データ分析企業に自社データへのアクセスを許す サイバー攻撃を招く場合も

Webサイトや配信広告の分析のため、データ分析企業に自社データへのアクセスを許す場合は珍しくない。だが、必ずしも安全ではない場合がある。

[David Jones，Cybersecurity Dive]

　サイバー攻撃者は犯罪を成功させるため、まず攻撃対象のアイデンティティー情報を盗み出そうとする場合がある。

データ分析のために使うはずの情報が盗まれる

　自社が配信する情報の解析をデータ分析企業に依頼するケースは珍しくない。このデータが狙われる事件が起こった。どのような事件なのだろうか。

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2024年4月11日、データ分析企業Sisenseに対する侵害に対応中だと発表した（注1）。

　ニューヨークやテルアビブ、ロンドンにオフィスを構えるSisenseは、企業向けのビジネスインテリジェンスとデータ分析プラットフォームを世界中で提供している。CISAはSisenseの顧客に対し、攻撃によって漏れ出た可能性のある資格情報や機密情報をリセットするよう促した。攻撃者による悪用を防ぐためだ。

　CISAは「民間企業のパートナーと協力し、特に（電力やガス、鉄道、空港などの）重要インフラプロバイダーを標的にしたサプライチェーン攻撃を調査中だ」と述べた。

　CISAは攻撃の性質に関する詳細を提供しなかった。セキュリティ研究者は影響が広範囲に及ぶ可能性があると警告している。

　セキュリティジャーナリストのブライアン・クレブス氏によると（注2）、特定されていない攻撃者が、SisenseのGitLabのコードリポジトリにアクセスしたことから始まったようだ。このリポジトリには、同社の「Amazon Simple Storage Service」（Amazon S3）バケットにアクセスするための認証情報やトークンが含まれていたという。

何を狙った攻撃だったのか

　セキュリティアナリストたちは、この攻撃はアイデンティティー管理に関連するリスクの一例だと述べた。

　Gartnerのピーター・ファーストブルック氏（バイスプレジデント兼アナリスト）は次のように述べた。

　「注目すべき1つ目のポイントは、セキュリティインフラストラクチャとクラウドアプリケーションの構成が誤っていたことが侵害の主要な原因だった点だ。最高の製品を導入しているだけでは不十分であり、構成が正しいかどうかを継続的に監視する必要がある。2つ目のポイントは、アイデンティティーが攻撃されている点だ」

　セキュリティ研究者のマーク・ロジャース氏は（注3）、「X」（旧Twitter）で「Sisenseの重要な問題は、同社が顧客の機密データソースへのアクセスをこれまでも今も要求していることだ」と述べた。SisenseはJava Database Communityやセキュアシェルプロトコル、SaaSプラットフォームに直接アクセスできる権限を持っている。

　クレブス氏が伝えたところによると、Sisenseは2024年4月11日に顧客に対して、キーやトークン、その他の認証情報をリセットするよう指示し、被害を軽減する方法を示した。

　SaaSのリスクとコンプライアンスの領域でビジネスを営むスタートアップ企業のHyperproofは（注4）、2024年4月11日に発表した通知で「2024年3月末にSisenseとの関係を解消し、Sisenseのコードを自社から削除した」と述べた。Hyperproofによると、この決定は今回の侵害とは無関係だという。

　しかし、Hyperproofの関係者は「Sisenseにまだ残っているデータと一部重複が存在する可能性がある」と述べた。

出典：With Sisense compromise, the race begins to understand the impact（Cybersecurity Dive）
注1：Compromise of Sisense Customer Data（CISA）
注2：Why CISA is Warning CISOs About a Breach at Sisense（Krebs on Security）
注3：Marc Rogers（X）
注4：Sisense Data Breach Notice for Hyperproof Customers（Hyperproof）