MFAに「もちろん」と言わないと、その代償は壊滅的になり得る。約50の世界的企業に属する機微なデータが、大規模なインフォスティーラー(情報窃取)キャンペーンを受けてダークウェブ上で販売リストに掲載され、場合によってはすでに売却されている。見られる被害企業には、米国の公益事業向けエンジニアリング企業Pickett and Associates、日本の住宅建設大手・積水ハウス、そしてスペイン最大の航空会社イベリア航空が含まれる。
ZestixまたはSentapという通り名を名乗る窃盗犯は、情報窃取型マルウェアで入手した侵害済みクラウド認証情報を用い、企業のファイル共有ポータルからデータを盗み出している。そして、被害に遭ったとされる組織はいずれも多要素認証(MFA)を強制していなかったと、インフォスティーラーに特化するイスラエルのサイバーセキュリティ企業Hudson Rockは述べている。
盗まれた認証情報とMFA不在の組み合わせは、常に災厄のレシピだ。Change Healthcare、British Library、Snowflake顧客のデータベース侵害といった、過去の大規模侵害でも私たちはそれを見てきた。
「以下に挙げる組織がMFAを強制していなかったため、攻撃者は正面玄関からそのまま入り込める」と、このサイバーセキュリティ企業は月曜のレポートで述べた。「エクスプロイトなし、クッキーなし――ただパスワードだけだ。」
従業員が誤ってインフォスティーラー入りのファイルを端末にダウンロードしてしまった後、Zestixがアクセス権を得るとされている。窃取型マルウェア(例:RedLine、Lumma、Vidar)は、その後、保存済みの認証情報やブラウザ履歴をかき集める。
少なくとも2021年以降、初期アクセスブローカー兼恐喝者として活動してきたこのサイバー犯罪者は、Progress SoftwareのShareFile、Nextcloud、OwnCloudといった、企業向けファイル同期・共有(EFSS)プラットフォームを狙い撃ちしている。
The Registerは、本記事に記載した被害企業とみられる各社に加え、ファイル共有ソフトウェア提供各社にも連絡を取った。締め切り時点で回答があったのは、そのうちProgressのみだった。
Progressの広報担当者は、「Hudson Rockの調査では、今回の企業ファイル共有ポータル(ShareFileインスタンスを含む)に対する最近の侵害は、プラットフォームの脆弱性が原因ではなく、インフォスティーラーに感染した端末から以前に盗まれた認証情報の使用と整合するものだった」と述べ、さらに侵害は「多要素認証が強制されていない環境で有効な認証情報が使用されたようで、これが不正アクセスを可能にした可能性がある」と付け加えた。
同担当者はさらに、「Progressは、認証情報ベースの攻撃リスクを軽減するための広く認知された対策として、多要素認証の実装の重要性を引き続き強調している」と述べた。
追加の回答が得られ次第、本記事を更新する。
被害に遭ったとされる組織
月曜のレポートに挙げられた組織の多くは非常に機微なデータを保有しており、公益事業、航空、ロボティクス、住宅、政府インフラといった重要分野にまたがるため、この大規模データ流出はとりわけ懸念される。
The Registerは先週、米国の主要公益事業者を顧客に持つフロリダ州拠点のエンジニアリング企業Pickett and Associatesが、見られる被害者の一社だったと報じた。データ窃盗犯が、Tampa Electric Company、Duke Energy Florida、American Electric Powerに関する139GBのエンジニアリングデータを販売に出したためだ。Zestixはこのデータ群を6.5ビットコイン(約58万5,000ドル)で売っていた。
当時、Pickettはコメントを控えた一方、Duke Energyの広報担当者はThe Registerに対し、同社は犯罪者の主張を調査中だと述べた。
Hudson Rockによれば、Zestixは盗まれたShareFileの認証情報を悪用してエンジニアリングデータを入手したという。
航空宇宙向け試験装置と防衛ロボットを製造するトルコのIntecro Roboticsも、MFAなしのShareFile経由で被害に遭ったと報告されている。この11.5GBのデータセットには、重要な軍事知的財産が含まれているとされる。
ブラジルのMaida Healthも、約50社の被害に遭ったとされる企業の一つで、Nextcloudインスタンス経由でアクセスされた2.3TBのデータセットには、ブラジル軍警察およびその家族の健康記録と機微な個人情報が含まれていると報告されている。
メルセデス・ベンツUSAのレモン法案件および保証訴訟で同社を代理する法律事務所Burris & Macomberも、見られる被害者だった。犯罪者は、48州分の進行中のレモン法案件、防御戦略、和解方針に加え、VIN、ナンバープレート、自宅住所、電話番号を含む数千人分の顧客記録を盗んだと主張している。
イベリア航空の侵害には、技術的な安全データおよび機密の機材(フリート)情報77GBが含まれていると報告されている。
世界最大の鉄道車両メーカーのマサチューセッツ州子会社CRRC MAに属する侵害されたエンジニアリングサーバーには、完全な信号図面、SCADA RTUリスト、ドア、HVAC、推進システムに関する「意図的に非開示」とされた試験報告書に加え、制御室やバッテリー室のGPS座標といった機微なセキュリティ情報が含まれていたと報告されている。
そして、報告された被害者の一覧は、まだまだ続く……延々と。
認証情報の衛生管理
このレポートは、インフォスティーラーという増大する問題を示している。これは、ランサムウェア集団が好んで用いる手法であり、他の金銭目的の犯罪者にも利用されている。
また、ここ数年セキュリティ専門家が警告してきたように、犯罪者がクラウドアカウントに単にログインする――侵入するのではなく――という増加傾向も浮き彫りにしている。
さらにHudson Rockによれば、「最近感染した端末から収集された認証情報もある一方で、何年もログに残ったまま、Zestixのようなアクターが悪用するのを待っていたものもあった」という。これは、パスワードのローテーションやセッションの無効化を怠る組織による、企業の認証情報衛生管理における「広範な失敗」を示しているとチームは付け加える。
「組織がMFAを強制し、従業員の侵害済み認証情報を監視する時が来た」と同社は指摘する。まったく同感だ。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/06/50_global_orgs_hacked/
