Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Boseのランサム対応がインシデントレスポンスの目指すべき姿

不正アクセス事件 考えてみた。

オーディオ機器メーカーのBose Corporationが3月にランサム被害を受けて従業員情報を漏えいした可能性があると発表していましたが、その透明性の高い公表内容が話題となっています。

securityaffairs.co

 

公式発表

Incident Notification (5/19)

 

キタきつねの所感

Boseの被害範囲の発表を見ると、非常に軽微なランサム被害であると言えそうです。

侵害を受けたのが少数のスプレッドシートファイルで、その中に少数の従業員情報(※下記記事だと不正アクセスが確認できたのが6名分ですが、公式発表を見ると最大12名分のデータが映鏡を受けた可能性がある様です)が含まれていた、というのが現時点で漏えいした可能性がある情報として書かれているだけです。

同社は、Bose Corporationの6人の元ニューハンプシャー州の従業員に関連する内部管理人事ファイルからのデータがランサムウェアオペレーターによってアクセスされ、潜在的に盗み出されたことを発見しました。

「調査とフォレンジック分析に基づいて、ボーズは2021年4月29日に、サイバー攻撃の加害者が人事部門によって管理されている管理情報を含む少数の内部スプレッドシートにアクセスした可能性があると判断しました。これらのファイルには、ボーズの従業員と元従業員に関する特定の情報が含まれていました。」手紙を続けます。

公開されるデータには、従業員の名前、社会保障番号、報酬情報、および同等の人事関連情報が含まれます

(Security Affairs記事より引用)※機械翻訳

 

ランサムオペレータは、2021年3月7日に攻撃を仕掛けた様で、それを同日(3月7日)に検知し、封じ込めに成功した様です。最終的に個人情報を含む社内ファイルが少数漏えいした疑いがあると判断した様ですが、対外的に公表する必要があったのか?と思う程の影響範囲であり、正直に言えば、私は「防衛に成功した」と思います。

・ボーズは、2021年3月7日にボーズの米国内のシステム上でマルウェア/ランサムウェアを最初に検出しました。
・ボーズは、3月7日に攻撃を発見した直後に、インシデントレスポンスプロトコルを開始しました。
・ボーズは、3月7日に攻撃を発見するとすぐに、インシデントレスポンスプロトコルを開始し、インシデントを食い止めるために技術チームを活動させ、不正な活動に対する防御を強化しました。
・不正行為に対する防御を強化しました。ボーズは、三者の専門的なフォレンジックプロバイダーと協力して、さらに事件を調査するための包括的なプロセスを開始しました。
・この事件を調査するための包括的なプロセスを開始しました。今回の攻撃が高度なものであったため、ボーズは、安全な方法でシステムをオンラインに戻すために、サイバー専門家と協力して、慎重かつ計画的に復旧作業を進めました。

Bose公式発表より引用)※機械翻訳

 

この程度の影響範囲なら「無かった事」にする企業も案外多いかと思います。

もしかすると攻撃者(ランサムオペレータ)がもっと大量の機密データを持ち出している可能性も考えられる訳ですが、現時点ではDarkWeb監視結果も含めて、5/19までには、その兆候は見られないと発表しています。

 

ランサム攻撃が高度であったとありますが、この中身については(セキュリティ上の理由かと思いますが)開示されていません。

漏えいした可能性があるデータから考えると、ラテラルムーブメント(横移動)で、管理者権限を取ろうと動いている所、あるいはC&Cサーバとの通信などの早い段階で検知出来て、封じ込めに成功した様に思います。

※それを高度な攻撃と呼ぶのかは分かりませんが、後から証跡を確認した所、かなり危ない攻撃手法が確認されたという事なのかも知れません。

 

こうした攻撃に関して、脆弱点は一般的に公開されないので分からないものの、「事後対策」を見ると、想像がつく部分も多いと感じており、今回のBoseも公式発表に書かれていましたので、参考まで記載します。

※予防措置が含まれる可能性もありますので、必ずしも攻撃原因であるとは限りません。

攻撃中および攻撃後、Boseは次の対策を実施したと述べました。

・エンドポイントおよびサーバーでのマルウェア/ランサムウェア保護の強化。将来のマルウェア/ランサムウェア攻撃に対する保護をさらに強化します。
マルウェア/ランサムウェアの影響を分析するために、影響を受けるサーバーで詳細なフォレンジック分析を実行しました。
エンドポイントへの攻撃中に使用された悪意のあるファイルをブロックして、マルウェアのさらなる拡散やデータの漏えいの試みを防止しました。
・脅威アクターまたは同様のタイプの攻撃による将来のアクションを識別するための強化された監視とロギング
潜在的な侵入を防ぐために、外部ファイアウォールでこの脅威アクターにリンクされた新たに識別された悪意のあるサイトとIPをブロックしました。
・すべてのエンドユーザーと特権ユーザーのパスワードを変更しました。
・また、すべてのサービスアカウントのアクセスキーを変更しました。

Threat post記事より引用)※機械翻訳

 

追加攻撃(C&Cとの通信辺り?)に対して、監視(振る舞い検知?)が”当たった”という様にも読み取れます。攻撃者の狙いは、特権昇格と別な認証権限だった、当たり前の攻撃手順ではありますが、他社にも参考になる部分かも知れません。

 

初期防衛が(ほぼ)成功したにも関わらず、封じ込め端末のフォレンジック調査(隔離)をきちんと実施し、漏えい情報がDarkWebに出て無いか監視し、少し発表時期がずれましたが、フォレンジック調査結果を待って丁寧にインシデント発表をする点など、たかだか6件~12件の個人情報と言うと言い過ぎかも知れませんが、インシデント対応の王道を、Boseの対応に感じました。

Bose SoundLink Mini Bluetooth speaker II ポータブルワイヤレススピーカー スペシャルエディション ラックスシルバー

Bose SoundLink Mini Bluetooth speaker II ポータブルワイヤレススピーカー スペシャルエディション ラックスシルバー

  • 発売日: 2019/11/07
  • メディア: エレクトロニクス
 

  

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 スピーカーのイラスト

 

更新履歴

  • 2021年5月26日 AM