金融サービス大手Marquisを襲ったサイバーの影
2025年8月、テキサス州に拠点を置く金融サービスプロバイダーMarquis Software Solutionsは、米国数十の銀行や信用組合に影響を及ぼす大規模なランサムウェア攻撃に見舞われました。同社は、700以上の銀行、信用組合、住宅ローン貸付業者に対し、データ分析、コンプライアンス報告、CRMツール、デジタルマーケティングサービスを提供しており、その顧客基盤の広さから、今回の侵害は金融業界全体に大きな衝撃を与えました。
当初、この攻撃はMarquisが使用していたSonicWallファイアウォールの未パッチの脆弱性を悪用したものと推測されていました。しかし、その後の第三者機関による詳細な調査の結果、事態はより複雑な様相を呈していることが明らかになりました。Marquisは、攻撃者が同社のシステムに侵入した手口について、驚くべき新事実を公表したのです。
Marquisが顧客に送付した声明によると、攻撃者は未パッチのファイアウォールを直接悪用したわけではありませんでした。むしろ、SonicWallのオンライン顧客ポータル「MySonicWall」への不正アクセスによって盗み出された、ファイアウォールの設定バックアップファイルから得た情報を悪用したとされています。この主張は、サイバーセキュリティ業界におけるサプライチェーン攻撃の新たな側面を浮き彫りにし、ベンダー責任の議論に火をつけることとなりました。
Marquisは、このインシデントへの対応にかかった費用、および顧客が被った損害の回復をSonicWallに求める可能性を示唆しており、法的な措置も視野に入れていることを明らかにしています。この一連の動きは、単なるデータ侵害の報告に留まらず、セキュリティベンダーと顧客間の責任の境界線を問い直す、高額な責任問題へと発展する可能性を秘めています。
SonicWallクラウドバックアップ侵害の深層
Marquisがその攻撃の原因として名指ししたSonicWallのセキュリティ侵害は、2025年9月17日に同社が顧客に警告を発したことで公になりました。この際、SonicWallは顧客に対し、MySonicWallアカウントの認証情報をリセットするよう促し、当初はクラウドバックアップサービスを利用しているファイアウォール顧客の約5%のみが影響を受けたと説明していました。このMySonicWallサービスは、企業やITチームがファイアウォールの設定ファイル、ネットワークルール、アクセスポリシー、VPN設定、サービス認証情報、さらには管理者ユーザー名とパスワードなどをバックアップするために利用されています。
しかし、事態の深刻さは当初の発表をはるかに超えるものでした。約3週間後、SonicWallは更新情報を発表し、9月の侵害によってクラウドバックアップサービスを利用する全ての顧客が影響を受けたことを認めました。この修正は、攻撃者がアクセス認証情報やトークンを抽出できる可能性があり、影響を受けた顧客のファイアウォールを侵害することが「著しく容易になる」と警告していたことからも、その影響の大きさがうかがえます。
さらに、その1ヶ月後には、Mandiantによる9月の攻撃に関する調査の結果が公表され、このインシデントが国家支援型ハッカーに関連している証拠が発見されたとSonicWallは発表しました。この事実は、単なるサイバー犯罪グループによる攻撃ではなく、より高度で組織的な脅威が背景にあったことを示唆しており、MySonicWallの侵害が持つ戦略的な重要性を浮き彫りにしました。
SonicWallは、このMySonicWall侵害が、2025年9月下旬にMFA保護されたSonicWall VPNアカウントを標的としたAkiraランサムウェアグループによる攻撃とは無関係であると強調しています。しかし、この区別は、複数のセキュリティインシデントが同時期に発生し、それぞれが異なる攻撃ベクトルや脅威アクターによって実行された可能性を示しており、全体像の把握を一層複雑にしています。
Marquisの主張:連鎖するサイバー攻撃のメカニズム
Marquisが顧客に送付した内部メモと、その後の第三者機関による調査結果は、今回のランサムウェア攻撃がどのようにして同社の防御を突破したのかについて、詳細なメカニズムを明らかにしています。Marquisは、攻撃者が同社のファイアウォールを迂回できたのは、SonicWallのクラウドバックアップ侵害から抽出された設定データを悪用したためであると断定しました。これは、単一のセキュリティベンダーのシステム侵害が、その顧客のネットワークに連鎖的に影響を及ぼす、典型的なサプライチェーン攻撃の構図を示しています。
