NordVPN、侵害主張はダミーのテストデータに関するものだと説明

NordVPNは最近の侵害主張を否定し、盗まれたとされるデータは隔離されたサードパーティのテスト環境にあったダミー情報だと述べた。

同社は、顧客データ、プロダクションシステム、または有効な認証情報は侵害されていないとした。

「これは予備的なテストであり、契約も締結されなかったため、実際の顧客データ、プロダクションのソースコード、または有効な機密性の高い認証情報がこの環境にアップロードされることは一切ありませんでした」と、同社はBleeping Computerへの声明で述べた。

NordVPNのインシデントで実際に起きたこと

このインシデントは、1011というハンドルネームを使う脅威アクターが、ハッキングフォーラム上でNordVPNの開発サーバーから10個以上のデータベースを持ち出したと主張したことから始まった。

アクターは、設定不備のあるシステムをブルートフォースしてデータを入手したとし、SalesforceのAPIキーやJiraトークンなどの機密性の高い開発資産が含まれていると主張した。

顧客データが直ちに関与しているわけではないものの、内部の開発システムに関する主張は依然としてリスクになり得る。

未検証の侵害主張であっても、評判の毀損を招き、規制・コンプライアンス上の疑問を生み、セキュリティチームがインシデント対応や検証作業にリソースを割かざるを得なくなる可能性がある。

NordVPNは、社内調査の結果、当該データは同社のプロダクションまたは開発インフラから発生したものではないと判断したという。

代わりに、露出した情報は、サードパーティの自動テストプラットフォームの試用中に数か月前に作成された一時的な環境からのものだった。

同社によれば、この環境は予備評価のみに使用され、NordVPNの内部システムやプロダクションネットワークに接続されたことはなかった。

試用が契約締結に至らなかったため、NordVPNは実際の顧客データ、プロダクションのソースコード、または有効な認証情報がアップロードされることは一切なかったと述べた。

報告によれば、データベースには機能検証のために設計されたダミーデータとテスト用アーティファクトのみが含まれており、実際の運用情報ではなかった。

NordVPNはまた、テスト環境がどのようにアクセスされたのかを把握し、将来同様の露出を防ぐために、サードパーティベンダーに連絡したと述べた。

同社は、攻撃者がNordVPNのプロダクションシステムを侵害した、または稼働中の認証情報にアクセスしたという証拠はないとしている。

脅威アクターはNordVPNサーバーに対する攻撃成功としてこのインシデントを主張したが、同社は問題の環境は外部にあり、隔離されており、同社の中核インフラとは無関係だと強調している。

テストおよび開発環境に関わるインシデントは、コアのセキュリティ制御の失敗というより、ガバナンス上のギャップを露呈することが多い。

これらのシステムは通常プロダクションから隔離されているが、認証情報、データ、またはアクセスが慎重に管理されていない場合、依然としてリスクを生み得る。

そのリスクを低減するには、非プロダクション環境を第一級のセキュリティ資産として扱い、稼働中のシステムと同等の可視性と制御を適用する必要がある。

これらの制御を組み合わせることで、テスト環境が意図せぬ攻撃対象領域となるリスクを低減できる。

このインシデントは、ベンダーセキュリティ、サードパーティリスク、そしてソフトウェアサプライチェーンに対する監視が強まっている時期に発生した。

脅威アクターは、より堅牢に保護された組織への比較的容易な侵入口として、開発パイプライン、テストプラットフォーム、外部サービスプロバイダーを狙う傾向を強めている。

その結果、限定的または非プロダクションの露出であっても、すぐに注目を集め、懸念を増幅させ、ガバナンスや監督体制に関するより広範な疑問を提起し得る。

サードパーティツールや非プロダクションシステムが侵入経路となるケースが増える中、あらゆるアクセス要求を検証するゼロトラストのアプローチは、サプライチェーンリスクを低減するうえでますます不可欠になっている。