6月28~7月1日:サイバーセキュリティ関連ニュース
Polyfillのドメインが停止 所有者は悪質な活動の報告に反論
人気JavaScriptライブラリ「Polyfill.io」のドメインを、ドメインレジストラのNamecheapが停止。これは、同ライブラリが「サプライチェーン攻撃に使われている」などの報告が上がったことを受けての措置だが、ドメイン所有者である中国企業は悪意ある活動への関与を否定しているという。
今年2月に中国企業Funnellがドメインを購入し、元のプロジェクト開発者によってサービスの正当性について疑問を投げかけられていたPolyfill.io。その後実際に複数の問題が報告されており、「cdn.polyfill.io」内のコードを使ったWebサイトに訪問するとスポーツ賭博のサイトやアダルトサイトに誘導されたり、問題のコードにさまざまな検知回避テクニックが施されていることを示すものが見つかったりしていた。
これに対してGoogleが悪質なリダイレクトについて広告主に報告したり、Namecheapがこのドメインを停止したりするなど、業界のさまざまな企業がこの問題に対応している。Cloudflareもその中の1つで、同社は、サプライチェーン攻撃のリスクを軽減するために、Polyfill.ioサービスの独自のミラーを設定するなどした。
一方、Funnullはサプライチェーンのリスクはないとした上で、こういった報告は誹謗中傷および悪質な名誉毀損以外の何物でもないと反論。Cloudflareの対応にはうんざりしているとし、今後Cloudflareを上回る製品を開発することに全力を注ぐと述べている。
ロシアのAPT29が社内ITシステムに侵入か TeamViewerが発表
ソフトウェア企業のTeamViewerが、同社の社内IT環境がロシアの有名ハッキンググループによって侵害されていたことを認めた。
同社は先月26日、何者かが同社のIT環境に侵入したことを確認。その後28日に更新された声明の中で、この侵害はロシアグループAPT29(別名Cozy Bear、BlueBravo、Midnight Blizzard)によるものだった旨を明かしている。30日には、このグループが従業員の侵害されたアカウントを利用し、名前や企業の連絡先など従業員のディレクトリデータをコピーしたことが判明しており、社内IT環境に入るための従業員用パスワードも暗号化したことが確認された。
なお、影響を受けたのは社内IT環境のみで、製品環境や接続プラットフォーム、顧客データはハッカーによるアクセスを受けていないという。これについて同社は、不正アクセスや異なる環境間におけるラテラルムーブメントを防ぐためにあらゆるサーバー、ネットワーク、アカウントを分離していたことが功を奏した点を強調している。調査は今後も続くようだ。
APT29はロシアの対外情報庁(SVR)に属しているとされるグループで、2016年に米民主党全国委員会、2020年にSolarWindsへの攻撃を行うなど、過去10年にわたって重大なハッキング事例にいくつか関与してきた。最近では同グループによって、マイクロソフトやドイツの政党をターゲットにした攻撃が行われた。