ownCloudがユーザーにMFAの緊急有効化を要請
ファイル共有プラットフォームのownCloudは本日、ユーザーに対し、多要素認証(MFA)を直ちに有効にするよう警告しました。これは、情報窃取マルウェアによって漏洩した認証情報が悪用され、攻撃者がデータにアクセスするのを阻止するためです。
ownCloudは世界中で2億人以上のユーザーを抱え、欧州原子核研究機構、欧州委員会、ドイツのZFグループ、保険会社のSwiss Life、欧州投資銀行など、多数の企業や公共機関が利用しています。
攻撃の詳細:プラットフォームの脆弱性ではなく認証情報の悪用
この警告は、イスラエルのサイバーセキュリティ企業Hudson Rockの最近の報告を受けて発されました。同報告書によると、複数の組織が自己ホスト型ファイル共有プラットフォーム(一部のownCloud Community Editionインスタンスを含む)において、認証情報盗難攻撃により侵害されたとされています。
ownCloudは、「ownCloudプラットフォームがハッキングされたり侵害されたりしたわけではありません。Hudson Rockの報告書は、ゼロデイエクスプロイトやプラットフォームの脆弱性は関与していないことを明確に確認しています」と述べ、プラットフォーム自体の問題ではないことを強調しました。
同社によると、事件は異なる攻撃経路を辿りました。脅威アクターは、従業員のデバイスにインストールされたインフォスティーラーマルウェア(RedLine、Lumma、Vidarなど)を介してユーザーの認証情報を入手。これらの認証情報は、多要素認証(MFA)が有効になっていないownCloudアカウントへのログインに悪用されたとのことです。
ownCloudからの推奨事項
ownCloudは、ユーザーに対し、将来の攻撃からデータを保護し、認証情報が侵害された場合でも不正アクセスを防ぐため、ownCloudインスタンスで直ちにMFAを有効にするよう強く推奨しています。さらに、以下の対策を講じることも推奨しています。
- すべてのユーザーパスワードをリセットする。
- すべてのアクティブセッションを無効にし、再認証を強制する。
- 不審なログインアクティビティがないかアクセスログをレビューする。
広がる情報窃取マルウェアの脅威
この警告は、脅威アクター「Zestix」が、ShareFile、Nextcloud、ownCloudのインスタンスから盗んだとされる企業データの販売を提案している中で出されました。Hudson Rockの1月5日の報告書では、攻撃者が従業員デバイスに感染したインフォスティーラーマルウェアを悪用して、企業ファイル共有サーバーへの初期アクセスを取得した可能性が示唆されています。
サイバー犯罪情報企業であるHudson Rockは、Deloitte、KPMG、Samsung、Honeywell、Walmart、米疾病対策センター(U.S. CDC)などの著名な組織のネットワークを含む数千台の感染コンピューターを特定しています。