Marquisの声明によれば、「進行中の第三者調査に基づき、Marquisを攻撃した脅威アクターは、サービスプロバイダーのクラウドバックアップ侵害から抽出された設定データを活用することで、当社のファイアウォールを迂回できたと判断しました」と述べられています。この説明は、攻撃者がMarquisのネットワークに侵入するために、外部から入手した正確なファイアウォール構成情報と認証情報を利用したことを示唆しており、従来の直接的な脆弱性悪用とは異なる巧妙な手口であったことを強調しています。
さらに興味深いのは、Marquisが自社のセキュリティ体制についても徹底的な検証を行った点です。同社は、攻撃発生時に未パッチの脆弱性が存在した可能性についても調査しましたが、その結果、このパッチが対処する脆弱性は「ハッカーが当社のデータにアクセスすることを可能にするような方法では悪用できなかった」と結論付けました。この分析は、Marquis自身の防御に直接的な欠陥があったわけではなく、むしろサプライチェーンの脆弱性が攻撃の主要な経路であったという同社の主張を裏付けるものとなっています。
Marquisは、自社のファイアウォール設定ファイルのバックアップをSonicWallのクラウドに保存していたことを認めており、これが標準的な運用慣行であったにもかかわらず、結果的にセキュリティ上の負債となったと指摘しています。この状況は、企業が信頼する外部ベンダーのセキュリティ体制が、自社の防御の弱点となり得るという、現代のサイバーセキュリティにおける普遍的な課題を浮き彫りにしています。Marquisは現在、このデータインシデントへの対応にかかった費用をSonicWallから回収するための選択肢を検討しており、その動向が注目されます。
責任の所在を巡る攻防:SonicWallの反論
MarquisがSonicWallのクラウドバックアップ侵害を自社のランサムウェア攻撃の原因として名指ししたことに対し、SonicWall側は明確な反論を展開しています。SonicWallの広報担当者であるブレット・フィッツジェラルド氏は、TechCrunchの取材に対し、「2025年9月に報告されたSonicWallのセキュリティインシデントと、ファイアウォールやその他のエッジデバイスに対する現在進行中のグローバルなランサムウェア攻撃との間に、関連性を確立する新たな証拠はない」と述べています。この発言は、Marquisの主張を直接的に否定し、両社のインシデント間に直接的な因果関係はないというSonicWallの立場を明確に示しています。
フィッツジェラルド氏はさらに、SonicWallがMarquisに対し、その主張を裏付ける証拠の提出を求めていることも明らかにしました。これは、SonicWallがMarquisの主張を単なる責任転嫁と見なしている可能性を示唆しており、この問題が単なる技術的な分析に留まらず、法的な争いに発展する可能性を一層高めています。セキュリティベンダーとしては、自社の侵害が顧客の被害に直結したという非難に対し、慎重かつ断固たる姿勢で臨むのは当然の反応と言えるでしょう。
また、SonicWallは、MySonicWallの侵害が、2025年9月下旬に多要素認証(MFA)で保護されたSonicWall VPNアカウントを標的としたAkiraランサムウェアグループによる攻撃とは無関係であると繰り返し強調しています。BleepingComputerも、Huntressが2025年10月13日に100以上のSonicWall SSLVPNアカウントが侵害されたことを報告した際、これらの攻撃とSonicWallクラウドバックアップハックとの関連性は見つからなかったと報じています。これらの情報は、同時期に複数の異なる攻撃キャンペーンが存在し、それぞれの攻撃ベクトルや標的が異なっていた可能性を示唆しており、Marquisの主張の検証をさらに複雑にしています。
この責任の所在を巡る攻防は、サイバーセキュリティ業界全体に大きな波紋を広げています。ベンダーのセキュリティ侵害が顧客のシステムに連鎖的な被害をもたらした場合、その責任はどこまで及ぶのかという、これまで曖昧だった法的・倫理的な境界線が、今回のケースを通じて具体的に問われることになります。両社の主張が真っ向から対立する中で、今後の調査や法廷での争いが、業界の慣行や契約条件にどのような影響を与えるのか、その行方が注目されます。
