AnyDesk、ハッカーによる本番システムへの不正アクセス公表
(情報源:BleepingComputer、Resecurity)
AnyDeskは2月2日、同社の本番システムにハッカーがアクセスするというサイバーインシデントの発生を公表。同社は攻撃の中でデータが盗まれたかどうかは明かさなかったものの、BleepingComputerは「脅威アクターがソースコードとコード署名証明書を盗んだことを伝え聞いた」と述べている。
またこれとは別に、Resecurityは3日、複数の脅威アクターがサイバー犯罪フォーラムでAnyDeskの漏洩認証情報とされるものを売りに出しているのを確認。そのうち、「Jobaaaaa」と名乗るアクターは18,000件超の認証情報を販売すると主張していたという。これらはインフォスティーラー(情報窃取型マルウェア)によって盗まれた情報だとみられている。
AnyDeskシステムの侵害
AnyDeskが2日に公開した通知によれば、同社はシステムの一部にインシデントの兆候があったことを受けてセキュリティ監査を実施。すると、本番システムが侵害されているのが見つかったという。同社は、その後すぐに実施された緩和策が功を奏したと述べており、「状況は制御下にあり、AnyDeskが安全に使用できる状態にあることを保証できる」としている。また今回のインシデントにランサムウェアは関与していないことも明かしたが、攻撃の詳細については開示していない。
AnyDeskによる措置
本インシデントを受けてAnyDeskが実施した、または今後実施予定とされる措置は以下:
・セキュリティに関わるすべての証明書を無効化(済み)
・必要に応じてシステムを修復または交換(済み)
・同社バイナリのこれまでのコード署名証明書を新たなものに置き換え(実施中)、その後無効化予定
・Webポータル(my.anydesk.com)用のすべてのパスワードを無効化(実施中)
利用者の推奨事項
AnyDeskは利用者に対し、上記Webポータルのパスワードを他の場所でも使い回している場合にはこれを変更するよう推奨しているほか、新たなコード署名証明書が用いられている最新バージョン(8.0.8)を利用するよう求めた。なお同社は、「現在までに、エンドユーザーのデバイスが影響を受けたという証拠は得られていない」と述べている。
攻撃発生時期は不明も、1月29日からメンテナンス実施
AnyDeskは侵害がいつ発生したかを明かしていないものの、AnyDeskでは1月29日から4日間にわたって障害が発生していたとセキュリティ研究者のBorn氏が報告。この間、同社はmy.anydesk IIのメンテナンスを実施しており、AnyDeskクライアントへのログインができない状態になっていた。1日にこの状態は解消されたが、その後AnyDeskはBleepingComputerに対し、このメンテナンスが今回のサイバーセキュリティインシデントに関連したものであったことを認めたという。
ダークウェブではAnyDeskの漏洩認証18,000件超が売りに出される
セキュリティ企業Resecurityは、2月3日にサイバー犯罪フォーラムでAnyDeskの漏洩認証情報とされるものを売りに出している脅威アクターを複数特定したと伝えている。このうち「Jobaaaaa」というエイリアスを用いるアクターは、ダークウェブフォーラム「Exploit」で18,317件の認証情報を15,000ドル(仮想通貨払い)で販売していたという。
ただ、これらは上記のインシデントで漏洩したものというわけではなく、インフォスティーラーで盗まれた情報であるものと考えられている。Resecurityは、この仮説が正しい場合、リスク緩和のためにはAnyDeskの全顧客に対して適宜パスワードをリセットさせるルールを作ることが必要になるとの見方を示した。また、AnyDeskの漏洩認証情報が商品として出回り、悪意あるアクターがこれを利用してAnyDeskポータルにアクセスできるかもしれないという状況は、より破壊力の強いサプライチェーン攻撃へと発展し得るとも指摘している。同社はさらに利用者に対し、自組織への影響の有無についてAnyDeskへ問い合わせること、AnyDesk提供のホワイトリスト機能を活用すること、また多要素認証の導入など追加のセキュリティ対策を実施することを推奨している。
2月2~4日: その他のサイバーセキュリティ関連ニュース
Mastodonの脆弱性によりハッカーらがあらゆる分散型アカウントを乗っ取る可能性(CVE-2024-23832)
The Hacker News – Feb 03, 2024
分散型ソーシャルネットワークMastodonが重大なセキュリティ上の欠陥を公表した。この脆弱性CVE-2024-23832は、「オリジン検証エラー」(CWE-346)と説明されており、深刻度は10段階中9.4。同脆弱性を悪用することで、攻撃者はあらゆるリモートのアカウントのなりすまし・乗っ取りができるようになるという。
この脆弱性の影響を受けるのは、Mastodonの3.5.17より前の全バージョン、4.0.13より前の4.0.xバージョン、4.1.13より前の4.1.xバージョン、4.2.5より前の4.2.xバージョンとのこと。
Mastodonは、管理者が各サーバーインスタンスをアップデートして脆弱性の悪用を防ぐのに十分な時間を設けるため、2024年2月15日までこの脆弱性に関するさらなる技術的詳細の提供を控えると述べた。