概要
人気のVPNサービスであるNordVPNは、内部のSalesforce開発サーバーが侵害されたとの主張を強く否定しました。同社は、サイバー犯罪者が取得したのは、サードパーティの自動テストプラットフォームにおけるトライアルアカウントからの「ダミーデータ」に過ぎないと説明しています。
攻撃者の主張
この否定声明は、週末に開催されたハッキングフォーラムで、「1011」と名乗る脅威アクターが発した主張に応じたものです。攻撃者は、NordVPNの開発サーバーに対するブルートフォース攻撃により、SalesforceのAPIキーやJiraトークンなどの機密情報を含む10以上のデータベースを盗んだと主張していました。脅威アクターは「本日、NordVPN開発サーバーから10以上のDBソースコードをリークする。この情報は、誤って設定されたNordVPNサーバーへのブルートフォース攻撃により取得されたもので、SalesforceとJiraの情報が保存されていた。漏洩した情報:Salesforce APIキー、Jiraトークンなど」と述べていました。
NordVPNの反論
しかし、NordVPNは本日、これは実際には数ヶ月前に展開された一時的なテスト環境から盗まれたテストデータであると明らかにしました。このテスト環境は、自動テストのための潜在的なベンダーのトライアルテスト中に使用されたものです。リトアニアのVPNサービスプロバイダーであるNordVPNは、このテスト環境は同社のインフラストラクチャとは一切接続されておらず、盗まれたデータには機密性の高い顧客情報や事業情報が含まれていないと付け加えました。
NordVPNは次のように説明しています。「リークされた要素、例えば特定のAPIテーブルやデータベーススキーマは、機能チェックに使用されたダミーデータのみを含む、孤立したサードパーティのテスト環境の成果物でしかありえません。ダンプ内のデータにNordVPNを指し示すものは何もないものの、我々は追加情報を得るためにベンダーに連絡を取りました。」
「これは予備的なテストであり、契約が締結されることはありませんでした。そのため、実際の顧客データ、製品のソースコード、または有効な機密資格情報がこの環境にアップロードされることはありませんでした。我々は最終的に別のベンダーを選択し、テストしたベンダーとは先に進みませんでした。問題の環境が当社の本番システムに接続されることは決してありませんでした。」
過去の事例と対応
今回は誤報であったものの、NordVPNは2019年にハッカーによってサーバーが侵害された経験があります。この際、TorGuardのサーバーも同様に被害に遭い、ハッカーは両社のウェブサーバーとVPN構成を保護するために使用されるプライベートキーを含む完全なルートアクセス権を獲得しました。2019年の事件を受けて、NordVPNはバグバウンティプログラムを導入し、「大規模な」サードパーティによるセキュリティ監査のために外部のサイバーセキュリティ専門家を雇いました。同社はまた、自社が独占的に所有する専用サーバーへの切り替えと、全5,100サーバーのインフラストラクチャをRAMサーバーにアップグレードする計画を発表しました。
結論
今回のNordVPNの情報漏洩疑惑は、最終的に「ダミーデータ」による誤報と判明しました。これは、企業のテスト環境管理の重要性を浮き彫りにするとともに、サイバーセキュリティ対策の継続的な強化が不可欠であることを改めて示しています。