被害の全貌とAkiraの影
Marquisが提供するサービスが米国全土の700以上の金融機関に及んでいることを考えると、今回のランサムウェア攻撃による潜在的な被害規模は甚大です。TechRadarの報道によれば、70以上の米国の銀行および信用組合がMarquisのランサムウェア侵害の影響を受けたとされており、これは金融セクターにおける広範な影響を示しています。攻撃者によって盗み出されたデータには、個人情報、金融情報、そして社会保障番号(SSN)といった極めて機密性の高い情報が含まれており、これらの情報が悪用されるリスクは計り知れません。
The Tech Buzzの報道では、Marquisの攻撃によって「数十万人の銀行顧客」の個人情報および金融情報が流出したと具体的に指摘されており、Marquisは2025年12月にはすでに数十万人の個人への通知を開始していました。しかし、同社の広報担当者は影響を受けた個人の総数を明らかにすることを拒否しており、関連する銀行や信用組合がそれぞれの評価を完了するにつれて、最終的な被害者数は「数百万人に及ぶ可能性」があると警告されています。この数字は、今回の侵害が単一企業の問題に留まらない、国家レベルのデータセキュリティ問題であることを示唆しています。
攻撃者の特定に関して、複数のセキュリティ情報源は、Marquisへの攻撃をAkiraランサムウェアグループに帰属させています。Akiraは、SonicWallインフラストラクチャを標的とすることで知られる、ロシア国家支援型のランサムウェアグループとされています。しかし、前述の通り、SonicWallは自社のMySonicWall侵害がAkiraによるVPN攻撃とは無関係であると主張しており、この点には複雑な背景が存在します。Marquisの主張は、攻撃者がSonicWallの侵害で得た情報を用いて同社のファイアウォールを突破したというものであり、最終的にランサムウェアを展開したのがAkiraであったとしても、その初期侵入経路はSonicWallのクラウドバックアップにあったという点で、責任の所在が問われています。
このような大規模なデータ流出は、被害を受けた個人に対する直接的な影響だけでなく、金融機関の信頼性低下、規制当局からの厳しい調査、そして多額の罰金といった広範な影響を及ぼします。特に社会保障番号のような個人識別情報が流出した場合、長期にわたるなりすましや金融詐欺のリスクが高まり、被害者は継続的な警戒を強いられることになります。今回の事件は、金融セクターにおけるデータ保護の重要性と、サプライチェーン全体にわたるセキュリティ対策の必要性を改めて浮き彫りにしています。
サプライチェーン攻撃の新たな法的課題
MarquisがSonicWallに対して損害賠償を求める姿勢を示していることは、サイバーセキュリティ業界におけるサプライチェーン攻撃の責任問題に新たな法的先例を確立する可能性を秘めています。セキュリティベンダーは、顧客のネットワークを保護するという信頼を売る存在であり、その信頼が崩れた場合、顧客は単なる謝罪以上のものを求めるのは当然です。今回のケースは、ベンダーの侵害が顧客への攻撃を可能にした場合、誰がその損害の費用を負担すべきかという、厄介な問いを提起しています。
Marquisは、第三者調査の結果に基づき、自社のファイアウォール設定がSonicWallの侵害によって盗まれたことが、ランサムウェア攻撃の直接的な原因であると主張しています。この主張が法的に認められれば、セキュリティベンダーは、自社の製品やサービスが原因で顧客が被った損害に対して、より直接的な財務責任を負うことになるかもしれません。これは、エンタープライズセキュリティ契約の作成方法や、ベンダーが必要とする保険の範囲を根本的に変える可能性を秘めています。
現在のところ、SonicWallはMarquisの主張に異議を唱え、両社のインシデント間の直接的な関連性を示す新たな証拠はないと主張しています。この対立は、サイバーセキュリティの責任問題が、技術的な分析だけでなく、法的な解釈や証拠の提示によって大きく左右されることを示しています。特に、サプライチェーンの複雑化が進む現代において、一つの脆弱性が複数の組織に連鎖的な被害をもたらすことは珍しくなく、このような状況下での責任の明確化は喫緊の課題となっています。
