Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

QualysもAccellion FTA経由で侵害された

不正アクセス事件 海外事件 調べてみた。

日本ではSalesforce設定ミスがHOTですが、米国ではSolarWindsだけでなくAccellionからも”被害者”が次々と出てきていますクラウドセキュリティや診断で定評があるQualys社がAccellion FTA経由でデータを窃取された様です。

www.bleepingcomputer.com

昨日、Clopランサムウェアギャングは、サイバーセキュリティ会社Qualysに属するとされるファイルのスクリーンショットを投稿しました。漏洩したデータには、発注書、請求書、税務書類、スキャンレポートが含まれます。
LegMagITのValeryMarchiveによって報告され、BleepingComputerによって確認されたように、QualysのネットワークにはAccellionFTAデバイスがありました

Accellion FTAバイスはfts-na.qualys.comにあり、サーバーが使用するIPアドレスはQualysに割り当てられています。その後、QualysはFTAバイスを廃止し、Shodanは2021年2月18日に最後にアクティブであったことを示しています。

(Bleeping Computer記事より引用)※機械翻訳

 

公式発表(Qualys)

Qualys Update on Accellion FTA Security Incident (3/3)

 

キタきつねの所感

ランサムオペレータCL0Pの暴露サイトCL0P^_- LEAKS」がまた更新された様です。カナダの航空機メーカー、ボンバルディア社に次ぐ犠牲者(データ公開された会社)は、Qualys社となった様です。

f:id:foxcafelate:20210304095341p:plain

 参考:ボンバルディアのデータ漏えい - Fox on Security

 

Qualys社と言えば、SSL Server Testがまず頭に浮かぶ(お世話になっている)方が多いかも知れませんが、診断だけでなくクラウドセキュリティアプリ、コンプライアンス系のソフトなどでも定評があるセキュリティ企業です。

www.ssllabs.com

 

Bleeping Computerの記事によると、Qualysも2月までAccellion FTAを利用していた可能性が高いとされ、残念ながらランサムオペレータCL0Pが、同社のデータを人質に、脅迫している様です。

漏えいしたサンプルデータを見ると、医療系施設のソフトの発注書もあったのですが、

f:id:foxcafelate:20210304094619j:plain

別なサンプルを見て驚きました。「日本企業」のデータも今回の侵害事件での「人質」対象になっている様です。

 

日本の税務署類(2重関税を避ける為の書式)も掲載されていましたが、

f:id:foxcafelate:20210304093824p:plain

 

おそらくこの書式と対になっていたであろう、見積書がありました

※個社名などは伏せますが、著名な日本企業名を確認しました。

f:id:foxcafelate:20210304101158j:plain

 

正直に言えば、これらはリークしたデータが本物であろう事を除いては、大した事が無い情報です。

 

他の海外企業の暴露サンプルでも、診断レポートサマリーの一部が掲載されていましたので、Qualysからデータが漏えいしたのはほぼ間違いないかと思います。

最近CL0Pのデータリークサイトに情報が掲載された多くが、Accellion FTA経由である事が判明している為、Bleeping Computer記事に書かれていた「QualysがFTAを2/18まで使っていた」事がShodan調査で判明しているという事も合わせて考えると、このサンプルのレベルではない機微なデータが漏えいしている可能性も十分考えられます。

 

Salesforce設定ミスの様に 以前から注意喚起が(分かりづらいとは言え)出されてい事を、多くの日本企業が「見落としていた」事を併せて考えると、ソフトウェアサプライチェーン攻撃や設定ミス(注意喚起)は対岸の火事ではなく日本企業も影響を受ける可能性がある事について認識を深めた方が良いかと思います。

 

Qualysは3/3に公式発表を出しました。これを読むと、大きな影響が無いとも読み取れますが、Bleeping Computer記事とも若干不整合があるのと、CL0Pが(身代金交渉が破綻して)更にリーク情報を出してくる可能性もありそうです。

※追加の情報があれば、この記事に追記するかも知れません

blog.qualys.com

Qualysは、Qualys Cloud PlatformでホストされているQualysの本番環境、コードベース、または顧客データに影響がないことを確認しています。すべてのQualysプラットフォームは引き続き完全に機能し、運用上の影響はありませんでした。

Qualysは、顧客サポートシステムの一部として情報を転送するためにQualys製品をホストおよびサポートするシステムから完全に分離された、分離されたDMZ環境にAccellionFTAサーバーを展開していました。Qualysは、手動でアップロードされたファイルの暗号化された一時的な転送にAccellionFTAソリューションを選択しました。Accellion FTAサーバーと本番の顧客データ環境(Qualys Cloud Platform)の間に接続はありませんでした。Accellion FTA製品は、Accellionによって完全に管理されているサードパーティのシステムです。

Accellionに影響を与えるゼロデイ脆弱性は、別のお客様の環境でAccellionによって発見され、脆弱性を修正するための修正プログラムが2020年12月21日にリリースされました。QualysITチームは、2020年12月22日にAccellionFTAサーバーを保護するために修正プログラムを適用しました。さらに、Qualysは、追加のパッチを展開し、FTAサーバーの周囲に追加のアラートを有効にすることで、セキュリティ対策をさらに強化しました。2020年12月24日に整合性アラートを受け取り、影響を受けたFTAサーバーはすぐにネットワークから分離されました。したがって、Qualysは影響を受けたAccellion FTAサーバーをシャットダウンし、サポート関連のファイル転送のための代替手段を顧客に提供しました。

(公式発表より引用)※機械翻訳

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

柵を乗り越えて侵入する人のイラスト

 

更新履歴

  • 2021年3月4日 AM