Marquis/SonicWall事件で何が起きたのか
2025年2月、ファイアウォール大手SonicWallのAPIに脆弱性が発生し、クラウドバックアップサービスに保存されていた顧客のファイアウォール設定ファイルが外部からアクセス可能な状態になりました。
SonicWallは当初「影響を受けた顧客は5%未満」と報告しましたが、2025年10月に全顧客の設定データが流出していたと訂正しています。
この設定ファイルにはファイアウォールルール、VPN設定、認証情報、SSL証明書、MFAバイパスコードなどが含まれていました。攻撃者はこの情報を使い、2025年8月にMarquisのネットワークに侵入してランサムウェアを展開しました。
攻撃者は侵入する必要がなかった。設定ファイルにネットワークの地図が全部書いてあったからだ。
被害の規模
- 80以上の銀行・信用組合が影響を受けた
- 82万人超の顧客データが流出
- 氏名、生年月日、住所、SSN、銀行口座番号、クレジットカード番号が含まれる
- MarquisはSonicWallに対し訴訟を提起(2026年2月)
なぜ「設定ミス」が今最大のリスクなのか
OWASP Top 10の2025年版では、Security Misconfiguration(設定ミス)が2021年の5位から2位に急上昇しました。テストされたアプリケーションの100%で何らかの設定ミスが検出されており、71万9千件以上のCWEがこのカテゴリに分類されています。
設定ミスとは、システムやアプリケーション、クラウドサービスがセキュリティ上不適切な状態で運用されていることです。具体的には、不要な機能やポートの有効化、デフォルトの認証情報の放置、セキュリティヘッダーの未設定、過剰な権限設定などが該当します。
企業サイトで起きやすい設定ミスの例
- セキュリティヘッダー(CSP、X-Frame-Options等)が未設定
- 管理画面やテスト環境が外部から認証なしでアクセスできる
- クラウドストレージ(S3等)のアクセス権が公開設定のまま
- エラーメッセージにサーバ情報やスタックトレースが表示される
- SSL/TLS設定が古いプロトコルを許可している
- APIキーや設定ファイルが公開ディレクトリに配置されている
Marquis事件から得られる教訓
この事件は、自社だけでなくサービス提供元の設定ミスがそのまま自社のリスクになることを示しています。ファイアウォールを導入していても、その設定ファイルが安全に管理されていなければ意味がありません。
- セキュリティ機器の設定バックアップも保護対象である
- ベンダー任せにせず自社のセキュリティ状態を確認する必要がある
- 「設置した=安全」という前提は通用しない
- 定期的な外部からの可視性チェックが不可欠
まず確認すべきこと
設定ミスの怖さは「正常に動いているように見える」ことです。サービスは正常稼働していても、外から見えてはいけないものが見えている可能性があります。
自社サイトのセキュリティヘッダー、SSL設定、公開状態を外部視点で確認することが第一歩です。
Web検診では、セキュリティヘッダー、SSL/TLS設定、公開情報の露出チェックを含む無料診断を提供しています。
出典
TechCrunch: https://techcrunch.com/2026/02/24/marquis-sonicwall-lawsuit-ransomware-firewall-breach/
American Banker: https://www.americanbanker.com/news/marquis-breach-toll-rises-to-80-banks-824-000-consumers
OWASP Top 10 2025 - Security Misconfiguration: https://owasp.org/Top10/2025/A02_2025-Security_Misconfiguration/
Security Boulevard: https://securityboulevard.com/2026/02/significant-ransomware-firewall-misconfiguration-breach/