- ハッカー「Zestix」(別名Sentap)が、デロイト、KPMG、サムスン、Pickett & Associatesを含む世界50社から盗まれたデータをオークションに出品している
- 被害組織はMFAを導入しておらず、RedLine、Lumma、Vidarといったインフォスティーラーにより端末が侵害され、認証情報の窃取が可能になっていた
- ずさんなパスワード管理と何年も前の認証情報により大規模なデータ流出が発生。Pickettだけで約139GBの機密ファイルが失われた
ダークウェブ上で、世界50社から収集された極めて機微なデータの幅広い一式がオークションに出品されている。被害者の中には、Pickett & Associates、デロイト、KPMG、サムスンといった大手も含まれている。
このニュースは、イスラエルのサイバーセキュリティ・スタートアップHudson Rockが、Zestix(別名Sentap)というハッカーが実施したハッキング・キャンペーンに関する詳細なレポートを最近公表したことによるものだ。
レポートによると、被害者には共通点が1つあった。多要素認証(MFA)を強制しておらず、ShareFile、OwnCloud、Nextcloudといった企業向けクラウド環境へのアクセスを、パスワードだけで許していたのだ。
古いパスワードが盗まれる
被害者に共通していたもう1つの点は、少なくとも1台の端末が、RedLine、Lumma、またはVidarのいずれかのインフォスティーリング・マルウェアに感染していたことだ。
端末がどのようにして侵害されたのかは不明だが、重要なのは、Zestixがその認証情報を使ってクラウド環境にアクセスし、データを持ち出せたという点である。場合によってはパスワードが何年も前のもので、被害組織のパスワード運用が不十分で、認証情報のローテーションをほとんど行っていなかったことも示している。
Hudson Rockは「従業員が企業ポータルにログインする際、自分のパスワードだけで十分だと思い込んでいる。しかしZestixは、インフォスティーラー・マルウェアが広く拡散している状況を利用し、個人用または業務用の端末に感染させる」と説明した。
「この調査での重大な発見は、脅威の潜伏期間だ。最近感染した端末から収集された認証情報もある一方で、別のものは何年もログの中に眠ったまま、Zestixのような攻撃者に悪用されるのを待っていた。これは認証情報の衛生管理が広範に失敗していることを浮き彫りにしている。パスワードは更新されず、セッションも無効化されないまま放置され、何年も前の感染が現在の大惨事へと変わってしまったのだ。」
レポートは具体的な数字には触れていないが、これほど多くの大企業が被害を受けていることから、大規模な侵害であると考えてよいだろう。今週初めに侵害のニュースが出たばかりのPickett & Associatesだけでも、約139GBの機密ファイルを失ったとみられる。
