FulcrumSec という脅威アクターが、RELX グループの一部である LexisNexis Legal & Professional への侵害の責任を主張しています。
2026年3月3日、FulcrumSec は企業の Amazon Web Services (AWS) クラウドインフラストラクチャから 2.04 GB の構造化データが盗まれたことを主張する詳細を投稿しました。
このアクターは機密本番環境システムにアクセスし、アクセス制御、認証情報管理、およびパッチ適用の欠陥を露呈させました。
この侵害は、過度に権限を持つロールと脆弱なパスワードが横方向の移動を可能にするクラウド環境のリスクを強調しています。
法務データの主要プロバイダーである LexisNexis は、この事件を公式に確認していません。これは 364,000 人のユーザーの個人データに影響を与えた 2024 年 12 月の個別の GitHub 侵害に続くものです。
FulcrumSec は 2026 年 2 月 24 日、React フロントエンドアプリケーションの未パッチの React2Shell 脆弱性を悪用して、初期アクセスを獲得しました。
Cybersecuritynews は、既知の悪用法があったにもかかわらず、この欠陥が数ヶ月間存在していたと報告しています。
そこから、このアクターは AWS Elastic Container Service (ECS) タスクコンテナ「LawfirmsStoreECSTaskRole」に侵害しました。
このロールは AWS アカウント全体にわたって広範な読み取り権限を持っていました。攻撃者はその後、本番 Redshift データウェアハウス、17 個の Virtual Private Cloud (VPC) データベース、AWS Secrets Manager、および Qualtrics 調査プラットフォームにアクセスしました。
FulcrumSec は LexisNexis のセキュリティを嘲笑し、Relational Database Service (RDS) マスターパスワードが弱い「Lexis1234」であることを指摘しました。
単一のタスクロールは、本番データベースの認証情報を含む、すべての AWS Secrets Manager エントリへの読み取りアクセスも付与していました。
FulcrumSec は膨大な機密データを盗んだと主張しており、536 個の Redshift テーブルと 430 以上の VPC データベーステーブルから 390 万のデータベースレコードが含まれています。
その他のアセットには、約 400,000 個のクラウドユーザープロフィール(名前、メール、電話番号、職務)、21,042 個のエンタープライズ顧客アカウント、53 個のプレーンテキスト AWS Secrets Manager シークレット、45 個の従業員パスワードハッシュ、および VPC インフラストラクチャマップが含まれます。
特に、118 個のプロフィールが連邦判事、米国司法省弁護士、裁判所書記官、および SEC スタッフからの .gov メールにリンクしています。これは LexisNexis に依存する法律および政府部門へのリスクを露呈させています。
軽減対策:組織は最小権限 IAM ロールを実装し、Secrets Manager ローテーションポリシーを通じて認証情報をローテーションし、パッチをすぐに適用(例:React2Shell)し、AWS CloudTrail で ECS タスクを監視する必要があります。
Pwned Passwords API などのツールを使用して、脆弱なパスワードをスキャンしてください。LexisNexis ユーザー:アクセスログを確認し、MFA を有効にしてください。
この主張は、クラウドサプライチェーンセキュリティに対する警戒を喚起しています。身代金要求はまだ;サンプルは BreachForums に表示される可能性があります。
翻訳元: https://cyberpress.org/lexisnexis-data-breach/