米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、同庁のChemical Security Assessment Tool(CSAT)が悪意ある攻撃者により侵害されたことを明らかにし、機微なデータが流出した可能性があるとして化学施設に警告した。
攻撃者はIvanti Connect Secureアプライアンスのゼロデイ脆弱性を悪用し、2024年1月23日から26日にかけてCSATへ侵入した。この事案は、Ivantiが同社のIvanti Connect SecureおよびIvanti Policy Secure製品における脆弱性の活発な悪用が報告された直後に発生しており、中国の国家主体によるものも含まれていた。
2024年6月20日付の通知書において、CISAはChemical Facility Anti-Terrorism Standards(CFATS)プログラムの参加者に対し、侵入と影響を受けた可能性のある情報について通知した。
CFATSは、特定の危険化学物質が兵器化されるリスクを低減するための安全対策が講じられていることを確保する目的で、高リスクの化学施設を特定し規制するプログラムである。関心化学物質(COI)を、スクリーニング閾値数量(STQ)および/または濃度以上で製造、使用、保管、または流通させる施設は、CSATを通じてそれらの保有状況をCISAに報告することが求められる。
現時点では当該データの流出を示す証拠はないものの、CISAは、審査のために個人を特定できる情報(PII)をプログラムに提出した人、またはChemical-terrorism Vulnerability Information(CVI)認定ユーザーアカウントを保有していた人に対し、その情報が不適切にアクセスされた可能性があると通知した。
これには、高リスクの化学施設における立入制限区域および重要資産へのアクセス権を有していた、または取得しようとしていた施設職員や同伴なし訪問者のPIIが含まれる。これらの個人のPIIは、審査目的でCSATを通じて提出することが求められている。
- 氏名/別名
- 出生地
- 市民権
- レドレス番号
- グローバル・エントリーID
攻撃者により流出した可能性のあるアカウント情報は、企業名、役職、住所、電話番号である。
攻撃者がCSATに侵入した方法
CISAは1月26日、CSATのIvanti Connect Secureアプライアンスに影響する悪意ある可能性のある活動を特定し、直ちにシステムをオフラインにして隔離した。その後、CISAの最高情報責任者室(Office of the Chief Information Officer)の技術専門家、サイバーセキュリティ部門のスレットハンティングチーム、国土安全保障省(DHS)のネットワーク運用センター(NOC)が関与するフォレンジック調査が開始された。
こちらを読む:CISAの緊急指令、Ivantiのゼロデイへの対応を要求
調査の結果、悪意ある攻撃者がIvantiデバイスに高度なウェブシェルをインストールしていたことが判明した。このウェブシェルは、悪意あるコマンドの実行や、基盤となるシステムへのファイル書き込みが可能だった。
同庁は、脅威アクターが2日間にわたり複数回ウェブシェルにアクセスしていたことを確認した。
CSATからのデータ流出や、Ivantiデバイスを超えた範囲での攻撃者のアクセスは確認されなかった。CISAは、CSATに保持されているすべてのデータは暗号化されており、各アプリケーションの情報には追加のセキュリティ制御が施されているため、横展開アクセスの可能性は低いと付け加えた。
さらに、暗号鍵は、脅威アクターがシステムに対して有していた種類のアクセスからは隠されていた。
認証情報が盗まれた証拠は見つかっていないものの、CISAは、CSATアカウントを保有していたすべての個人に対し、ブルートフォース攻撃から保護するためパスワードをリセットすることを推奨している。
翻訳元: https://www.infosecurity-magazine.com/news/chemical-exfiltration-cisa-breach/
