- 研究者ボブ・ディアチェンコが「FortiBleed」を発見——ブルートフォース攻撃および悪用キャンペーンによって収集された73,932件のFortinet/FortiGate VPN認証情報の大規模アーカイブ
- 大手企業(Chevron、Samsung、Toyota、AT&T、NATOの請負業者など)の平文ユーザー名・メールアドレス・パスワードを含み、数十億件ものログイン試行が記録されていた
- Fortinetは今回の漏洩を過去の事案のデータ再共有とブルートフォースデータによるものと説明し、リスク軽減のためパスワードのローテーションとMFAの設定を呼びかけ
主要なグローバル企業の数万件ものログイン認証情報を含むデータベースがオンライン上で公開状態のまま発見され、今年最大規模のデータ漏洩事件の一つとなっています。
セキュリティ研究者のボブ・ディアチェンコ氏はLinkedInに新たなレポートを投稿し、73,932件のファイアウォールURLを含むFortinetおよびFortiGate VPN認証情報のアーカイブを発見したと報告しています。
「進行中のFortinet/FortiGateを標的とした大規模なブルートフォース攻撃・積極的悪用キャンペーンが明らかになった」と同氏は述べています。
Fortinetの対応
ディアチェンコ氏はこのキャンペーンを「FortiBleed」と命名し、アーカイブにはChevron、Samsung、Foxconn、Comcast、AT&T、Mercedes-Benz、Toyota、Sinopec、State Gridといった企業のユーザー名、メールアドレス、そして平文パスワードが含まれていたと説明しています。
「このようなファイルには数千のトップベンダーのインスタンスが記載されています(スクリーンショット参照)。このファイル一つだけでも21,634件のドメイン名が含まれており、ChevronからFortinet自身に至るまで多岐にわたっています。いずれも、さまざまな手段で取得されたFortiGateアプライアンスへの有効なパスワードを伴っています。」
ディアチェンコ氏はBleepingComputerに対し、このアーカイブはFortiGate SSL VPNの認証情報を収集してきたロシア語話者の脅威アクターによって作成されたと述べています。データベースを分析した結果、攻撃者はブルートフォース攻撃で侵入しており、320,000件以上のFortiGateインスタンスに対して11億件以上の認証試行を実施し、さらに160,600件以上のMicrosoft SQL Serverシステムに対しても21億件の試行を行ったと結論付けています。
さらに攻撃者は、SSL VPNの認証ハッシュも奪取しており、後にそれを解読してActive Directory環境へのログインに悪用していたことも明らかになっています。
世界各地の複数の組織が「完全に侵害された」とディアチェンコ氏は強調しており、その中にはトルコのNATOの防衛請負業者も含まれているとしています。この組織は今回の侵害によって機密文書を失ったとされています。
Hudson Rockやセキュリティ研究者のKevin Beaumont氏をはじめとする複数のセキュリティ企業が、この漏洩の真正性を確認しています。
Fortinetは同メディアに対し、このデータベースは新たな侵害によるものではなく、過去の事案で窃取された情報のコレクションであると説明しています。
「当社の分析によると、今回のデータは過去の事案のデータを再共有したものおよびブルートフォースによって取得された認証情報であり、最近の事案や勧告とは無関係です。3月のブログでの案内に従い、定期的なセキュリティ認証情報の更新を含む通常のベストプラクティスを実践している組織は、今回報告された認証情報漏洩のリスクはほとんどありません」とFortinetは述べています。それでも、FortinetのVPNパスワードをローテーションし、未設定の箇所にMFAを導入しておくことは有益です。
「Fortinetは引き続き、お客様のセキュリティを最優先事項として、これらの報告を調査してまいります。」