この訴訟の行方は、将来のサイバーセキュリティ業界におけるベンダーと顧客の関係、そしてリスク分担のあり方に大きな影響を与えるでしょう。もしMarquisがSonicWallの侵害が自社のシステムへの攻撃を直接可能にしたことを証明できれば、それはベンダーがセキュリティ上の失敗が顧客に連鎖した場合に財務責任を負うという前例を確立する可能性があります。これは、セキュリティプロバイダーにとって、自社のセキュリティ体制をさらに強化し、契約上の責任範囲をより明確にするための強力なインセンティブとなるでしょう。
終わらない調査と業界への警鐘
Marquisのランサムウェア攻撃とそれに続くSonicWallへの責任追及は、まだ解決には至っていません。Marquisは2025年12月から数十万人の顧客への通知を開始しましたが、影響を受けた個人の最終的な数は、関連する銀行や信用組合がそれぞれの評価を完了するにつれて、さらに増加する可能性があります。この継続的な通知プロセスは、侵害の全容が明らかになるまでに時間を要することを示しており、被害者にとっては不安な状況が続いています。
この事件は、単に二つの企業間の紛争に留まらず、現代のデジタルエコシステムにおけるサプライチェーンセキュリティの脆弱性と、それに伴う責任の複雑さを浮き彫りにしています。企業が自社のセキュリティを外部ベンダーに依存する度合いが高まるにつれて、そのベンダーのセキュリティ体制が、顧客自身の防御の最前線となるという現実が明確になりました。この信頼の連鎖が一度断ち切られると、その影響は広範囲に及び、回復には多大な時間とコストがかかります。
セキュリティ業界全体にとって、今回のMarquisとSonicWallの事例は、重要な警鐘となっています。企業は、自社の直接的な防御だけでなく、サプライチェーンを構成する全てのベンダーのセキュリティ体制を厳格に評価し、契約上の責任分担を明確にする必要性が高まっています。また、ベンダー側も、自社のセキュリティ侵害が顧客に与える潜在的な影響を深く認識し、透明性の高い情報開示と迅速な対応が求められるでしょう。
最終的に、この事件がどのような結末を迎えるにせよ、それはサイバーセキュリティの法的枠組みと業界慣行に永続的な影響を与えることになります。数十万、あるいは数百万人の銀行顧客が、自らの金融データが、取引を行っている銀行から二段階離れたベンダーの侵害によってハッカーの手に渡った可能性に直面しているという事実は、デジタル社会における信頼と責任の基盤を揺るがす深刻な問題として、今後も議論され続けるでしょう。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Marquis blames ransomware breach on SonicWall cloud backup hack - https://www.bleepingcomputer.com/news/security/marquis-blames-ransomware-breach-on-sonicwall-cloud-backup-hack/
- -Marquis confirms data breach, point finger of blame at SonicWall firewall | TechRadar - https://www.techradar.com/pro/security/marquis-confirms-data-breach-point-finger-of-blame-at-sonicwall-firewall
- -Fintech firm Marquis blames hack at firewall provider SonicWall for its data breach | daily.dev - https://app.daily.dev/posts/fintech-firm-marquis-blames-hack-at-firewall-provider-sonicwall-for-its-data-breach-utqt0kfqu
- -Marquis Points Finger at SonicWall for Fintech Breach | The Tech Buzz - https://www.techbuzz.ai/articles/marquis-points-finger-at-sonicwall-for-fintech-breach