Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ShellもAccellion FTA経由で侵害された

不正アクセス事件 調べてみた。 海外事件

エネルギー大手のシェル(RoyalDutch Shell)もAccellionのファイル共有サービス経由でデータ侵害を受けたと発表されていました。

securityaffairs.co

 

公式発表(Shell)3/18

THIRD-PARTY CYBER SECURITY INCIDENT IMPACTS SHELL

Shellは、Accellionのファイル転送アプライアンスに関連するデータセキュリティインシデントの影響を受けています。シェルはこのアプライアンスを使用して、大きなデータファイルを安全に転送します。

シェルはインシデントを知ると、サービスプロバイダーとサイバーセキュリティチームと一緒に脆弱性に対処し、インシデントの性質と範囲をよりよく理解するための調査を開始しました。ファイル転送サービスはシェルの他のデジタルインフラストラクチャから分離されているため、シェルのコアITシステムに影響を与える証拠はありません。
進行中の調査によると、許可されていない当事者が限られた時間内にさまざまなファイルにアクセスしたことがわかっています一部には個人データが含まれ、その他にはシェル会社とその利害関係者からのデータが含まれていました。シェルは影響を受ける個人や利害関係者と連絡を取り、起こりうるリスクに対処するために彼らと協力しています。また、関連する規制当局や当局とも連絡を取り合っており、調査が進むにつれて連絡を取り続けます。

(公式発表より引用)※機械翻訳

 

キタきつねの所感

Security Affairが記事として取り上げていたので3/18の発表に気づきましたが、日本でも名が知れたエネルギー大手シェルへのサイバー攻撃日本ではまだ報じられていない様です。

国内セキュリティ関係の記事はLINE問題一色かと思いますので、本日はこちらのインシデントを取り上げたいと思います。

※尚、LINE問題は某所から調査依頼が入ったので色々と調べておりますが、クライアントとの関係があるので恐らく分析内容は(当面)ブログには書かないと思います。

※(いないとは思いますが)分析情報を知りたい方、又は情報交換をされたい方は(foxcafelate[@]gmail.com)までお問い合わせください。

 

Accellion問題は、マイクロソフトExchangeサーバや、SolarWinds、(国内だとSalesforce設定ミス)などの問題に押されて”終わった感”がありますが、シンガポール通信大手のSingtelや、航空機のボンバルディア、NW診断のQualys等、名が知れた海外企業が被害を受けており、一部日本企業も(漏えいデータがサンプル開示)巻き込まれています。

 

今年4月末でサービス終了する古いファイル交換サービス脆弱性を突かれ、昨年12月以降複数のゼロディとWebシェルを組み合わせた攻撃を受けて被害を受ける企業が出ています。20年以上継続するサービスだったが故に、利用ユーザ企業は多かったとも言えますが、新サービスに乗り遅れたユーザが狙い撃ちにされた(ている)様です。

 

このAccellion FTA関係では、ランサムオペレータのCL0P(Fin11/UNC2546)がリークサイトに情報を突然乗せる事が多いのですが、Twitter等でリークサイトの状況を見た限りですが、Shellの名前は(まだ)出てない様です。

 

先週時点でのリークサイトの掲載情報は以下の通りです。Qualys以降、また被害企業が増えている様ですが、やはりShellの名前は出ていません

f:id:foxcafelate:20210324050937p:plain

 

とは言え、Shellの公式発表では、Accellion FTAに関するデータセキュリティインシデント発生したと書かれていますので、「交渉中(又は猶予期間中)」という事なのかも知れません。

 

事件の本質にはあまり関係がなさそうですが、Security Affair記事の記事を読んで「そう言えば」と思った点が1つあります。FTAのインシデントに関しては、データ侵害だけで暗号化(=2重脅迫)はされていないのです。

FireEyeは、FIN11ハッカーがAccellion FTAの顧客からのデータをClopランサムウェアリークサイトに公開しているにもかかわらず、侵害されたネットワーク上のシステムを暗号化していないことを指摘しました。

攻撃の波に応えて、ベンダーはハッカーによって悪用された脆弱性に対処するために複数のセキュリティパッチをリリースしました。同社はまた、2021年4月30日までにレガシーFTAサーバーソフトウェアを廃止する予定です。

Accellionは、FTAサーバに代わるKiteworks製品へのアップデートをお客様に促しています。

(Security Affairs記事より引用)※機械翻訳

 

Shellは「ファイル転送サービスはシェルの他のデジタルインフラストラクチャから分離されているため、シェルのコアITシステムに影響を与える証拠はありませんと発表して、この内容とも合致しますので、CL0Pのデータ侵害のランサム(人質)は漏えいデータに対するものという事が分かります。

FTA内の機密データ次第ですが、交換したファイルが不要になり削除されていた(業務に必要な最低限の状態であれば)とすれば、仮に侵害されたとしても、大きなダメージは受けずに済んだのかと思います。

 

(以下根拠はありませんが)サービス終了を発表したサービスでは、後継サービス側の方にセキュリティ対策(監視)の軸を移しているケースも多く、そうしたサポート体制が薄くなった所を、攻撃者は狙ってくるのだと思います。

ギリギリまで古いサービスを引っ張らずに、早めにセキュリティがしっかりしたサービスに移行する(移行計画をきちんと策定する)、こうした当たり前の事が重要な気がします。

 

参考:

Windows XPへの「例外措置」、サポート終了なのに繰り返される理由は?:ITの過去から紡ぐIoTセキュリティ(1/3 ページ) - ITmedia NEWS

マリオットが1億ドル訴えられる - Fox on Security

 

過去記事(Acellion FTA関連)参考:

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

 

foxsecurity.hatenablog.com

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

オイルマネーのイラスト 

 

更新履歴

  • 2021年3月24日 AM