大規模侵害で数千の機密ネットワークの認証情報が流出
原題: Massive breach spills credentials for thousands of sensitive networks
なぜ重要か
Fortinet などの重要なインフラ製品の大規模侵害は、金融・防衛・エネルギー等の重要インフラ全体のセキュリティ体制に深刻な影響を与える。認証情報の平文露出により二次的な侵害リスクが急増する。
Fortinet ファイアウォールの大規模侵害が発覚。ロシア語圏の攻撃者が Oracle、Chevron、Lenovo、FedEx、NATO 関連企業など世界的に重要な組織への侵入に成功。194 カ国の 21,000 以上の IP アドレスから約 74,000 台の Fortinet デバイスが侵害され、平文認証情報がオンライン上に露出。セキュリティ研究者 Bob Diachenko が攻撃者のコマンド&コントロールサーバにアクセスして発見した。
セキュリティ研究者 Bob Diachenko と独立研究者 Kevin Beaumont による調査で、大規模な Fortinet ファイアウォール侵害が明らかになった。被害組織は Oracle、Chevron、Lenovo、FedEx、NATO 防衛請負業者、Fortinet 自身を含む。
侵害されたデバイスは 194 カ国の 21,000 以上の IP アドレスから約 74,000 台で、インターネット公開 Fortinet ファイアウォール全体の約半分に相当する。露出した認証情報には、侵害された組織の業種、売上高、従業員数も含まれていた。
攻撃者は、犯罪目的の主体と見られ、以下の手法を実行した。まずインターネットを大規模にスキャンして FortiGate リモートログインエンドポイントを検出。次に 25,000 スレッドのカスタムバイナリを使用して数百万のエンドポイントに数千のログイン・パスワード組み合わせを試行攻撃。成功後は「組織内のネットワークタップ」を確保した。
セキュリティ企業 Hudson Rock の分析によると、攻撃者は SSL VPN 認証ハッシュを積極的に傍受し、45GPU クラスタ(Hashtopolis で管理)を使用してこれを破解。破解されたパスワードを利用して Active Directory などの中央認証システムにも横展開を実行した。
Keyword Beaumont は水曜朝時点で侵害されたほぼ全デバイスがオンライン状態だったと報告。複数組織との確認により認証情報が現在も有効であることが確認された。日本、台湾、ベトナムなど複数国の組織で完全なネットワーク侵害が確認されている。