Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ボンバルディアのデータ漏えい

不正アクセス事件 海外事件 つぶやいてみた。

カナダの航空機メーカーのボンバルディア(Bombardier)が、Accellion FTA共有サービスの脆弱性を突かれ、Clopランサムのサイトで公開されていると報じられていました。

securityaffairs.co

ボンバルディアは、そのデータの一部がClopランサムウェアギャングによって運営されているダークウェブポータルに公開された後、セキュリティ違反を明らかにしました。

ボンバルディアは本日、サイバーセキュリティの侵害が限定的に発生したことを発表しました。」 会社が発表した声明を読みます。「最初の調査では、ボンバルディアのメインITネットワークから分離された専用サーバで実行されていたサードパーティのファイル転送アプリケーションに影響を与える脆弱性を悪用して、権限のない第三者がデータにアクセスして抽出したことが明らかになりました。」

(Security Affairs記事より引用)※機械翻訳

 

公式発表

Bombardier Statement on Cybersecurity Breach(2/23)

フォレンジック分析により、従業員、顧客、およびサプライヤーに関連する個人情報およびその他の機密情報が危険にさらされていることが明らかになりました。コスタリカにいる約130人の従業員が影響を受けましたボンバルディアは、データが危険にさらされている可能性のある顧客やその他の外部の利害関係者に積極的に連絡を取っています。進行中の調査によると、不正アクセスは特定のサーバに保存されているデータのみに限定されていました。製造およびカスタマーサポート業務は、影響を受けたり中断されたりしていません。ボンバルディアは、会社が特に標的にされていないことも確認できます。この脆弱性は、アプリケーションを使用する複数の組織に影響を及ぼしました。

(公式発表より引用)※機械翻訳

 

キタきつねの所感

ランサム(暗号化)被害かと思って関連記事を調べていたのですが、AccellionのFTA(※今年4月末にサポート切れとなるファイル転送システム)経由のデータ漏えいの様です。漏えいしたデータが、Clopランサム(FIN11)によって公開されている状況の様です。

 

Security Affairsの記事にLEAKサイトの画像がありましたので、引用しますが、身代金が書かれている(データ公開を脅迫されている)部分はありませんので、ボンバルディア「身代金を拒否」した事により、窃取された(機密)データが暴露されている状態だと思われます。

BombardierClopランサムウェア

 

ZDNetの関連記事を見ると、FTA顧客がリークされ始めており、”身代金を払わなかった”事によるリーク(暴露)と推測しており、今回のケースも「無料ダウンロード」対象となってしまった事を示唆しています。

今月初めから、一部の古いFTA顧客からのデータが、ダークウェブでホストされている「リークサイト」に表示され始めました。そこでは、Clopランサムウェアギャングは通常、復号化料金の支払いを拒否した企業を恥じていました。

ZDNet記事より引用)※機械翻訳

 

公式発表や関連記事を見る限り、漏えいしたデータは、特定のサーバに保存されていたデータされていた様ですが、個人情報は含まれてなかったものの、設計情報などの機密データが含まれていた様です。

サイトで共有されたデータには、さまざまなボンバルディアの飛行機と飛行機の部品の設計ドキュメントが含まれていました。個人データは共有されませんでしたが、飛行機メーカーは、その個人の知的財産の一部がダークウェブで無料ダウンロードとして提供されていることを確信している可能性があります。

ZDNet記事より引用)※機械翻訳

 

AccellionのFTA関連のインシデントとしては、ニュージーランド準備銀行Sintel、地理空間データのFugroや、ハイテク企業のDanaher、米法律事務所のJones Day 、オーストラリア証券取引委員会(ASIC)、スーパーマーケットのKrogerQIMR、ワシントン州監査局(SAO)、コロラド大学等の被害が既に明らかになっていますが、20年以上使われているFTAを利用していた最大100社が、2020年12月以降、複数のゼロディ脆弱性と、Webシェルを組み合わせた攻撃を受けて侵害被害を受けている様です。

※Accellionは2年前から新しいプラットフォームへの移行を推奨

 

結果論ではありますが、古くなったサービスからの新しいサービスへの”引っ越し”の判断が早ければ、これらの企業や組織は被害を受けずに済んだと考えると、ギリギリまで移行を引っ張らずに、計画的にサービス移行をしていく事が重要なのかと思います。

 

参考:

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

 

Mandiantの分析では、Accellion FTA脆弱性として以下の脆弱性を挙げています。

www.fireeye.com

CVE-2021-27101-細工されたホストヘッダーを介したSQLインジェクション
CVE-2021-27102-ローカルWebサービス呼び出しを介したOSコマンドの実行
CVE-2021-27103-細工されたPOSTリクエストによるSSRF
CVE-2021-27104-細工されたPOSTリクエストによるOSコマンドの実行

 

 

日本企業でFTA関連の被害を受けた企業は(まだ)無いと思いますが、IPAの10大脅威で言えば4位のサプライチェーンの弱点を悪用した攻撃」に当たるのが、Solar Winds OrionやこのAccellion FTAになります。

 

今後、こうした”成功事例”を受け、別のソフトウェア(クラウドサービス)サプライチェーンを狙った攻撃が活発化する事も十分に考えられますので、日本企業も対岸の火事と思わず、こうした海外の攻撃にもアンテナを張っておく事をオススメします。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 プライベートジェットのイラスト

 

更新履歴

  • 2021年2月25日 AM