Klueがハッカーの侵入経路は2022年の認証情報だと確認
原題: Klue says hackers stole credential from 2022 that led to customer data breaches
なぜ重要か
年単位で放置された古い認証情報が重大な侵害を引き起こした事例として、企業のクレデンシャル管理体制の脆弱性を露呈させており、セキュリティ業界の根本的な課題を指摘している。
市場調査企業Klueは、2022年にパイロットプログラム用に提供した認証情報が、今月12日に検出されたハッカーによる顧客データ流出に使用されたことを確認した。LastPassなど複数のサイバーセキュリティ企業を含む顧客のデータが盗まれた。Klueは認証情報がなぜ失効させられなかったのか、パイロットプログラムの詳細は明かしていない。
カナダの市場調査企業Klueは、6月12日に検出され先週公開されたサイバー攻撃について、2022年に第三者へ提供されたパイロット用認証情報がハッカーに悪用されたことを確認した。
同社スポークスパーソンのケイティ・バーグ氏によると、ハッカーが顧客データ盗難に使用した認証情報は「2022年に限定的なパイロットプログラムのため第三者に提供されたもの」だという。ただしKlueは、パイロットプログラムの目的、実施期間、提供先の第三者の身元を明かしていない。また、プログラム終了後に認証情報が失効させられなかった理由についても説明していない。
ハッカーはKlueのシステムへのアクセスを獲得し、顧客データへのアクセスキー(OAuthトークン)を取得。これを使ってLastPasswordマネージャーのLastPassを含む複数の顧客企業のデータをクラウドやデータベースから盗出し、身代金要求を行った。
Klueは盗まれた認証情報について「統合サービスに関連する従来型認証情報」としか述べておらず、従業員のユーザー名とパスワードなのか、それとも第三者から盗まれたのか自社システムから盗まれたのかについては明らかにしていない。
同社は「認証情報管理、ベンダーアクセス制御、監視機能、デプロイメント・セキュリティプロセスの包括的な見直しを実施中」とのみ述べており、詳細な対策内容は公表していない。身代金要求グループのIcarusが流出データの公開を脅迫しており、Klueが身代金支払いやハッカーとの交渉を検討しているかは不明である。