Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Accellion次の犠牲者はSingtel

不正アクセス事件 海外事件 つぶやいてみた。

シンガポールの大手通信キャリアSingtelが利用していたサードパーティ(Accellion)のファイル転送システム(FTAサイバー攻撃を受け、1月に侵害を発表したニュージーランド準備銀行と同様に、顧客情報が漏えいしていた可能性があると発表しました。

www.zdnet.com

Singtelは、2月9日に「ファイルが取得された」ことを確認した後、顧客データを危険にさらした可能性のあるサイバーセキュリティ違反の影響を調査していると述べています。この攻撃は、20年前シンガポールの電話会社が社内および社外の利害関係者と使用していたサードパーティベンダーのAccellionによって開発されたファイル共有システムに影響を及ぼしました。

Singtelは木曜日の声明で、FTA(File Transfer Appliance)と呼ばれるファイル共有システムが身元不明のハッカーによって侵害されたことがAccellionから通知されたことを明らかにしました。telcoによると、このツールはスタンドアロンシステムとして展開され、組織内および外部の利害関係者と情報を共有するために使用されていました

(ZDnet記事より引用)※機械翻訳

 

公式発表(Singtel/Accellion)

ABOUT ACCELLION FTA SECURITY INCIDENT, Singtel(2/11)

ACCELLION PROVIDES UPDATE TO RECENT FTA SECURITY INCIDENT, Accellion(2/1)

 

キタきつねの所感

AccellionのFTAはオンプレ又はホスト型のプライベートクラウドを使用して、大規模で機密性の高いファイル転送を実現する製品で、20年以上前から提供されており、世界中に多くのユーザがいる事で知られています。

※今回の侵害を受けた製品のユーザという訳ではありませんが、Accellionの顧客ページを見るとデロイト、KPMG、Wirecard、NHS、NASA、NIST、IntelRSA、Pfizer、Hilton等の著名な企業が多く含まれています。

f:id:foxcafelate:20210212101047p:plain

 

今回影響を老けたとされるFTAは、古い(レガシー)製品であった事もあり、Accellionは2020年11月30日にFTAのEOL(サポート切れ)を発表し、2021年4月30日にEOLとなる予定です。

Accellionは3年前から最新で安全性が高いプラットフォームkiteworksを導入しており、既存ユーザに対してはこちらへの移行を薦めていた様です。FTAに対するインシデントはAccellionによって2020年12月23日にSingtelを含めて通知されていますが、「高度なサイバー攻撃」によって影響を受けた企業は50社未満Accellionは1月の発表で言っており、その1つが、同様のインシデントを1月に発表したニュージーランド準備銀行であり、Singtelだった様です。

 

Singtelの脆弱性(パッチ)対応について、The Straits Timesの記事に詳しく書いてあったので、この内容をご紹介します。

Singtelは、12月24日にAccellionからのFTAパッチを適用し、12月27日に別のパッチを適用したと述べました。1月23日、Accellionは、12月27日のパッチは新しい脆弱性に対して効果がないと述べ、Singtelは製品をオフラインにしました。

Accellionは1月30日に別のパッチをリリースしましたが、Singtelはそれを適用したときに「異常アラート」を受け取ったと述べました。ベンダーは、Singtelのシステムが侵害された可能性があると述べ、電話会社はこれが1月20日に発生したことを確認しました。「調査の複雑さを考えると、ファイルが取得されたことが2月9日に確認されただけです」とSingtelは付け加えました。

(The Straits Times記事より引用)※機械翻訳

 

上記記事内容から考えると、12月下旬のパッチが「役立たなかった」事により、Singtelへの侵害(追加攻撃)が拡大した事が想像されます。

(以下多分に想像が入ります)

1月20日の時点で顧客データ漏えいの可能性がある状態まで至っていると考えると、当然の事ながら、ハッカーラテラルムーブメント(横移動)はそれ以前に終わっていた事になります。

Singtel側はインフラ企業という事もあるのかと思いますが、パッチ対応について大きな問題があった様には思えません

本来であれば、12月中に当てたパッチの効果が出ていたはずの所が、実際には役立たなかったという事だった様です。

侵害に関する詳細が発表されていない状況で書くのは勇み足な気がしますが、ハッカーAccellionが0ディ脆弱性に気づいた事を検知して、攻撃(データ奪取)を急いだ気がします。

1月11日には(12月に告知した)顧客だけでなく対外的にFTAに関するインシデントを発表していますので、当然の事ながらハッカー側もこの情報は把握していたはずです。この時点ではSingtelのFTAは停止していますので、C&Cサーバとの通信開通又は何らかの手段でのデータ持ち出しを急ぎ、それに成功したのが1月20日だったのかと”行間”を推測します。

 

12月に”役に立たなかったパッチ”が出てから約1か月ハッカーには時間があったと考えると、次のインシデント発表が近い内に出てきてしまうかも知れません。

The Straits Timesの記事では、ニュージランド準備銀行、オーストラリア証券投資委員会、米国ワシントン州監査局などが”影響を受けた(インシデント発表をした)”と書かれています。

 

余談です。 Accellionの修正パッチ対応については致命的な問題があった様ですが、元々は20年前の製品を引っ張り続けて、移行しないユーザ側にも問題があった気がします。

 

また、単なる想像ですが、11月のEOL発表を受けて、ハッカー(攻撃者)は、狙っていた企業が新製品(プラットフォーム)に移行する前に虎の子の0ディを使って攻撃をするその方が「収穫」が大きい、そうした判断があったのが今回の(約50社を狙った)APT攻撃だったのかなと思います。

ハッカーは0ディ脆弱性(攻撃ツール)を持っていた場合、EOLが発表されてすぐの時点で使うか、EOLを(しばらく)待ってからサポート切れ製品を使うユーザを襲うかの判断に迫られると思いますが、「どちらが得か」という判断の下で決定している気がします。

 

※参考:Accellion経由で侵害を受けたニュージーランド準備銀行の記事

foxsecurity.hatenablog.com

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

5Gのイラスト

更新履歴

  • 2021年2月12日 AM