米国の有名大学が次々とAccellion FTA経由の侵害により重要情報を窃取された事を発表していますが、最新の被害者は日本でもよく名前が知られた名門UCLA(カリフォルニア大学ロサンゼルス校)だった様です。
ktla.com
・Update on Accellion data breach and what you should do to protect yourself (4/2)
・UC part of nationwide cyber attack (3/31)
UCは、全国の他の大学、政府機関、および民間企業とともに、最近サイバーセキュリティ攻撃を受けていることを知りました。この攻撃には、安全なファイル転送のために多くの組織で使用されているベンダーであるAccellionの使用が含まれます。このベンダーでは、許可されていない個人がAccellionのファイル転送サービスの脆弱性を悪用してUCファイルをコピーおよび転送したようです。
キタきつねの所感
Accellion FTA経由で侵害を受けたと確認されているのは、ニュージーランド準備銀行、Singtel、Fugro、Danaher,Jones Day、オーストラリア証券取引委員会、ボンバルディア、Kroger、Seteris、Qualys、Shell等ですが、ランサムオペレータCL0P(Fin11/UNC2546)のリークサイトに立て続けに米国の著名大学が掲載されています。
※以下TwitterでのCl0pリークサイトの投稿を引用します。
リークリストに名前が確認できるのが、コロラド大学(COLORADO.EDU)、マイアミ大学(MAIAMI.EDU)、イェシーバー大学(YU.EDU)、メリーランド大学(UMD.EDU)、UCLA(UNIVERSITYOFCALIFORNIA.ECU)、スタンフォード大学(STANFORD.EDU)ですが、いずれも名が知れた大学です。
余談となりますが、このリストの最後にある「NIPRO.COM」は日本の医療機器メーカーニプロの海外子会社、ニプロメディカルの様ですが、まだ公式リリースは出てない様です。※詳細調査する時間が取れたら別記事を書くかも知れません
nipro.com
先に侵害が発表されていたコロラド大学の公式発表では、個人情報と”研究データ”が漏えいしていた可能性が高いと発表されています。
www.cu.edu
完全な範囲はまだ決定されていませんが、法医学調査の初期の情報により、脆弱性が悪用され、CUBoulderおよびCUDenverの学生の個人情報、将来の学生の個人情報、従業員の個人情報など、複数のデータタイプがアクセスされた可能性があることが確認されています。識別可能な情報、限られた健康および臨床データ、および研究および研究データ。
Cl0P側のサンプルリークデータでは、大学の財務書類、学生の成績、学業成績、登録情報、学生の経歴情報が公開されている様ですが、単なるサンプルであって、機微なデータはかなり含まれている可能性があるかと思います。
※ランサム要求額は1,000万ドルと言われています。
スタンフォード大学の公式発表では、FTA経由の被害者であった事は書かれていますが、あまり詳しい事は(まだ)書かれていません。少し気になるのが、「大学の医学部」が影響を受けたとされている事で、機微な情報が漏えいした可能性を感じます。
news.stanford.edu
サイバーセキュリティインシデントについてお知らせします。スタンフォード大学医学部は、Accellion Incが提供するファイル転送アプライアンス(FTA)と呼ばれるサードパーティのファイル共有サービスが関与するサイバーインシデントの一部であるデータ侵害について知りました。この侵害は、より大規模な全国的なサイバー攻撃の一部でした。 Accellion FTAを使用する大学、企業、組織について。専用のWebページを介してコミュニティに定期的に更新を提供します。
別な記事では、「社会保障番号、住所、電子メール、家族、財務情報など、スタンフォードコミュニティのメンバーに属する盗まれたデータを漏えいしました。」と書かれていましたが、サンプルでの漏えい内容をベースにした内容な気がします。(もっと機微な情報が漏えいしていてもおかしくないと思います)
マイアミ大学の発表では侵害の影響範囲について公式発表では、
incident.miami.edu
Accellionのセキュリティインシデントは、複数の連邦、州、地方、部族、および領土の政府組織、ならびに医療、法務、電気通信、金融、高等教育、小売、およびエネルギーセクターを含む民間企業および企業に影響を及ぼしたことを理解しています。 。Accellionは、UMの少数の個人によって、電子メールには大きすぎるファイルを転送するために使用されていました。その後、大学はAccellionファイル転送サービスの使用を中止しました。
と書かれており、(ファイル転送サービスの普通の使い方ではありますが)Accellion FTAで大容量ファイルのやり取りがされていた事が明示されており、残存していたデータがあれば、かなりのデータが漏えいした可能性も考えられます。
マイアミ大学のリークサンプルは、「マイアミ大学ヘルスシステムUHealthの患者に関するリークWebサイトデータを公開しました。漏洩した情報には、氏名、電話番号、メールアドレス、その他のデータが含まれています」と報じられており、医療に関わる機微なデータがCl0Pランサムの脅迫の対象である事が考えられます。
Cl0Pはランサムオペレータとされていますが、Accellion FTAサービス利用者のデータ窃取のみで、大学システムへの侵害(暗号化)は今までの所、確認されていません。しかし、別な意味で2重脅迫を仕掛けている様です。その1つが大学に対する脅迫であり、もう1つが学生や大学関係者個人に対する脅迫です。
不審なメールに注意してください
この攻撃の背後にいる人物は、人々を怖がらせてお金を与えようとして、脅迫的な大量の電子メールをUCコミュニティのメンバーに送信していると考えられます。メッセージには次のように記載されています。
「あなたの個人データは盗まれ、公開されます」
このメッセージを受け取った人は、地元の情報セキュリティオフィスに転送するか、単に削除する必要があります。
(UCLA3/31公式発表より引用)※機械翻訳
ほとんどの日本の大学(教育機関)は、Accellion FTAユーザではないと思いますので、この一連のインシデントからの気づきとしては、4月末で廃止となる「古く(20年前から)継続しているサービス」をギリギリまで利用するのはリスクが大きいという事かと思います。
しかし、もう1つ敢えて挙げるとするならば、PPAP問題と関係してくる可能性があるという点です。
パスワード付ZIPメールを廃止する事が色々な所で推奨されており、従来のパスワード付ZIPメールの代替手段として、ファイル共有サービスの利用が一段と進むと予想されます。
www.itmedia.co.jp
では、そのファイル共有サービスが「侵害されたら」どうなるのか?
この一連のインシデントは、Cl0P(別なハッカー)のリークサイトに掲載されるのが、いつ自分たちであってもおかしくない、そうしたリスクを物語っている気がします。
※セキュリティ対策がしっかりしたファイル交換サービス選定が重要かと思います。サービス自体の脆弱性(点検)の有無、ユーザ認証での多要素認証、短時間(一定期間)でのファイル削除や時限経過による暗号化機能等、外部サービス利用の際のルールをきちんと検討し、漏えいが発生した際の手順についても考えておくと良いかと思います。
過去記事参考:
foxsecurity.hatenablog.com
foxsecurity.hatenablog.com
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
