログインし、「Product Management → Issue List」を参照。アクション項目が表示されているデバイスは「Essential Credential Reset」に従って直ちに対応。

• 補足：自動クラウドバックアップは一時停止中。バックアップ取得・参照はMySonicWallポータルから手動で行います。

フェーズ1：Containment（封じ込め）

パスワードや共有鍵を替える前に、外部から再侵入されない状態を必ず作ることが前提です。

• 管理アクセスの遮断・制限（WAN）

  • HTTP/HTTPS/SSHの管理をWANから無効化、もしくは信頼IPのみに制限。

  • SSL VPN／IPSec VPN／SNMPを一時停止（完全停止が難しい場合は発信元IP制限）。

• 公開サービスポートの一時封鎖

  • NAT/アクセスルールを棚卸しし、WAN→内部の許可ルールを停止またはホワイトリスト方式に変更。

• 運用上の注意

  • GMS経由での管理が必要な場合は、最小限の到達手段だけ許可。

  • 封じ込めが不十分なまま資格情報を更新すると、攻撃者に新しい鍵をセットされるリスクがあるため厳禁。

フェーズ2：Remediation（再設定）

SonicWallは「重要度の高いものから順に、すべてのパスワード／共有秘密／鍵／トークンを再発行」する包括的なチェックリストを提示しています。

下記のクリティカル群を最優先に、依存先（VPN対向、RADIUS/LDAPサーバ、ISP、DDNS、メールプロバイダ等）も同時に更新**してください。

クリティカル（最優先）

1. ローカルユーザー全員のパスワード再設定

   • 管理者を含むすべてのローカルアカウントを対象。

2. TOTP（ワンタイムパス）再バインド

   • 全ユーザーのTOTPを解除→再登録。

3. 認証基盤の共有秘密・バインド情報

   • LDAPバインド用パスワード／RADIUS・TACACS+共有秘密をサーバ側→SonicOS側の順で更新。

4. IPSec VPN共有鍵（事業所間／GroupVPNすべて）

   • 両端のゲートウェイで同時更新。GroupVPNはクライアント配布設定にも留意。

5. WAN認証（L2TP／PPPoE／PPTP、WWAN）

   • ISP側の認証情報変更と同時にSonicOSの設定を更新。

6. Cloud Secure Edge（CSE）コネクタのAPIキー再発行

重要（順次・早期）

• AWS連携キー（ログ収集、VPN統合等）

• SNMPv3ユーザーの認証情報

• DDNSアカウントのパスワード（プロバイダ側→SonicOSの順）

• メール送信アカウント（ログ／通知／OTP）

• FTP/HTTPS連携で用いる認証（レポート出力、動的外部アドレスオブジェクト、ボットネットリスト等）

• 無線関連：内部無線／SonicPoint／SonicWave／VAPのPSK、RADIUS共有秘密

• SSO関連の共有秘密（SSO Agent、TSA、RADIUS Accounting、3rd Party SSO API）

• 会計サーバ（RADIUS/TACACS+）の共有秘密

• ルーティング（RIP／OSPFv2／BGP）のパスワード

• NTPの認証情報、署名更新

• シグネチャダウンロード用プロキシの認証

• SSLVPNブックマークに保存された資格情報

• GMS（IPSec管理トンネル運用時）の管理鍵

依存関係の原則
共有秘密・パスワードは、まず相手側（サーバ／対向機器）で変更→SonicOS側へ反映。順番を誤ると認証断やVPN切断が発生します。

後始末：新しいゴールデンイメージの作成

• すべての更新が完了したら、設定エクスポート＆システムバックアップを取得し、安全な保管場所に保存。

• 併せてクラウド（MySonicWall）への手動アップロードを実施（自動バックアップは現在停止中）。

フェーズ3：Monitoring（監視）

再設定後は、不審な再侵入や残存リスクの有無を継続監視します。

• ログ監査：

  • System Logs／Auditing Logs を期間指定・イベント種別でフィルタし、大量エクスポート／認証失敗の連打／設定変更などの異常を確認。必要に応じてCSVエクスポートして深掘り。

  • SSLVPNログインの傾向監視、Syslog送信で保全期間を拡張。

• アラート運用：

  • MySonicWallのIssue Listや通知を定期的に再確認。新規のアクション項目が出たら最優先で対応。

管理者向けの実務ポイント（失敗しないための手順感）

1. 封じ込め：WAN管理・VPN・SNMPを止める／絞る →

2. 棚卸し：Connected Services／認証連携／公開ポートをリスト化 →

3. 一斉更新：クリティカルから依存先→SonicOSの順で再発行・再設定 →

4. 検証：VPN再接続／認証テスト／業務ジョブ（ログ転送・レポート出力等）を全行程試験 →

5. 監視：ログを広く・長く保全。再侵入の兆候（未知IP・異常回数・夜間帯）をハント →

6. 固定化：新バックアップを作り、手順書と連絡網を更新。次回インシデントに備え、演習を実施。

参照

Essential Credential Reset