リアルタイムのコンテンツ共同編集プラットフォームを利用する数十の組織が、多要素認証でクラウドアカウントを保護していなかったためにデータを盗まれた可能性がある。
「Zestix」を名乗る、組織向けの盗難アクセス認証情報の大手ブローカーが、情報窃取型マルウェアを用いてこれらのツールの企業認証情報を収集し、他者に販売していたとみられる。このブローカーはまた、クラウドベースのコラボレーションソフトウェアを露出させたままにしていた企業からテラバイト級のデータを盗み出したともみられると、脅威インテリジェンス企業Hudson Rockが述べている。
Zestixが宣伝している盗難データには、軍警察の健康データ記録2TB、航空機マニュアル77GB、大量輸送機関の設計図、訴訟およびその他の法務情報、さまざまな種類の患者健康データやその他の医療記録、公共事業で使用される機微な地図などが含まれる。被害者とみられる組織には、マサチューセッツ湾交通局およびLAメトロ向けに列車を製造する、世界最大の鉄道車両メーカーのマサチューセッツ州子会社のほか、インドネシアの主要衛星運用事業者も含まれる。さらに、複数の米国医療施設の医療・財務詳細を管理するために使用されるプラットフォームや、コロンビアの大手テクノロジーインテグレーターもリストに載っている。
Hudson Rockによると、Zestixが収集したこれらのデータは、クラウドベースのコラボレーションソフトウェア3種類のいずれかを利用する組織から盗まれたものとみられる。すなわち、マサチューセッツ州に拠点を置くProgress Softwareが所有するShareFile、Kiteworksが開発するownCloud、そしてNextcloudである。ownCloudとNextcloudはいずれもオープンソースで、個人利用向けにセルフホストも可能だが、企業は通常エンタープライズ版に料金を支払ってソフトウェアにアクセスする。この場合、それぞれカリフォルニア州のKiteworksとドイツのNextcloud Enterpriseから提供される。
これらのツールは通常、安全なクラウドベースの文書ワークフローおよびファイル共有プラットフォームとして売り込まれている。データ窃取の被害者を結び付ける共通要因として、クラウドアクセスを保護するための多要素認証が欠如していることが挙げられるようだ(参照:多要素認証は任意であってはならない)。
Progress Softwareの広報担当者は声明で、同社は今回のハッキングとは距離を置く姿勢を示した。「これらの認証情報は、クライアント端末上のマルウェアによって盗まれたものです」と担当者は述べた。「Progressは、認証情報ベースの攻撃リスクを軽減するための広く認知された対策として、多要素認証の利用の重要性を引き続き強調しています。」
「一般的に、これらの侵害は二要素認証の重要性を改めて示していると考えています。私たちは、すべてのエンタープライズ顧客およびコミュニティユーザーに対し、有効化することを推奨しています」とNextcloudの広報担当者Jos PoortvlietはInformation Security Media Groupに語った。
「同様に、管理者がサーバーのメンテナンス更新を継続し、当社のセキュリティスキャナーを使用することが重要です。重要データについては、最高水準のセキュリティとコンプライアンスを確保するため、企業は常にNextcloud Enterpriseを導入すべきです」と同氏は述べた。
Kiteworksはコメント要請に応じなかった。
Hudson Rockによれば、ZestixはRedLine、Lumma、VidarといったTraceのインフォスティーラーを使用して企業または個人の端末に感染させ、組織のコラボレーションソフトウェアのインスタンスへアクセスするための有効な認証情報を入手したとみられる。ブローカーはこれらの「アクセス」を販売するだけでなく、正規ユーザーとしてソフトウェアにログインし、大量のデータを盗み出した可能性もある。
インフォスティーラーは、攻撃者がログと呼ぶエンドポイントから認証情報を奪取するよう設計されたマルウェアである。標的となるデータには、SharePointや企業メールのログイン情報から、暗号資産ウォレットのパスワード、ブラウザのセッションクッキーまで、あらゆるものが含まれ得る(参照:サイバーセキュリティ動向:2026年、防御側に待ち受けるものは?)。
「Zestixはフォーラム上で活動しており、特にforum.exploit.inではサイバーセキュリティ技術やデータ漏えいに関する議論に参加している。また『Breach Forumsでも非常に活発』だ」と、Check Point Software Technologiesは12月29日付の報告書で述べた。
Hudson Rockによると、Zestixという人物像は2024年末または2025年初頭に出現したとみられ、「迅速に信頼性の評判を確立」し、ロシア語圏の私的サイバー犯罪フォーラムを含むコミュニティで自由に活動し、ビットコインと引き換えに定期的に「アクセス」を販売していたという。同社は、同一人物がSentapというハンドルネームも使用していた可能性があるとも述べた。
脅威インテリジェンスサイトDarkSignalは月曜日、Sentapはイラン国籍で、遅くとも2021年から、あるいはそれ以前から活動しており、主に「初期アクセスブローカーおよびデータ恐喝アクター」として活動していたようだと報告した。
複数の脅威研究者は、SentapをランサムウェアグループFunkSecに結び付けている。FunkSecは2024年12月に立ち上がり、作戦の5分の1で人工知能ツールを使用していると主張したことで、(成功はともかく)急速に悪名を高めたと、Osint10xの研究者が報告している。
広く利用されているクラウドベースツールの侵害は、データウェアハウジングプラットフォームSnowflakeの約165社の顧客を標的とした2024年の攻撃を想起させる。被害者には、Live Nation EntertainmentのTicketmaster、Santander Bank、自動車部品サプライヤーAdvance Auto Parts、ロサンゼルス統一学区が含まれていた。
共通点はこうだ。いずれもMFAでSnowflakeアカウントを保護していなかったため、攻撃者がアクセス認証情報を盗んだ後、それを用いてアカウントへ直接アクセスしデータを盗み出すことができた。攻撃者はそのデータを身代金目的で保持しつつ、同時に地下フォーラムで販売しようとしていた。
侵害を受けて、SnowflakeはMFAを実装するための手段をさらに提供し始め、新規アカウントではデフォルトで有効となるようにしたという。
Zestix、そして潜在的には他の初期アクセスブローカーが標的とした種類のコラボレーションソフトウェアを管理者がロックダウンするのに役立つツールは複数存在する。こうした機能の一部はプラットフォームに直接組み込まれており、Nextcloudは、自社プラットフォームが不審なログインを監視し、無料のセキュリティスキャナーを備え、推奨セキュリティ設定を使用していない場合に管理者へ警告すると述べている。
それでも、「複数のファイル共有プラットフォームにまたがる今回の侵害は、二要素認証に関する認識が依然としてあるべき水準に達していないことを示しています。私たちは、数十万に及ぶNextcloudサーバー管理者の間で認識を高めるために何ができるかを調査します」とNextcloudのPoortvlietはISMGに語った。
翻訳元: https://www.databreachtoday.com/missing-mfa-strikes-again-hacker-hits-collaboration-tools-a-30452
