「Confluence」にデータが侵害される重大な脆弱性　すぐに修正版の適用を

Microsoftは情報共有ツール「Confluence」に対するサイバー攻撃が2023年9月14日に始まったと報告した。攻撃は続いており、すぐにも修正版にアップグレードしなければならない。

[David Jones，Cybersecurity Dive] PC用表示関連情報

LINE

Hatena

　Atlassianが提供する情報共有ツール「Confluence」（コンフルエンス）に対するサイバー攻撃が2023年9月14日から続いている（注1、注2）。

すぐにも対応が必要

　Microsoftは「脆弱（ぜいじゃく）性が残っているConfluenceのアプリケーションを使用している組織は、直ちに修正版にアップグレードする必要がある」と警告した。アップグレードが完了するまでは、ユーザーはインターネットに接続すべきではない。

　Microsoftの脅威インテリジェンスによると、中国と関連する攻撃者「Storm-0062」が、Confluenceのアクセス制御の脆弱（ぜいじゃく）性を悪用して、継続的に攻撃を続けている（注1）。この脆弱性のCVSSスコアは10.0と高い。

　脆弱性「CVE-2023-22515」が悪用されると、攻撃者がリモートで管理者アカウントを作成でき（注2）、Confluenceのインスタンスにアクセス可能になる。実際に「Confluence Server」や「Confluence Data Center」の一部の顧客がこの攻撃を確認した。

　Atlassianは2023年10月4日にこの脆弱性について顧客に警告し（注4）、Microsoftや他の専門家と協力して状況に対応している。

　「当社の優先事項は顧客のインスタンスのセキュリティであり、Microsoftなどの業界をリードする脅威インテリジェンスパートナーと連携して、脆弱性への対応に関連して顧客を支援するための追加情報を入手した」（Atlassianの広報担当者）

　サイバーセキュリティ事業を営むImpervaの研究者によると、Atlassianがこの脆弱性について最初に警告を発して以来、少なくとも35万件の悪用が確認されたという（注5）。これらの攻撃は主に米国とドイツのIPアドレスから発信され、米国のIT企業や金融サービス企業を標的にしていた。

　サイバーセキュリティ事業を営むRapid7の研究者によると、彼らの顧客に対する直接的な攻撃は確認されていないものの、脆弱性を利用して（注6）攻撃者がConfluenceアプリケーションの設定を広範囲に変更できることを確認したという。

　Rapid7のスティーブン・フューアー氏（主任セキュリティ研究者）は次のように述べた。

　「当社が確認したもの以外にも悪用可能なエンドポイントや攻撃経路が存在する可能性が高い。攻撃者の活動は、単にConfluenceの新しい管理者アカウントの作成にとどまらない可能性が高いと私たちは考えている」

　「Storm-0062」は「DarkShadow」または「Oro0lxy」という名前で他の研究者から追跡されている。

　司法省は2020年に、広東省国家安全局と連携していたとされる攻撃者Li Xiaoyu氏を起訴した。起訴状によると、Li氏はオンラインでOro0lxyという名前を使用していた。

　起訴状によると、Storm-0062は10年以上にわたって米国や日本、欧州全域の企業を標的とした国際的な攻撃キャンペーンに加わっていた（注7）。キャンペーン期間中、攻撃者たちは製造業界や製薬業界、土木工学および産業工学の業界、ゲーム業界などのさまざまな業界を狙った。

　攻撃者たちは「盗んだソースコードを公開する」と脅して、被害者から暗号通貨をゆすり取ろうとした。Storm-0062は、「Covid-19」のワクチンを開発している企業の脆弱性も探していた。

　Microsoftの広報担当者は「Xに掲載された初期の警告以外に付け加えることはない」と述べた。FBI当局もコメントを控えた。