ホスティングサービスの「防壁」 サイバー攻撃者はどう潜り抜けたのか？

2000万人が利用するWebホスティング企業がサイバー攻撃を受けた。防御が厳しいはずの企業がなぜ被害を受けたのか。

[Matt Kapko，Cybersecurity Dive]

　2022年末時点で2090万人の顧客を擁するWebホスティング企業がマルウェアによるサイバー攻撃を受けた。結果はどうなったのだろうか。

Webホスティング会社がやられたサイバー攻撃の手口とは？

　攻撃を受けたのはドメインレジストラであり、Webホスティングサービスを提供するGoDaddyだ。

　同社は2022年12月初旬から断続的にWebサイトがリダイレクトされるという顧客の苦情を受けた。調査の結果、cPanel共有ホスティングサーバへの不正アクセスが見つかった。cPanelとはWebサイトやサーバの管理を簡素化するためのコントロールパネルとして使用されるLinuxベースのダッシュボードだ。

　2023年2月16日に同社が米証券取引委員会に提出した書類によると（注1）、攻撃者は同社のサービスの一部に関連するコードを盗み、同社のシステムにマルウェアをインストールした。

　「侵入があったことを確認した後に状況を改善して、今後の感染を防ぐためにセキュリティ対策を実施した」と、同社は2023年2月16日に発表した声明の中で記した（注2）。

　インシデントの根本的な原因に関する調査は現在進行中だ。

　「これらのインシデントは当社のシステムにマルウェアをインストールして、幾つかのサービスに関連するコードの断片を取得した洗練された攻撃者グループによる複数年にわたるキャンペーンの一部だと考えている」（同社）

複数年にわたるキャンペーンとは

　同社は過去数年間に幾つかの侵害を受けたことを公表た。

（1）2020年3月、攻撃者が約2万8000人のホスティング顧客のホスティングログイン認証情報と一部の従業員のログイン認証情報を漏えいさせた。

（2）2021年11月、データ侵害により、最大120万人の管理対象の「WordPress」ユーザーの電子メールと顧客番号が流出した（注3）。インシデントの一部として漏えいしたパスワードは不正に使用され、その結果、同社のレガシーコードベースのプロビジョニングシステムが不正アクセスされた。

　どれだけの潜在顧客が影響を受けたのか、また最新の侵害の結果としてどのような種類のデータが漏えいする可能性があるのかについて、同社は何も公表していない。

　その代わり、犯罪組織の行動を監視して、さらなるアクセスを得ようとする試みを阻止し続けるため、フォレンジックの専門家と法執行機関が調査を支援していると述べた。

　「この事件は当社のようなWebホスティングサービスを標的とする洗練された組織的なグループによって実行されたという証拠があり、法執行機関も確認済だ」（同社）

　同社によると、攻撃者グループの目的は、フィッシングキャンペーンやマルウェアの配布、その他の悪意のある活動のために、Webサイトやサーバをマルウェアに感染させることだ。

　同社はこれ以上の質問への回答や追加情報の共有を拒否した。

　Webホスティング企業が攻撃を受けると、ユーザーの個人情報が漏えいすることは避けられないと言えるだろう。特に何年にもわたって入念に準備された攻撃があればなおさらだ。

出典：GoDaddy source code stolen as part of a multiyear campaign（Cybersecurity Dive）

注1：UNITED STATES SECURITIES AND EXCHANGE COMMISSION Washington, D.C. 20549

注2：Statement on recent website redirect issues

注3：GoDaddy breach raises questions about how to secure identity in the enterprise （Cybersecurity Dive）