サイバー犯罪
この記事を読んでいる場合ではありません!今すぐパスワードを変更してください!!
Fortinetのファイアウォールを使用している場合は、直ちに作業を止めてパスワードを変更してください。何者かが約7万5000台のFortinetファイアウォール機器に不正アクセスし、194カ国の大手企業の認証情報を窃取しました。一部のケースでは、ネットワーク全体の侵害にまで発展しています。
セキュリティ研究者らはデータの正当性を確認しており、クラックされたFortiGateのパスワードには、FoxConn、Samsung、Comcast、Siemens、Lenovo、FedEx、PxW、Accenture、Oracleなど、多国籍企業のアカウント情報が含まれていることが判明しています。
The Registerは「FortiBleed」と呼ばれる今回のキャンペーンについてFortinetおよび被害を受けた各企業にコメントを求めましたが、現時点では回答を得られていません。返答があり次第、本記事を更新する予定です。
それまでの間、自組織が影響を受けたドメインのリストに含まれていないか確認し、Fortinet VPNおよび管理インターフェースに関連するすべてのパスワードを直ちに変更してください。
多要素認証も必ず有効にしてください。このような大規模な認証情報漏えいは深刻な事態を招く恐れがあり、攻撃者にファイアウォールだけでなく企業ネットワーク全体へのリモートアクセスを許してしまいます。
データを分析したHudson Rockによると、今回の漏えいは2万1632件の固有ドメインに影響しているとのことです。
「この侵害の規模は、あらゆる業種を含む世界経済のほぼすべてのセクターに及んでいます。脅威アクターたちは、世界最大級の企業の有効な認証情報からなる検証済みデータベースを構築しました」と、セキュリティ企業はInfostealerブログに記しています。
研究者のVolodymyr「Bob」Diachenko氏が最初にこの侵入を発見し、ロシア語話者のグループによるものと結論づけました。
「彼らはSSL VPN認証をインターセプトし、Hashtopolisで管理する45台のGPUクラスターでハッシュをクラックして、内部のActive Directory環境に侵入します。この作戦では、32万0777台のFortiGateを標的に11億6000万件の認証情報を試行し、さらに16万3650台のMSSQLサーバーに対して21億件の試行を行っています」と、Diachenko氏はLinkedInに投稿しています。
またDiachenko氏によると、犯罪グループは少なくとも4つの組織を完全に掌握しており、その中にはトルコのNATO国防関連企業も含まれ、機密防衛文書が窃取されたとのことです。
窃取された認証情報を独自に検証したセキュリティ研究者のKevin Beaumont氏も「データは本物だ」と断言しています。
「リストに掲載されている複数の組織と協力したことがあり、ログインIDとパスワードが実在のものであることを確認できました」とBeaumont氏は記しています。「サンプリングした機器の多くは、比較的最近のパッチが適用された状態にあります。」
デバイス検索エンジンShodanによると、今回の大規模窃取は、インターネットに公開されているFortinetファイアウォール全体の約半数に相当します。また、Beaumont氏は侵害されたFortinetデバイスの大半が現在もオンライン状態にあることを指摘しています。
もしまだこの記事を読み続けているなら、今すぐ画面を閉じて、Fortinetファイアウォールのパスワードをすぐに変更してください。®
