日経のインシデントは、企業管理外デバイスから企業リソースへアクセスすることに伴うリスクを浮き彫りにしています。
日本のメディア企業である日経は、Slackアカウントのセキュリティ侵害により、17,000人以上のユーザーから非常に機密性の高い情報が流出した可能性があることを確認しました。コンサルタントらは、このインシデントを、非企業デバイスが機密企業データへアクセスすることの危険性を改めて示すものだと指摘しています。
「従業員の私用パソコンがウイルスに感染し、Slackの認証情報が漏洩しました。この情報が不正に従業員アカウントへアクセスするために使用されたと考えられます」と日経は公開声明で述べています。「このインシデントは9月に判明し、パスワードの変更などの対策を実施しました。漏えいした可能性のある情報には、Slackに登録された17,368人分の氏名、メールアドレス、チャット履歴が含まれます。」
日経の声明はさらに、「本件の重要性と透明性確保の観点から、[日本の] 個人情報保護委員会に自主的に報告しました。取材源や報道活動に関する情報の漏えいは確認されていません。」と付け加えています。
サイバーセキュリティコンサルタントであり、元連邦検察官で現在は元政府・軍関係者のディレクトリFormerGovのエグゼクティブディレクターを務めるブライアン・レヴィン氏は、今回の件がSlackの情報漏えいが続いている傾向の一部であることを強調しました。
「従業員や契約者が企業管理外デバイスから会社のリソースへアクセスする場合、リスクが高まることがよくあります。最近のOktaやMGMリゾーツなどへの攻撃も、このような管理外アクセスに関連しています」とレヴィン氏は述べ、さらに昨年「契約者が管理外デバイスからSlackにアクセスしたことで、攻撃者がDisneyのSlack環境から1テラバイト以上の内部データを持ち出した」と付け加えました。
Info-Tech Research Groupのテクニカルカウンセラーであるエリック・アヴァキアン氏は、日経の情報漏えいのような攻撃で最も懸念される点の一つは、攻撃者がMFA(多要素認証)防御を簡単に回避できてしまうことだと指摘しました。
「従業員のパソコンが認証情報を盗むためのマルウェアに感染します。マルウェアはSlackのセッショントークンやクッキーを取得し、それを攻撃者のコマンド&コントロールサーバーに送信します」とアヴァキアン氏は述べました。「盗まれた、しかも有効なトークンを使って、攻撃者は自分のデバイスからSlackにログインし、プライベートチャンネルやチャット履歴にアクセスできます。すでに認証済みのセッションを再利用しているため、多要素認証のプロンプトすら発生しません。」
アヴァキアン氏は、こうした攻撃の性質から、企業のCISOは手順の見直しを検討すべきだと述べました。
この種の攻撃は、脅威アクターに「チャンネルや連携機能への広範なアクセスを与え、被害を拡大させます。このインシデントの弱点は、管理されていない、または保護が不十分なデバイス、長期間有効なトークン、不審なセッションに対する十分なログやアラートがないことを浮き彫りにしています」とアヴァキアン氏は述べました。「組織はこのようなインシデントから学ぶことができ、SlackやSlackに似た広く使われているコミュニケーションプラットフォームを利用している場合は、影響を受けたユーザーのアクティブセッションの取り消しやトークンの定期的な更新、パスワードリセットやAPIトークンのローテーションなどのポリシーを維持すべきです。」
Online Business Systemsのシニア情報セキュリティコンサルタントであるジェフ・マン氏は、「より大きな議論は、従業員を標的とした何らかの攻撃から守るために日経のIT/ISプログラムが失敗した点にあるべきです。なぜ従業員が私用デバイスでSlackを使用できるのでしょうか?」と指摘しました。
「つまり、これはリスク管理の問題です」とマン氏は述べました。「日経の場合、悪用はシステムの別の場所で発生したようです。最初のアクセスで不正者が認証情報を使ってSlackにアクセスできるようになりました。これはSlack自体の侵害ではなく、従業員アカウントの認証情報の侵害です。」
The Cyber Dr.のセキュリティコンサルタント兼CEOであるスティーブン・ボイス氏は、日経のインシデントは「誰かが私用デバイスで業務システムにアクセスしたときに何が起こるかを示しています。そのデバイスがマルウェアに感染したら、認証情報は終わりです。私が心配しているのは、これはどこでも起こり得るということです。人々はSlackにどれだけ多くの機密情報が集まるかを忘れがちです。メッセージ、ファイル、リンク、時には認証情報まで。誰かがそれを手に入れたら、かなり自由に動き回ることができます。」
「私にとっては、ゼロトラストはネットワークだけでなく、エッジまで徹底しなければならないということを改めて思い出させる出来事です。デバイスを把握し、管理されたハードウェアに紐づけたMFAを使い、SaaSツールにどんなデータが保存されているかを管理しなければなりません」とボイス氏は述べました。「『ではBYOD(私物端末の業務利用)を全面的にやめるべきか?』という疑問もあるでしょうが、短い答えは『ノー』です。しかし、会社支給の資産以外にも従業員を守る方法を検討する必要があります。」
