ファイル共有プラットフォームのownCloudは本日、侵害された認証情報を用いて攻撃者がデータを盗み出すのを阻止するため、多要素認証(MFA)を有効化するようユーザーに警告しました。
ownCloudは世界中で2億人以上のユーザーを抱えており、欧州原子核研究機構、欧州委員会、ドイツの技術企業ZFグループ、保険会社Swiss Life、欧州投資銀行など、数百の企業および公共部門の組織が利用しています。
本日公開されたセキュリティ勧告で同社は、イスラエルのサイバーセキュリティ企業Hudson Rockによる最近の報告を受け、MFAを有効化するようユーザーに促しました。この報告では、複数の組織が認証情報窃取攻撃により、自己ホスト型のファイル共有プラットフォーム(ownCloud Community Editionの一部インスタンスを含む)を侵害されたことが明らかにされています。
「ownCloudプラットフォーム自体がハッキングされたり侵害されたりしたわけではありません。Hudson Rockの報告は、ゼロデイ攻撃やプラットフォームの脆弱性が関与していないことを明確に確認しています」と、ownCloudは述べています。
「これらの事案は別の攻撃チェーンによって発生しました。脅威アクターは、従業員端末にインストールされたインフォスティーラーマルウェア(RedLine、Lumma、Vidarなど)を通じてユーザー認証情報を入手しました。その後、これらの認証情報が、Multi-Factor Authentication(MFA)が有効化されていないownCloudアカウントへのログインに使用されました。」
ownCloudは、将来の攻撃からデータを保護し、認証情報が侵害された場合でも不正アクセスを防ぐため、利用中のownCloudインスタンスで直ちにMFAを有効化するよう助言しました。
さらにownCloudは、すべてのユーザーパスワードのリセット、再認証を強制するためのすべてのアクティブセッションの無効化、そして不審なログイン活動がないかアクセスログを確認することを推奨しています。
この警告は、Zestixとして知られる脅威アクターが、数十社から盗まれたとみられる企業データの販売を持ちかけていることを受けたものです。これらのデータは、同社のShareFile、Nextcloud、ownCloudの各インスタンスを侵害した後に入手された可能性があります。
Hudson Rockは1月5日の報告で、攻撃者が従業員端末に感染したRedLine、Lumma、Vidarなどのインフォスティーラーマルウェアによって盗まれた認証情報を用い、企業のファイル共有サーバーへの初期アクセスを得た可能性があると述べています。
このサイバー犯罪インテリジェンス企業は、デロイト、KPMG、サムスン、ハネウェル、ウォルマート、米国CDC(疾病予防管理センター)などの著名組織のネットワーク上のものを含め、感染したコンピューターを数千台特定しました。
