TokyoBlackHatNews

darkreading.com 4分で読了

MFAの欠如が大規模クラウド認証情報窃取に共通する要因

左側でフードをかぶった人物がモバイル端末を持ち、右側に大きな文字で「Info-stealer」と書かれ、その周囲に小さな同語が散りばめられている

出典:Shutterstock(Bits and Splits)

研究者によれば、ある脅威アクターが、著名な世界的組織に対する数十件の攻撃でインフォスティーラーを巧みに用い、認証情報を盗み出したうえで、広く利用されているコラボレーション・プラットフォームを介して企業ネットワークへ侵入することに成功した。主な理由は、影響を受けた企業が多要素認証(MFA)を有効化していなかったためだという。

サイバーセキュリティ企業Hudson Rockは、「Zestix」または「Sentap」を名乗る単一の脅威アクターが、約50社の企業から盗まれたデータを競売にかけていたことを発見した。これは、同社のInfostealersサイトが火曜日に公開した報告書による。

Hudson Rockの研究者は、疑われる侵害を調査し、脅威アクターがRedLine、Lumma、またはVidarといったインフォスティーラーを、パスワード衛生が弱い組織に配布して認証情報を収集していたことを突き止めた。その後Zestixは、ソフトウェアの脆弱性を悪用するのではなく、有効な認証情報を用いてShareFile、OwnCloud、Nextcloudなどの企業向けファイル共有・コラボレーション基盤へアクセスした。

「一部の認証情報は最近感染した端末から収集されたものだったが、他のものは何年もログに残ったまま、Zestixのようなアクターに悪用されるのを待っていた」とHudson Rockは報告書で述べている。

報告書によれば、これらの侵害は「認証情報衛生の広範な失敗」を浮き彫りにしている。パスワードはローテーションされず、セッションも無効化されないままで、何年も前の感染が現在の大惨事へと転じたという。

組織が侵害される仕組み

影響を受けた組織は、航空、建設、法務サービス、ロボティクス、重要インフラなど多岐にわたり、スペインの航空会社イベリア、システムインテグレーターのCiberC、日本の住宅メーカー積水ハウス、ソフトウェア開発企業K3G Solutionsなどが含まれる。

感染は、従業員がインフォスティーラーを偽装した悪意あるファイルを誤ってダウンロードすることで始まる。これが実行され、保存済みの認証情報とブラウザ履歴がすべて収集される。これらのログはその後、ダークウェブ上の巨大なデータベースに集約され、Zestixのような脅威アクターがアクセスできるようになる。

脅威アクターはログを解析し、ShareFileやNextcloudなどのコラボレーション基盤で使われる企業向けクラウドURLを特に探し出す。Zestixが企業のプラットフォームの認証情報を入手すると、ログから抽出した有効なユーザー名とパスワードを使って、MFAが有効化されていないシステムにサインインし、これらのプラットフォームで保管・やり取りされる機微データへアクセスする。

報告書によれば、「以下に挙げる組織がMFAを強制していなかったため、攻撃者は正面玄関からそのまま入ってくる」。「エクスプロイトもクッキーも不要――必要なのはパスワードだけだ」。

より広い影響範囲と緩和策

さらにHudson Rockによれば、他にも無数の世界的組織がこの脅威アクターによって危険にさらされている。同社は脅威インテリジェンス基盤Cavalierを用い、ShareFile、OwnCloud、Nextcloudを利用する数千の組織で、侵害された認証情報がインフォスティーラーのログ内に流通していることを特定したという。

認証情報が露出している企業には、大手コンサルティング企業やテクノロジー企業、小売大手、政府機関などが含まれる。報告書によれば、「これらの組織には感染した従業員やパートナーが存在し、機微なファイルリポジトリへの有効なセッションや認証情報がZestixのようなアクターに露出したままになっている」という。

このシナリオで侵害を避ける最も明白な方法はMFAを有効化することだ。Hudson Rockによれば、MFAの導入とパスワードのローテーション方針があれば、この一連の侵害は丸ごと防げたはずだという。実際、これらの侵害は、MFAやその他のパスワード衛生が厳格に強制されていない場合、攻撃者はゼロデイ・エクスプロイトや高度な攻撃を必要とせずに企業システムを侵害できることを示している。

報告書によれば、「Zestixの“ポートフォリオ”の悲劇は、攻撃の高度さではなく、その凡庸さにある」。「これらの企業がハッキングされたのは、量子コンピュータが暗号を破ったからではない。従業員が端末をインフォスティーラーに感染させ、組織が2要素認証を有効にしなかったからだ」。

実際Hudson Rockは、これは憂慮すべき事態であるだけでなく、重要なクラウドゲートウェイにいまだMFAを実装していない数十億ドル規模の組織に対する巨大な警鐘でもあり、直ちに実施すべきだと述べた。2026年において、これほど明白かつ重大なセキュリティ上の失敗を犯す言い訳はないという。もっともMFAは万全ではないが、それでもZestixキャンペーンのような単純だが効果的な攻撃に対する抑止力にはなり得る。

翻訳元: https://www.darkreading.com/cloud-security/lack-mfa-common-thread-vast-cloud-credential-heist

ソース: darkreading.com
#Hudson Rock #Nextcloud #ownCloud #ShareFile #アカウント乗っ取り #インフォスティーラー #クラウドセキュリティ #パスワード衛生(パスワード管理) #多要素認証(MFA) #認証情報窃取

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開