TokyoBlackHatNews

csoonline.com 4分で読了

テルス・デジタルが大規模データ侵害を被る

この攻撃は「強奪型ランサムウェア」ではなく、「戦略的で規律のある、最大限のレバレッジに最適化された」ものと説明されている

世界中の様々な組織にビジネスプロセスアウトソーシング(BPO)サービスを提供するテルス・デジタルが、恐喝グループShinyHuntersによる大規模サイバー攻撃を被った

2020年から活動しているこのグループは、Salesforceおよび他のSaaSベンダーからのデータ窃取を専門としており、最近ではITスタッフになりすまして従業員に認証情報を入力させるボイスフィッシング(vishing)攻撃も実施している。

木曜日にCSOへの声明で、テルス・デジタルは「限定的な数のシステムへの不正アクセスを伴うサイバーセキュリティインシデントを調査しており、発見後は直ちに不正行為に対処し、システムをさらなる侵入から保護するための措置を講じた。状況を積極的に管理しており、継続的に監視している」と述べた。

声明はさらに「テルス・デジタル内のすべてのビジネス運用は完全に稼働しており、顧客の接続またはサービスの中断の証拠はない。対応の一部として、最大級のサイバーフォレンジクス専門家を調査支援に従事させ、法執行機関と協力している」と述べた。

同社は「システムと環境をさらに保護するための追加的なセキュリティ対策を実装した。調査が進むにつれ、影響を受けた顧客に適切に通知している。顧客情報のセキュリティは引き続き最優先事項である」と付け加えた。

公開されたある報告書は述べており、ShinyHuntersが同社とその顧客の両方から1ペタバイト以上のデータを盗んだと主張しており、その多くはテルス・デジタルをカスタマーサポート運用のBPOプロバイダーとして使用している。

同社のスポークスパーソンはその数字を確認するよう求められたが、コメントを拒否した。

攻撃者は「信頼されることにより上手くなっている」

Info-Tech Research Groupの主任サイバーセキュリティアドバイザーであるFritz Jean-Louisは、このインシデントはペリメータの失敗ではないと述べたが、「このような規模の侵害が発生した場合、本能的にはどの脆弱性が悪用されたのか、どのマルウェアが通ったのかを尋ねることが多い」と指摘した。

彼はテルス・デジタルのデータ盗難が「攻撃者が『侵入』する必要がなければ、それに溶け込むことができるという異なる問題をますます指摘している。数ヶ月間の滞留時間、膨大なデータ量、検出の遅延など、この侵害の特徴は、露骨な技術的搾取ではなく、正当なアクセスの乱用を示唆している」と付け加えた。

言い換えると、システムは攻撃者を信頼していたと彼は述べ、公開されている詳細に基づいて、このインシデントは以下を含む成長中のデータ窃盗第一の操業クラスに一致していると指摘した:

  • 有効な認証情報または信頼されたパスウェイを使用した長期的な永続化
  • 内部に侵入した後の内部システム全体への横方向の移動
  • アラートを発動させないための遅く、制御された段階的なデータ処理
  • 通常の暗号化トラフィックに偽装した大規模な流出
  • データが確保されたら、公開開示または恐喝シグナリング

Jean-Louisによると、「これは強奪型ランサムウェアではない。戦略的で規律があり、最大限のレバレッジのために最適化されている。[攻撃]は実は多くの組織が依然として持っている盲点を露呈している:[彼ら]は『悪い行動』の検出は得意だが、異常な信頼された行動の検出は得意ではない」と述べた。

緩和策の優先事項

このインシデントは、彼が指摘したように、組織にとって以下を含む複数の優先事項の重要性を強化している:

  • アイデンティティを新しいペリメータとして扱う。認証情報が侵害された場合、その後のすべてがリスクにさらされる。
  • 特に管理者とサードパーティに対して、すべての場所でMFAを実施する。
  • 組織がデータがいつアクセス、集約、移動されるかを知る必要がある場合、データ中心の監視は交渉の余地がない。
  • ダウンロードだけでなく一括アクセスパターンのアラートを設定し、ロール別に適切なデータ移動閾値を設定する

フラットネットワークは大規模な侵害を可能にし、攻撃者が横方向に移動すれば、スケールが彼らの利点になると彼は述べた。

CSOへの彼のアドバイスは、環境を積極的にセグメント化し、高価値データストアを一般的なアクセスから分離し、行動分析と脅威の追跡に投資し、数分のスパイクではなく数週間の微妙な異常を見つけることであると述べた。

この侵害の戦略的な教訓は、組織はランサムウェアだけでなくデータ盗難に備える必要があるということだと彼は述べた。「多くのインシデント対応計画は依然として暗号化が影響と等しいと想定し、サイレントデータ流出のためのプレイブックを構築している」

Jean-Louisによると、今日の最大のリスクは「攻撃者が侵入することに上手くなっているのではなく、信頼されることに上手くなっているということである。引き続きペリメータ防御とマルウェア防止に主に焦点を当てている組織は、このクラスの攻撃に対して脆弱なままである」と述べた。

翻訳元: https://www.csoonline.com/article/4144560/telus-digital-hit-with-massive-data-breach.html

ソース: csoonline.com
#BPO #MFA #ShinyHunters #インシデント対応 #サイバー攻撃 #データ侵害 #データ盗難 #テルス・デジタル #ボイスフィッシング #認証情報漏洩

関連記事

Anthropicがプロジェクト・グラスウィングへのアクセスを150社に拡大、重要インフラへの注力を明確化

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く