eSecurity Planet のコンテンツおよび製品推薦は編集上独立しています。パートナーへのリンクをクリックすると、収益が発生する場合があります。 詳細はこちら
Charter Communicationsは、ShinyHuntersゆすりグループが顧客データを盗んだと主張し、身代金が支払われなければ情報をリークすると脅迫した後、サイバーセキュリティインシデントを認めました。
Spectrumブランドで事業を展開する同社は、インシデントを調査中であり、当局と連携していると述べました。
「Charterの侵害は、巧妙な電話一本で世界最高レベルのセキュリティスタックも崩せるということを改めて示しています」と、ProCircularのGRCマネージャーであるAndrew Chipman氏はeSecurityPlanetへのメールで述べました。
Charter Communicationsインシデントの重要ポイント
- Charter Communicationsは、ShinyHuntersグループが同社の環境から顧客データを盗んだと主張した後、インシデントを確認しました。
- 脅威アクターは、侵害がMicrosoft Entraアカウントを侵害し、CharterのSalesforce環境へのアクセスを可能にしたビッシング攻撃から始まったと主張しました。
- ShinyHuntersは4,200万件以上の顧客レコードを盗んだと主張しましたが、Charterは機密個人情報やCPNIデータが流出したことを否定しました。
Charterインシデントの内幕
今回の疑惑の侵害は、クラウドIDプラットフォームとエンタープライズSaaS環境を標的にしたソーシャルエンジニアリングキャンペーンがもたらす脅威の増大を浮き彫りにしています。
BleepingComputerによると、ShinyHuntersゆすりグループは、従業員のMicrosoft Entraアカウントを侵害した音声フィッシング(ビッシング)攻撃を通じて、Charter Communicationsのシステムへのアクセスを取得したと主張しています。
攻撃者はそのアクセスを利用して同社のSalesforce環境に侵入し、大量の顧客データをエクスポートしたとされています。
盗まれたとされるデータの内容
Charterは機密個人情報および顧客固有ネットワーク情報(CPNI)は流出しなかったと述べましたが、ShinyHuntersは4,200万件以上の顧客レコードを盗んだと主張しています。
脅威アクターによると、データには氏名、メールアドレス、電話番号、住所、プランの詳細、カスタマーサポートチケット情報が含まれていたとのことです。
Charterは盗難の規模を確認せず、機密顧客データの流出を否定した当初の声明を改めて示すにとどまりました。
IDプラットフォームへの攻撃が増加
このインシデントは、単一の侵害されたIDアカウントが相互接続されたクラウドサービス全体でより広範な露出を生み出す可能性があることを示しています。
現在、多くの組織がMicrosoft Entra、Okta、Google Workspaceなどのシングルサインオン(SSO)プラットフォームに依存して、業務上重要なSaaSアプリケーション全体の認証を管理しています。
その結果、攻撃者はIDシステムを標的にするケースが増えています。1つのアカウントを侵害するだけで、Salesforce、Microsoft 365、Slack、Zendesk、Dropboxなどのプラットフォームへのアクセスが可能になる可能性があるためです。
ShinyHuntersの広範なキャンペーン
ShinyHuntersは過去1年間、特にSalesforce環境やサードパーティ統合に関連する盗まれたOAuthトークンを使用した、SaaSに焦点を当てた複数のゆすりキャンペーンに関与していることが確認されています。
同グループはまた、Canvasサービスを中断させ、数千万人の学生に関連するデータを流出させたとされる、教育テクノロジープロバイダーInstructureへの攻撃にも関与していたと報告されています。
組織がリスクを軽減する方法
攻撃者はシングルサインオンプラットフォーム、サードパーティ統合、認証ワークフローを標的にし続けてエンタープライズシステムへのアクセスを試みています。
リスクを軽減するために、組織はより強固なID保護、改善されたSaaSモニタリング、テスト済みのインシデント対応計画を含む多層的なセキュリティアプローチを採用する必要があります。
- フィッシング耐性のあるMFA、条件付きアクセスポリシー、デバイス信頼要件を実装して、認証情報の盗難および不正なSaaSアクセスのリスクを軽減してください。
- SaaS環境で異常なログインアクティビティを監視し、異常なOAuth同意の付与や、アカウント侵害を示す可能性のある大規模なデータエクスポートを検出してください。
- OAuthアプリケーションの権限を制限し、サードパーティ統合を定期的に監査し、APIトークンをローテーションして攻撃者の持続的なアクセスを制限してください。
- 最小権限アクセス制御を徹底し、管理者アカウントを標準ユーザーアカウントから分離して、横方向の移動の機会を減らしてください。
- データ損失防止(DLP)ポリシーとロールベースの制限を導入して、機密顧客データおよびビジネスデータへのアクセスをより適切に制御してください。
- ビッシング、MFA疲労攻撃、ソーシャルエンジニアリングキャンペーンで使用されるなりすまし戦術に焦点を当てた従業員トレーニングを定期的に実施してください。
- インシデント対応計画をテストし、IDの侵害シナリオを使った攻撃シミュレーションツールを活用してください。
これらの対策を総合的に実施することで、組織はクラウドおよびSaaS環境全体での露出を抑えながら、IDベースの攻撃に対するレジリエンスを構築することができます。
サイバーゆすりの進化
Charterのインシデントは、サイバーゆすりキャンペーンがランサムウェアの暗号化のみに頼るのではなく、データ盗難とクラウドアカウントの侵害にますます焦点を当てていることを反映しています。
ShinyHuntersのようなグループは、ソーシャルエンジニアリング戦術、IDの侵害、SaaSプラットフォームへのアクセスを利用して、エンタープライズデータを入手し、ゆすりによって組織に圧力をかけています。
組織がクラウドおよびSaaSプラットフォームの利用を拡大するにつれ、攻撃者はそれらの環境をますます標的にするようになっています。単一の侵害されたアカウントが、相互接続された複数のシステムや機密データへのアクセスを提供する可能性があるためです。
このようなインシデントは、組織がIDアクセスを制御し露出を軽減するためにゼロトラストソリューションを採用している理由を改めて示しています。
