スピアフィッシング攻撃で認証情報を狙う 攻撃を受けた企業はどう動いたか

認証サービスやAPIサービスを提供する企業がサイバー攻撃を受けるとユーザーの認証情報を奪われてしまうため、非常に危険だ。

[Matt Kapko，Cybersecurity Dive]

　ID管理サービスやアクセス管理サービスを提供するJumpCloudは2023年7月12日、攻撃者が同社のシステムに侵入して特定の顧客を標的にしたと発表した（注1）。

攻撃を受けてどのように対応したのか

　JumpCloudによれば、この攻撃者は国家をスポンサーとしており、特に有名なグループではないという。

　攻撃手法はスピアフィッシングだった。「現在は脅威を排除しており、攻撃者が小規模かつ特定の顧客を標的にするために使用した攻撃の影響は収まった」（同社）という。

　ただし、実際に顧客のアクセス認証情報が盗まれたかどうかは明らかにしておらず、影響を受けた顧客の数も公表していない。

脅威に対して迅速に行動したJumpCloud

　今回の攻撃ではJumpCloudの素早い対応が目立った。「インシデントを検出した後、当社は対応プランに基づいて迅速に行動した。脅威を軽減し、ネットワークとその周辺環境を保護、そして顧客と連絡を取り、法執行機関と連携した。同社のチームは新しい脅威や既知の脅威に対する警戒を怠らない。当社の強固なセキュリティ対策とセキュリティチームを構成する人材に自信を持っている」（広報担当者）

　JumpCloudは、2023年6月27日に社内のオーケストレーションシステムで初めて異常な活動を発見した。同年6月22日にスピアフィッシング攻撃を受けたためだという。当時は顧客情報への影響の有無について、確実な証拠がなかったにもかかわらず、同社は認証情報を変更し、インフラを再構築し、ネットワークと周辺環境のセキュリティを強化するための追加の手段を講じた。

　JumpCloudのボブ・ファン氏（CISO《最高情報セキュリティ責任者》）によれば（注2）、同社は顧客情報へ何らかの影響を与える兆候を発見後、調査に取り掛かり、一部の顧客のコマンドフレームワークにさらなる脅威活動を発見したため、全ての管理者のAPIキーを無効にして、リセットした。

　インシデント対応企業とも連携し、法執行機関に連絡済だ。

　APIキーはアプリケーションとユーザーのITサービスへのアクセスを認証するための識別子として機能する。APIキーが突然リセットされたため、顧客は新たに設定されたキーを用いて全てのサードパーティーサービスの統合について設定を更新しなければならなかった。

　JumpCloudは多次元ディレクトリ管理や、アイデンティティー管理とアクセス管理、多要素認証、シングルサインオン、さまざまなサードパーティーサービスとの統合を助けるソリューションを提供する。同社のクラウドディレクトリプラットフォームは、少なくとも160カ国で18万以上の組織が利用しているという（注3）。

攻撃手法はどのようなものだったのか

　同社によれば侵入開始から顧客情報への影響が確認されるまでには空白期間があり、攻撃者はJumpCloudのシステムに約2週間アクセスしていた。

　「今回の攻撃者は高度な能力を持ち、持続的に活動する。継続的な分析により、攻撃の手法が明らかになった。当社のコマンドフレームワークへのデータの挿入だった。これは標的型攻撃であり、特定の顧客に限定されていることも確認できた」（ファン氏）

　JumpCloudは、悪意のある活動に対する顧客の追跡を支援するために、すでに明らかになっている攻撃の兆候を公開した（注4）。

出典：Cyberattack compromised JumpCloud customer environments（Cybersecurity Dive）

注1：[Security Update] Incident Details（jumpcloud）

注2：JumpCloud abruptly initiates mass API key reset（Cybersecurity Dive）

注3：The People Behind the Connections（jumpcloud）

注4：July 2023 Incident Indicators of Compromise (IoCs)（jumpcloud）