レクシスネクシスがデータ漏洩、2.04GBのデータが盗まれたと主張
セキュリティハッカー団体FulcrumSecは、レクシスネクシスがデータ漏洩に見舞われたと主張しています。この漏洩により、2.04GBの構造化データが盗まれたとされています。
初期アクセスと攻撃の経緯
FulcrumSecは、2026年2月24日にレクシスネクシスのネットワークに初期アクセスを獲得したと主張しています。彼らは、未修正のReactフロントエンドアプリケーションのReact2Shell脆弱性を悪用してアクセスを獲得したと述べています。
攻撃の詳細
攻撃者は、AWS Elastic Container Service (ECS) タスクコンテナであるLawfirmsStoreECSTaskRoleを乗っ取りました。このコンテナには、レクシスネクシスのAWS環境全体に対する広範な読み取りアクセス権限が付与されていました。これにより、攻撃者は生産用Redshiftデータウェアハウス、17のVPCデータベース、AWS Secrets Manager、およびQualtrics調査プラットフォームにアクセスしたとされています。
セキュリティの問題点
FulcrumSecは、レクシスネクシスのセキュリティ慣行を批判し、RDSマスターパスワードが「Lexis1234」という弱いパスワードであることを指摘しました。また、単一のタスクロールがAWSアカウント内のすべてのシークレットに読み取りアクセス権限を持つことも問題視しています。
漏洩されたデータの範囲
攻撃者は、大量の機密情報を漏洩したと主張しています。以下に主なデータセットが挙げられます:
- データレコード:390万件
- Redshiftテーブル:536件
- VPCデータベーステーブル:430件以上
- クラウドユーザープロファイル:約40万件
- エンタープライズ顧客アカウント:21,042件
- AWS Secrets Managerシークレット:53件(平文)
- 従業員パスワードハッシュ:45件
- .govメールアドレスの所有者:118件
これらの漏洩により、連邦裁判官、連邦裁判所の法務事務官、米国司法省の弁護士、および米国証券取引委員会(SEC)のスタッフのアカウントが危険にさらされている可能性があります。
過去の事件との関連性
この新しい漏洩は、2024年12月のGitHubでの過去の漏洩とは関係ありません。その事件では、個人情報が364,000人以上に漏洩し、社会保険番号も含まれていました。
結論
この新しい漏洩は、世界で最も重要な法律データの一つであるレクシスネクシスのセキュリティに深刻な懸念を投げかけます。