Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Syniverseへの”中間者攻撃”

海外事件 不正アクセス事件 考えてみた。

日本ではあまり大きなニュースとなっていませんが、Vodafone、AT&T、T-Mobile、Verizon等多くの通信キャリアが顧客となっている「世界で最も接続された企業」であるSyniverseが過去5年間にDBに不正アクセスをうけていた事が判明しました。

gigazine.net

 

米国証券取引委員会(SEC)への提出資料

SCHEDULE 14A(Syniverse)

 

キタきつねの所感

5年間の不正アクセスで侵害された可能性がある顧客情報は約235人とされていますが、正直に言えば、そう多くはありません。

 

Syniverseは、ハッカー、サイバー犯罪者、またはその他の人がシステムに不正アクセスしたり、システムを悪用したりして、独自の情報やテクノロジーを悪用したり、ビジネスを中断したり、顧客や顧客に不正アクセスしたりした経験があります。 ' 機密情報。

たとえば、2021年5月、シニバースは、未知の個人または組織による運用および情報技術システムへの不正アクセスに気づきました(「2021年5月の事件」)。Syniverseが不正アクセスを検出するとすぐに、Syniverseは内部調査を開始し、法執行機関に通知し、是正措置を開始し、専門の弁護士やその他の事件対応専門家のサービスを利用しました。シニバースは事件の徹底的な調査を実施しました。

調査の結果、2016年5月に不正アクセスが開始されたことが明らかになりました。Syniverseの調査では、個人または組織がネットワーク内のデータベースに何度か不正アクセスを行ったこと、および電子データ転送へのアクセスまたは電子データ転送からのアクセスを許可するログイン情報が明らかになりました(「EDT ”)環境は、約235の顧客にとって危険にさらされていました。クレデンシャルがインシデントの影響を受けなかった場合でも、すべてのEDTのお客様に通知され、クレデンシャルがリセットまたは非アクティブ化されています。クレデンシャルが影響を受けたすべての顧客には、その状況が通知されています

Syniverseは、契約上必要な場合、影響を受けるすべての顧客にこの不正アクセスを通知しました。Syniverseは、現時点では、顧客への通知を含む追加のアクションは不要であると結論付けました

Syniverseは、その業務またはその顧客の業務を妨害する意図の証拠を観察せず、不正な活動を現金化する試みもありませんでした。Syniverseは、これらのイベントが日常の運用やサービス、またはデータへのアクセスや処理の能力に重大な影響を与えることを経験しておらず、予想もしていません。Syniverseは、このインシデントの調査と対応にかかる費用のかなりの部分をカバーすると予想されるサイバー保険を維持しており、現在も維持しています。

(SECへの提出資料から引用)※機械翻訳

 

一見、ほとんど影響が無かった様な書き方です。しかし、侵害を受けたとされる部分が”例示”となっている点、そしてその侵害詳細(どこの顧客かも含め)があまり書かれていない点を考えると、他にもインシデントがあった可能性や、侵害の影響が実は軽微ではなかった可能性も考えられます。

 

そうした”匂い”をかぎ取ってか、Bleeping ComputerやMotherboard(VICE)、Infosecurity MagazineSecurity Affairs等、多くのセキュリティ系のブログが記事として取り上げています。

 

例えば、被害を受けたとされる約235人の顧客が、SMS-OTPを受けて金融機関サイト(会員サイト)にアクセスしていたとすれば、もしかすると不正アクセスが可能だった、あるいはパスワードリセット攻撃、SIMクローン攻撃を受ける可能性があった、そんな事も考えられるかと思います。

 

Syniverse社は関係顧客に連絡し、インシデントの原因となった脆弱性は修正したと発表していますが、漏えいした情報が今後悪用されて別なインシデントが発生する可能性はあり得るかと思います。

 

Syniverse社は全世界300超の携帯電話事業者向けにサービスを提供しており、年間7,400億のメッセージを処理するサービス事業者であるだけに、今回の5年間の侵害は、契約している多くの携帯電話事業者に潜在リスクを残してしまっているのかも知れません。

 

Bleeping Computerは、攻撃に国家が関与していた可能性についても示唆する事を書いていますが、仮に国家が関与する(APT)攻撃だったとして5年間に侵害期間が渡るにも関わらず約235人で済んでいたとすれば、相当VIPな顧客が集中的に狙われたと想像されます。

 

Syniverseのセールストークは「安全」を強調している様ですが、サービス事業者が『本当に安全であるのか』きちんと確認するポリシーや手順を、携帯電話事業者だけでなく、一般企業・組織も持つ事が重要になってきたと考えた方が良さそうです。

Syniverseは、「地球上のほぼすべての人とデバイスに到達する安全なグローバルネットワーク」を備えた「世界で最も接続された企業」と自称しています。

Bleeping Computer記事より引用)※機械翻訳

 

余談です。今回のインシデントにて、不正アクセス2016年5月から始まった・・とされ、世界で最も多くデータを取扱うSyniverseは”5年間”まったく侵害に気づいてなかった事を調査結果としてSEC資料に(さらっと)記載しています。

攻撃詳細、影響範囲がほとんど書かれてないので想像を含みますが、例え国家が関与する様な(APT)攻撃であったとしても、5年も侵害を検知できなかったのは、やはりSyniverse側のセキュリティ対策(多層防御)に構造的な問題があった気がします。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

f:id:foxcafelate:20211006103929p:plain

 

更新履歴

  • 2021年10月6日 AM