コンテンツにスキップするには Enter キーを押してください

CISAがCommvault SaaS環境を狙った攻撃について警告

投稿日 2025年5月28日

Commvault Systems Incのロゴが表示された携帯電話

出典: T. Schneider via Shutterstock

脅威アクターがCommvaultのクラウドベースのバックアップおよびリカバリープラットフォームに保存された認証情報を狙い、それを使用して顧客のMicrosoft 365アカウントに不正アクセスしています。

Microsoft Azure上にホストされているCommvaultのMetallicを使用している組織は、サービス内で管理されているM365の認証情報の保護を優先するべきです。

より広範なキャンペーンの一部?

最近の勧告で、米国サイバーセキュリティ&インフラストラクチャセキュリティ庁(CISA)は、この活動がデフォルト設定や過度に許可されたクラウドアプリケーションの設定を狙ったより広範なキャンペーンの一部である可能性が高いと説明しました。

勧告では、脅威を軽減するために組織が取るべきいくつかの対策が推奨されました。これには、アプリケーションシークレットのローテーション、Entra監査ログでの不正な変更や新しい認証情報の監視、シングルテナントアプリへの条件付きアクセスポリシーの適用、通常のログインからの逸脱を疑わしいものとして扱うことが含まれます。

一方、Commvaultのオンプレミス版バックアップソフトウェアを使用している組織は、技術的に可能であればその管理インターフェースへのアクセスを制限するべきです。また、パストラバーサルの試みや不正なファイルのアップロードの試みを検出しブロックするための対策を実施するべきだとCISAは述べています。

関連:‘Hazy Hawk’サイバー犯罪ギャングがクラウドリソースを狙う

“Commvaultは、Microsoft Azureクラウド環境でホストされているアプリケーションを狙ったサイバー脅威活動を監視しています”と勧告は述べています。”脅威アクターは、AzureでホストされているCommvaultの(Metallic) Microsoft 365 (M365)バックアップSaaSソリューションのクライアントシークレットにアクセスした可能性があります。”

ゼロデイバグの悪用

Commvaultは、最初に公開したのは3月初旬で、MicrosoftがCommvaultのAzure環境で不正アクセスを検出したことを会社に通知した後のことでした。おそらく国家的なアクターが関与していると考えられます。Commvaultのその後の調査で、脅威アクターが少数の顧客のMicrosoft 365環境にアクセスした証拠が発見されました。

しかし、顧客がCommvaultでバックアップしたデータにアクセスされた証拠は何も示されていませんでしたと会社は述べています。Commvaultの調査では、脅威アクターが重要なCommvaultウェブサーバーのゼロデイ脆弱性、CVE-2025-3928を攻撃に利用したことが示されました。Commvaultはその後、このバグを修正しました。

Commvaultは、3月の元の勧告を2回にわたって新しい情報で更新しました。1回目は4月、2回目は5月です。4月の更新では、Azure環境内で活動する国家的なアクターがMicrosoftと共通の少数の顧客にアクセスしたことを確認する新しい脅威情報を収集したと述べました。しかし、会社は再度強調しましたが、Commvaultが保存し保護する顧客のバックアップデータへの不正アクセスはなく、事業運営や製品やサービスの提供能力に重大な影響はありません。

関連:Orca SecurityがOpusの取引でAI駆動の修復を取得

勧告は、Commvaultが顧客を保護するために実施したいくつかの対策を指摘しました。これには、強化されたキーのローテーションとより強力な監視ルールが含まれています。また、顧客が攻撃や侵害の兆候を監視するために使用できる妥協の指標も公開しました。

Commvaultの5月の更新は、ほぼ同じ詳細を繰り返しましたが、攻撃が顧客のM365環境にアクセスするための「高度な技術」を含んでいると説明しました。会社は、Microsoftのセキュリティ推奨に沿った新しいオプションの設定をサービスに導入しました。CISAが最近のSaaS顧客向けの勧告で提供したのと同様のアドバイスを提供し、アプリケーションの認証情報のローテーション、適切なスコープと権限を確保するためのMicrosoft Entra IDアプリケーション登録の再検証、条件付きアクセスポリシーの適用、最小特権アクセスの強制、会社の妥協の指標を使用したEntra ID監査ログのレビューを含みます。

関連:FortraがLookoutのクラウドセキュリティビジネスでSSE機能を拡大

声明で、Commvaultのスポークスマンは、CISAの警告に新しい進展はないと述べました。”CISAは、5月4日に公開し、彼らに通知した活動を報告しているに過ぎません”とスポークスマンは述べました。”以前の勧告で述べたように、Microsoftが提供した情報に基づいて行動しましたが、特定の脅威アクターに活動を独自に帰属させたわけではありません。”

CommvaultのMetallicのようなSaaSアプリケーションを狙う脅威アクターは、M365のような企業クラウド環境への不正アクセスを得るための高度な試みをますます行っています。問題を悪化させているのは、企業組織が使用するSaaSアプリケーションの90%が管理されておらず、従来のセキュリティツールやアプローチを使用して簡単に保護できないという事実です。良い面としては、多くの組織がSaaSアプリケーションの使用に伴うリスクの増大を認識しており、脅威に対処するための対策を実施していることです。例えば、70%が設立しているか、SaaSセキュリティリスクに対処するための専任チームを設立しています。

翻訳元: https://www.darkreading.com/cloud-security/cisa-warns-attacks-commvault-saas-environment

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です