Last Updated on 2024-06-23 08:20 by 門倉 朋宏
Cloudflareは、2023年11月14日から24日にかけて、国家支援を受けたと見られる攻撃者によってAtlassianサーバーへの不正アクセスが行われ、一部のドキュメントと限定的なソースコードが閲覧されたことを明らかにしました。この侵入は、Cloudflareのグローバルネットワークへの持続的かつ広範囲にわたるアクセスを目的として行われ、攻撃者は「洗練された」手法で「慎重かつ方法的に」操作したとされます。Cloudflareは、この事件を受けて5,000以上の本番環境の認証情報を更新し、テストおよびステージングシステムを物理的に分離し、4,893システムに対してフォレンジック調査を実施し、グローバルネットワーク全体のマシンを再イメージ化して再起動しました。
攻撃者は、Atlassian ConfluenceおよびJiraポータルへのアクセスを目的とした4日間の偵察期間の後、不正なAtlassianユーザーアカウントを作成し、最終的にSliver敵対シミュレーションフレームワークを使用してBitbucketソースコード管理システムへのアクセスを確立しました。閲覧された120のコードリポジトリのうち、76は攻撃者によって外部に持ち出されたと推定されています。Cloudflareによると、これらのリポジトリは主にバックアップの仕組み、グローバルネットワークの構成と管理、Cloudflareでのアイデンティティの取り扱い、リモートアクセス、TerraformおよびKubernetesの使用に関連していました。
攻撃者は、2023年10月にOktaのサポートケース管理システムがハッキングされた際に盗まれたAmazon Web Services (AWS)、Atlassian Bitbucket、Moveworks、およびSmartsheetに関連する1つのアクセストークンと3つのサービスアカウントの認証情報を使用しました。Cloudflareはこれらの認証情報を使用していないと誤って仮定し、更新していなかったことを認めました。また、2024年11月24日には、攻撃者によるすべての悪意のある接続を終了し、サイバーセキュリティ会社CrowdStrikeに事件の独立した評価を依頼しました。
Cloudflareは、盗まれた認証情報を使用して攻撃者がアクセスできたのはAtlassian環境のみであり、アクセスされたWikiページ、バグデータベースの問題、およびソースコードリポジトリを分析した結果、攻撃者はCloudflareのグローバルネットワークのアーキテクチャ、セキュリティ、および管理に関する情報を探していたと結論付けました。
【ニュース解説】
Cloudflareは、2023年11月14日から24日にかけて、国家支援を受けたと見られる攻撃者によって、そのAtlassianサーバーへの不正アクセスが行われたことを公表しました。この攻撃では、一部のドキュメントと限定的なソースコードが閲覧されました。攻撃者は、Cloudflareのグローバルネットワークへの持続的かつ広範囲にわたるアクセスを目的としており、非常に洗練された手法で慎重かつ方法的に操作を行ったとされています。
この事件を受けてCloudflareは、5,000以上の本番環境の認証情報の更新、テストおよびステージングシステムの物理的分離、4,893システムに対するフォレンジック調査の実施、グローバルネットワーク全体のマシンの再イメージ化と再起動など、複数の対策を講じました。
攻撃者は、Atlassian ConfluenceおよびJiraポータルへのアクセスを目的とした4日間の偵察期間の後、不正なAtlassianユーザーアカウントを作成し、Sliver敵対シミュレーションフレームワークを使用してBitbucketソースコード管理システムへのアクセスを確立しました。閲覧された120のコードリポジトリのうち、76は攻撃者によって外部に持ち出されたと推定されています。これらのリポジトリは、バックアップの仕組み、グローバルネットワークの構成と管理、アイデンティティの取り扱い、リモートアクセス、TerraformおよびKubernetesの使用に関連していました。
この攻撃は、Oktaのサポートケース管理システムがハッキングされた際に盗まれたAmazon Web Services (AWS)、Atlassian Bitbucket、Moveworks、およびSmartsheetに関連する認証情報を使用して実行されました。Cloudflareはこれらの認証情報を更新していなかったことを認めています。
この事件は、企業のセキュリティ体制における認証情報の管理と更新の重要性を浮き彫りにしています。また、国家支援を受けた攻撃者によるサイバー攻撃の脅威が増大していることを示しており、企業はこれに対する防御策を強化する必要があります。さらに、攻撃者が特にバックアップやネットワークの構成に関連する情報を狙っていたことから、これらの領域におけるセキュリティ対策の見直しも求められます。長期的には、サイバーセキュリティの規制や基準がさらに強化される可能性があり、企業はこれに適応するための準備を進める必要があるでしょう。
from Cloudflare Breach: Nation-State Hackers Access Source Code and Internal Docs.
“国家支援ハッカーがCloudflareを狙う、Atlassianサーバー侵入事件発覚” への1件のコメント
このCloudflareへの攻撃についての報告を読んで、正直驚いています。私のような元会社員で、今は隠居して園芸や地元の歴史に興味を持つ人間から見ても、このようなサイバー攻撃の脅威は非常に心配なことです。特に、国家支援を受けた攻撃者によるこの手の攻撃は、その規模と洗練された手法によって、一般の企業では対応が難しい場合が多いでしょう。
Cloudflareが攻撃を受けた後に講じた対策は適切だと思いますが、問題はその攻撃が行われる前に十分なセキュリティ対策が取られていたかどうかです。特に認証情報の管理と更新は、企業のセキュリティ体制を支える基本中の基本です。この点でのCloudflareの見落としが攻撃者に利用されたことは、私たちにとって大きな教訓です。
また、攻撃者が特に興味を持っていたバックアップやネットワークの構成に関する情報は、企業にとって非常に重要な資産です。このような情報が外部に漏洩することは、企業のセキュリティだけでなく、その業務の継続性にも大きな影響を与える可能性があります。
この事件から学ぶべきは、セキュリティは日々進化する脅威に対