Hudson Rockによる2026年1月の脅威インテリジェンス報告書で、ownCloud Community Editionおよびその他のセルフホスト型ファイル共有ソリューションを運用する組織を標的とした大規模な認証情報窃取キャンペーンが明らかになりました。
調査により、ownCloudプラットフォーム自体は安全なままである一方、脅威アクターが侵害されたユーザー認証情報を悪用し、保護されていないインスタンスへ不正アクセスしたことが確認されました。
攻撃チェーンはプラットフォームの脆弱性を完全に回避し、代わりに従業員端末に展開されたインフォスティーラーマルウェアを利用しました。
RedLine、Lumma、Vidarなどのマルウェアファミリーが感染システムからユーザー認証情報を収集し、攻撃者はその後、多要素認証(MFA)。なしでownCloudアカウントに直接認証してアクセスしました。
報告書は「これらの壊滅的なセキュリティ障害は、プラットフォームアーキテクチャにおけるゼロデイ攻撃の結果ではない」と指摘し、ownCloudのコードベースが侵害されていないことを明確にしました。
脆弱性はソフトウェアそのものではなく組織のセキュリティ運用に存在しており、インフラのリスクを評価するユーザーにとって重要な区別となります。
推奨される対応計画には、全ユーザーアカウントへの二要素認証の導入、パスワードリセットを必須とする強固な認証情報ポリシーの徹底、不審なログインパターンを検出するためのアクセスログ監査、そして新たなセキュリティ体制の下で再認証を求めるためにアクティブセッションを無効化することが含まれます。
本インシデントは、セルフマネージドなファイル共有導入に内在する課題を浮き彫りにしました。そこでは、セキュリティの有効性が適切な設定と一貫したポリシー施行に完全に依存します。
クラウドネイティブまたは完全マネージドなソリューションとは異なり、オンプレミス導入ではセキュリティ責任が管理者に移り、複雑な設定を扱いながら進化する脅威に対して常に警戒を維持しなければなりません。
選択肢を検討する組織にとって、本インシデントは、設定によってではなくデフォルトでセキュリティを提供するエンタープライズ級の代替案に関する議論を再燃させました。
不変のセキュリティ制御を備えた堅牢化アプライアンス、強制MFAポリシー、組み込みファイアウォール、ゼロトラストアーキテクチャ、自動更新メカニズムを提供するソリューションは、従来のセルフホスト型導入とは対照的なアプローチを提示します。
ownCloudユーザーはこれを重大なセキュリティ警告として受け止めるべきです。侵害の証拠がない組織であっても、直ちにMFAを実装し、包括的なアクセスレビューを実施してください。
このキャンペーンは、従業員端末におけるインフォスティーラーマルウェア感染のような外部脅威が、二次認証の制御が欠如している場合に、内部的には安全なプラットフォームであっても侵害し得ることを示しています。
本インシデントは、現代のサイバーセキュリティにおいて、単独で成り立つプラットフォームは存在しないという、より広い教訓を与えています。
エンドポイント保護、認証情報の衛生管理、そして全システムにわたる多要素認証を組み込んだ多層防御戦略は、プラットフォームの選択にかかわらず不可欠です。
翻訳元: https://cyberpress.org/owncloud-warns-users-to-activate-mfa-after-credential-theft-incident/