HPE が認めた Aruba Central データ侵害はアクセスキーの窃取が入り口だった

HPE says hackers breached Aruba Central using stolen access key

2021/11/10 BleepingComputer — HPE は、同社のネットワーク監視プラットフォームである Aruba Central のデータリポジトリが侵害され、監視対象のデバイスと位置に関するデータに対する、脅威アクターによるアクセスを許してしまったことを公表した。Aruba Central は、管理者がシングル・ダッシュボードから、大規模なネットワークやコンポーネントを管理するためのクラウド・ネットワーキング・ソリューションである。

今日、HPE は、脅威アクターがアクセスキーを入手し、Aruba Central 環境に保存されている顧客データを閲覧できる状態にあったことを明らかにした。この脅威アクターは、2021年10月9日から10月27日までの間、言い換えれば HPE がキーを失効させるまでの18日間、自由にアクセスすることができていた。

公開されたリポジトリには2つのデータセットが含まれているが、そのうちの1つはネットワーク分析用であり、もう1つはAruba Central のコントラクト・トレーシング機能用である。

Aruba Central の FAQ には、「ネットワーク分析のデータセットには、顧客のネットワークに接続されている Wi-Fi クライアント・デバイスに関する、Aruba Central ネットワーク・テレメトリ・データが含まれていた。コントラクト・トレーシングのデータセットには、Wi-Fi クライアント・デバイス間の距離などを示す、位置情報データが含まれていた」と、このセキュリティ・インシデントについて説明している。

これらのリポジトリで公開されている、ネットワーク分析データセットに含まれるのは、MAC アドレス/IP アドレス/OS 名/ホスト名などであり、認証済みの Wi-Fi ネットワークでは個人のユーザー名が含まれていた。コントラクト・トレーシングのデータセットに含まれるのは、ユーザーが接続した日付/時間/Wi-Fi アクセスポイントなどであり、脅威アクターによるユーザーの居場所の追跡などが生じた可能性がある。

同社の FAQ には、「このデータ・リポジトリ には、日付/時刻/デバイスが接続された物理的な Wi-Fi アクセスポイントの記録も含まれている。それにより、ユーザーの居所について、大まかな周辺状況を把握することができていた。この環境には、(GDPR で定義されている) センシティブな個人データや、特別なカテゴリーの個人データは含まれていなかった」と記載されている。

HPE の FAQ に、バケットという言葉が複数回出てくることから、プラットフォームで使用されているストレージ・バケットのアクセスキーを、脅威アクターが入手した可能性が高いと考えられる。

侵害に関する調査を行った結果、HPEは次のように結論づけた。

  • Aruba Central 環境の、ネットワーク分析およびコンタクト・トレーシング機能のデータは、30日ごとに自動的に削除されるため、環境内に 30日分以上のデータが保存されることはなかった。
  • この環境には個人データが含まれていたが、機密性の高い個人データは含まれていなかった。 ここで言う個人データには、MAC アドレス/IP アドレス/OS 名/ホスト名および、一部のユーザー名が含まれる。コンタクト・トレース・データには、ユーザーのアクセス・ポイント (AP) 名/近接度/対象 AP への接続時間も含まれていた。
  • アクセス・パターンおよびトラフィック・パターンの広範な分析結果から、顧客の個人情報がアクセスされた可能性は極めて低いと考えられる。
  • セキュリティ上重要な情報は漏洩していないため、パスワードの変更/キーの変更/ネットワーク構成の変更などの必要はないと考えられる。

    HPE は、今後におけるインシデントを防ぐために、アクセスキーの保護と保存方法を変更するとしている。どのようにしてアクセスキーが盗まれたのか、HPE に問い合わせたところ、以下の声明が送られてきた。

    「当社では、どのようにして、脅威アクターがアクセスを得たのかを認識しており、今後の防止策を講じている。アクセス・トークンは、当社の内部システムに結びついていない。したがって、今回のインシデントにより、当社の内部システムは侵害されていない」 – HPE

HPE Aruba Central の Web ページには、「キャンパス/ブランチ/リモート/データセンター/IoT ネットワークの管理を、シングル・ダッシュボードで最適化する。AI を活用した洞察/ワークフローの自動化/堅牢なセキュリティを備えた、パワフルなクラウド・ネットワーキング・ソリューション」という説明が記されています。モニタリング機能を含むサービスやプロダクトは、システムの根幹へのアクセスが許されるため、ここが侵害されると、とても恐ろしいことになります。続報が待たれるインシデントですね。

%d bloggers like this: