今週気になったIT関連のニュース

2021年3月8日～2021年3月14日に読んだ中で気になったニュースとメモ書きです。
気になったニュースをまとめている目的はこちら

目次

• セキュリティカメラや認証サービスを提供する企業ネットワークへの不正アクセス
• Mincrosoft Exchange Serverの脆弱性に関する続報
• 最後に

セキュリティカメラや認証サービスを提供する企業ネットワークへの不正アクセス

What

• 攻撃者がVerkadaというシリコンバレースタートアップのネットワークに不正アクセスした
  • これにより、同社が管理する下記のような場所にに設置された監視カメラのデータにアクセスすることができた
    • CloudflareやTesraといった企業のオフィス、倉庫、工場、そして刑務所の独房、精神科病棟、銀行、学校
• Verkada社のWebサイト
• 開発用の内部システムが外部からアクセスできる状態になっていたことが原因
• 内部システムには、Verkada社のネットワークの管理者権限のアカウント情報が含まれていた
  • 「開発環境が外部に公開されていた」＋「開発環境にパスワードなどが記載してあった」の合わせ技。どこの会社でも発生する可能性があるので、肝が冷える
• 攻撃者がアクセスできたカメラは150,000台
• 監視カメラの映像にアクセスできただけでなく、Verkadaの何千もの顧客のリスト全体と、資産と負債をリストした同社の貸借対照表をダウンロードできたらしい
  • 管理者権限を取得していたので、ネットワーク上のあらゆるデータにアクセスできたということだろう
• 映っていた内容によっては、健康情報に関する保護違反や、GDPRに関係した個人情報保護について訴訟が発生する可能性もある

When

• Bloombergの記事公開が2021年3月10日
• 月曜の朝に当該システムにアクセスできるようになったらしいので、不正アクセスの発生日時は2021年3月8日（月）の朝

Who

• APT 69420 Arson Cats
• TillieKottmann
  • Twitterアカウントは凍結中（3月14日現在）

Why

• ビデオ監視が存在する範囲を示すため
• これらのシステムに侵入して機密性の高いプライベートな映像を公開することがいかに簡単であるかを示すため

How

• インターネット上に公開されていた開発用の内部システムにアクセスした
• 当該システムに、管理者権限の認証情報がハードコードされていた

関連記事

• Tesla (TSLA), Cloudfare (NET) Breached in Verkada Security Camera Hack - Bloomberg
• Breach Exposes Verkada Security Camera Footage at Tesla, Cloudflare
• Hackers access security cameras inside Cloudflare, jails, and hospitals

Mincrosoft Exchange Serverの脆弱性に関する続報

先週に引き続き、多くの情報が公開されていた。

What

• Microsoft Exchange Serverへの攻撃は数時間毎に倍増している（2021年3月12日時点）

• Check Pointによると、アメリカ、オランダ、トルコの組織が攻撃対象になっている割合が多い（2021年3月14日時点）

  • アメリカ21%、オランダ12%、トルコ12%

• ノルウェー、チェコ、オランダの企業が攻撃の影響を受けていることが公表されている

  • ノルウェー
    • 自国のIPに対してスキャンを実施し、今回の脆弱性を含む環境の管理者に連絡する
    • Oppdatér Microsoft Exchange snarest
  • チェコ
    • Vyjádření k aktuální situaci
  • オランダ
    • オランダ内のMicrosoft Exchange Serverの40%以上に、脆弱性を修正する更新が適用されていないらしい
    • 40% van Nederlandse Microsoft Exchange Servers nog kwetsbaar

• パロアルトによると、世界中で125,000台のサーバでパッチが適用されていない

• こちらの記事で、ターゲットにされている国と産業の割合が公開されている

  • Exploits on Organizations Worldwide Tripled after Microsoft’s Revelation of Four Zero-days

• 少なくとも10を超える攻撃者グループがProxyLogonの脆弱性を突いた攻撃をしている

  • これらの攻撃者グループは、背後に国家がいると考えられている
  • 国家が背後にいるか否かってどうやって判断しているのだろうか？

• 攻撃規模は雪だるま式に増えている

• Hafniumによると考えられる当初の攻撃はターゲットを絞った限定的な攻撃と見られていたが、現状は違う。複数の攻撃者グループが大規模にScanを行っている。

• 2月28日時点で、複数のグループが攻撃を実施していることが確認できたので、パッチ配布前（2021年3月2日以前）に脆弱性情報が攻撃者間で連携されていた可能性がある

• 2021年3月11日時点で、115か国以上5,000を超える電子メールサーバーでWebシェルが検出されている

  • 別の攻撃者グループが設置したWebシェルを他の攻撃者グループが奪っている可能性もある

Who

• 記事内で、下記のグループの活動が挙げられていた
  • LuckyMouse（別名APT27またはEmissary Panda）
  • Calypso
  • Winnti（別名APT41またはBarium）
  • CactusPete（別名Tonto Team）
  • Mikroceen（別名Vicious Panda）
  • これらのチームではないと考えられる攻撃も多数観測している

関連記事

• Microsoft Exchange Server hacks ‘doubling’ every two hours
• Exploits on Organizations Worldwide Tripled after Microsoft’s Revelation of Four Zero-days
• Microsoft Exchange Servers Face APT Attack Tsunami
• Microsoft Exchange Cyber Attack — What Do We Know So Far?

最後に

Microsoft Exchange Serverに関する被害情報が続々と公開されている。
「どのように収束させたか」という事例が今後公開されることに期待。

Microsoft Exchange Serverの情報量が多くなってきたので、時系列を整理して1つの記事にまとめ直すのもいいかもしれない。