世界中の大企業が、悪意ある攻撃者にすでに握られた鍵を使われ、デジタルの入口を長年にわたって無防備にさらしていた可能性があります。サイバーセキュリティの専門家たちは、「FortiBleedキャンペーン」と称される大規模な攻撃作戦の全容を明らかにしました。この攻撃において、脅威アクターは数万台のFortinetファイアウォールおよびFortiGate VPN(仮想プライベートネットワーク)ゲートウェイへの侵入に成功し、世界規模でインフラの安全性を脅かしています。
単純かつ危険な悪用戦略
この悪意ある攻撃は、複雑なゼロデイ脆弱性を利用したものではないようです。むしろ攻撃者の手法は、はるかに原始的でありながら危険なほど効果的です。公開インターネット上に露出したFortinet機器をスキャンし、過去に漏洩した認証情報やブルートフォース攻撃で入手したパスワードを用いて、組織的にログインを試みるというものです。不正な管理者アクセスを確保すると、侵害されたゲートウェイはネットワークトラフィックの傍受・監視に悪用されます。この潜伏状態を利用して攻撃者は新たな認証情報を収集し、入手したパスワードを足がかりに企業ネットワーク内での侵入範囲を拡大していきます。
世界規模の侵害規模
この異例のセキュリティ事案の実態が明らかになるにつれ、脅威インテリジェンス企業からは驚くべき数値が報告されています。Hudson Rockのデータインテリジェンス専門家は、194か国にわたる73,932件の固有ファイアウォールアドレスにおいて侵害の痕跡を特定しました。また、SOCRadarが公開したセキュリティ分析では、影響を受けたデバイス数が優に30,000台を超えると推定しています。流出したデータセットの中には、21,632件の固有の企業ドメインが含まれていることも研究者によって確認されました。潜在的な被害者には、Accenture、Comcast、Foxconn、Lenovo、Oracle、Samsung、Siemens、PwCといった巨大多国籍企業のほか、各国政府機関や重要インフラ事業者が含まれています。この危機を受けて、研究者たちはFortiBleedによる自社の脆弱性を確認できる無償ツールを開発しています。
地理的・業種別の分布
セキュリティグループが分析したテレメトリデータによると、侵害された機器の集中度が最も高い国はインド、米国、台湾、メキシコ、トルコ、タイ、コロンビア、マレーシア、チリ、アラブ首長国連邦です。業種別では、通信、ITサービス、金融、行政機関、医療、学術機関、製造業が主な標的となっています。
侵入サーバーの構造
この大規模な認証情報流出を最初に明るみに出したのは、著名な独立系セキュリティ研究者のBob Diachenko氏です。氏は、暗号化されていないユーザー名・メールアドレス・平文パスワードを含むデータベースが格納された、インターネット上に公開された状態のリポジトリを発見しました。技術分析により、この脅威グループが320,777件の固有FortiGateホストに対して約11.6億回の認証試行を行っていたこと、さらに163,650件のMicrosoft SQL Serverエンドポイントに対して21億回のブルートフォース攻撃を実施していたことが判明しました。また、Diachenko氏は不正なリポジトリ内に、サイバー犯罪組織が残した内部運用スクリプト、設定ログ、コマンド履歴、および明確なフォレンジック上の痕跡が保存されていることも確認しました。
著名な独立系サイバーセキュリティ専門家のKevin Beaumont氏は、漏洩した情報の相当部分を詳細に検証し、その真正性を確認しました。氏は、当該データベースが約75,000台のFortinet機器から取得されたレコードを含んでいると推定しており、その大多数が現在もインターネット上でアクセス可能な状態にあることを指摘しています。Beaumont氏は、データの構造的な形式から判断して、一部の認証情報はFortinetのセットアップ設定のエクスポートから流出した可能性があると推測しています。ただし、マスターデータベースの収集に使用された正確な手口については、現時点で公式には特定されていません。
企業の対策と推奨事項
Fortinetは、同社のファイアウォールおよびVPNゲートウェイを標的としたこの第三者による認証情報収集活動について、公式に把握していることを認めました。同社は、公開されたデータリポジトリは過去の漏洩情報の再利用と積極的なクレデンシャルスタッフィング攻撃を組み合わせた集積物であると主張しています。また、今回の事案は未修正のソフトウェア欠陥、最近の企業侵害、あるいは新たなセキュリティアドバイザリーの存在を示すものではないとも強調しています。
FortiBleedへの対策として、セキュリティ専門家は組織に対し、Fortinetの管理インターフェースおよびVPNアクセスポータルに関連するすべてのパスワードを直ちに変更するよう勧告しています。さらに、多要素認証(MFA)を全面的に導入し、ゲートウェイのアクセスログで異常な挙動を詳細に監査するとともに、ダークネット上のリポジトリで企業の認証情報を積極的に監視し、従業員の情報が外部のデータ侵害の被害を受けていないかを確認することも求められています。
翻訳元: https://meterpreter.org/fortibleed-fortinet-firewalls-compromised/
