世界的な美容会社であるエイボン社の顧客データおよび技術ログなど、1900万件のレコードがAzureサーバーに発見されたと報じられていました。
www.infosecurity-magazine.com
公式発表
キタきつねの所感
いわゆるクラウドの設定ミスの可能性を感じますが、SafetyDetectives社(セキュリティ調査会社)がAzureサーバー上にパスワード保護や暗号化がされてない7GBのデータベースを見つけた様です。
このデータベースは、サーバーのIPアドレスを所持している人なら誰でもアクセスできたとレポートされており、氏名、電話番号、電子メール、自宅住所等の顧客および従業員の個人情報の他、4万以上のトークン、内部ログ、アカウント設定、技術情報等も含まれていたとされます。
普通に考えれば、AVON側のミス、すなわち一昨年位に頻発していたクラウド設定ミス(意図しない公開設定)だったと考えるべきなのですが、世界的な大企業がそれ程のミスを犯すのか?という疑問もあります。
もう1点、AVON社は6月9日にサイバー攻撃を受けたと米国証券取引委員会(SEC)に報告しており、この攻撃の影響があったという見方をしている海外の専門家が多い様です。
参考:SEC文書によると、エイボン・イットのネットワークの一部は先週からダウン
www.zdnet.com
同社によると、この事件は「一部のシステムを妨害し、運用に一部影響を及ぼした」という。
先週、エイボンのディストリビューターは会社のバックエンドへのアクセスに問題があると報告しました。
(中略)
ブラジルの多国籍企業Natura&Coが所有するエイボンは、事件の詳細を両方の販売業者と報道関係者に提供することを拒否しました。エイボンの広報担当者は、過去2日間に何度も試みたにもかかわらず、コメントを得るために連絡することができませんでした。
サイバー攻撃の性質に関する詳細はまだ謎ですが、先週木曜日に6月12日にSECに提出された2番目の文書で、エイボンは今週、「影響を受ける市場で影響を受けるシステムの一部」を復元すると約束しました。
(ZDnet記事より引用)※機械翻訳
6月初旬に謎のサイバー攻撃を受けて、何か国もの内部ネットワークのアクセスに影響を与えた様ですが、AVONは公式には何も発表していません。
ポーランドのセキュリティ監査/ペンテスト会社は、6月の事件はランサム被害であるとTwitter上でコメントしています。AVONが沈黙しているので真偽のほどは不明ですが、DoppelPaymerランサムだったのではないかと推測しています。
Naked securityの6月の記事では、このDoppelPaymerの特徴について以下の様に説明しています。
以前にDoppelPaymerという名前を聞いたことがあるかもしれませんが、MazeやRevil を含む他の数多くのランサムウェアギャングと同様に、この背後の詐欺師はデータをスクランブルするだけでなく、最初にそのコピーを盗みます。
それは彼らにお金のためにあなたを襲う二重の理由を与えます:あなたは復号化キー(あなたが最近のバックアップがあれば実際には必要ありません)のために支払うだけでなく、詐欺師が彼らに何について沈黙し続けるためにもです。
脅威は、お金を払わないと、詐欺師が一般の人が見つけられるように選択したデータを公開し、データ侵害があったことを関係当局に警告することです。
(naked security記事より引用)※機械翻訳
今回の1900万件のDB公開は、ランサムオペレータ(ハッカー)側がAVONを二重恐喝(1粒で2度美味しい攻撃)で脅し、結果としてAVON側と交渉が決裂し、見せしめとして機密情報を含むDBが無防備に公開されたと考えるべきかも知れません。
※AVON側の何らかの発表があれば(無い気もしますが)、追記したいと思います。
余談ですが、ランサム被害について言えば、以前はバックアップをきちんと取っていて、身代金(ランサム)を払わない様にする企業が多かった気がしますが、最近は特に大きなインシデントで身代金を払ったと思われるケースが増えている様です。
これは、ランサムオペレータ(ハッカー)は、戦略を変えつつある事を示唆しており、まずデータを窃取してしまっているので、その後のランサム暗号化が成功しようが失敗しようが、企業としては機密情報の公開リスクを恐れて身代金を払う選択を強いられていると考えられます。
6月のAVON関連記事では、3月頃には既にハッカーが内部システムに入り込んでいた(偵察されていた)と分析していた所もありましたので、最初の侵入(偵察フェイズ)をいかに検知するか、ランサムオペレータ同様に、防衛側企業も戦略を変えるべきなのかも知れません。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