GoDaddy: Hackers stole source code, installed malware in multi-year breach
2023/02/17 BleepingComputer — Web ホスティング大手の GoDaddy の発表は、数年にわたる攻撃により cPanel 共有ホスティング環境が侵害され、未知の攻撃者にソースコードを盗み出され、サーバにマルウェアをインストールされるという侵害に遭ったというものだ。GoDaddy がセキュリティ侵害を発見したのは、自社のサイトがランダムなドメインへのリダイレクトに利用されているという、顧客からの報告を受けた 2022年12月上旬のことだった。しかし攻撃者の不正アクセスは、その数年前から発生していたという。
SEC (Securities and Exchange Commission) へ提出した書類で GoDaddy は、「これらのインシデントにより、特に当社のシステムにマルウェアがインストールされ、GoDaddy 内の複数のサービスに関連するコードの一部が窃取された。当社の調査結果に基づき、高度な脅威アクターのグループによる、複数年にわたるキャンペーンの一部であると考えている」と述べている。
同社は、2021年11月と 2020年3月に公表された侵害も、この複数年にわたるキャンペーンに関連していると見ている。
2021年11月のインシデントでは、攻撃者が漏洩したパスワードを使用して GoDaddy の WordPress ホスティング環境に侵入し、120万人の Managed WordPress 顧客に影響が及ぶデータ侵害が発生した。
攻撃者は、影響を受けた全ての顧客の電子メールアドレス/WordPress 管理者パスワード/sFTP およびデータベース認証情報/アクティブなクライアントのサブセットの SSL 秘密鍵などにアクセスできたという。
2020年3月のインシデントが発生した際に、GoDaddy は、攻撃者が 2019年10月に Web ホスティング・アカウントの認証情報を使用して、SSH 経由でホスティング・アカウントに接続していたことが発覚したと 28,000人の顧客に対して警告している。
GoDaddy は現在、侵害の根本原因に関する継続的な調査の一環として、外部のサイバーセキュリティ・フォレンジック専門家や、世界各地の法執行機関と連携している。
他のホスティング企業を標的とした攻撃への影響
この脅威アクターは長年にわたって、世界中のホスティング企業を標的とした広範なキャンペーンに関与してきたという。GoDaddy は、その証拠も発見したと述べている。
GoDaddy は声明で、「我々は、このインシデントが GoDaddy のようなホスティング・サービスを標的とした、高度で組織化されたグループにより実行されたという証拠を掴んでおり、そのことを法執行機関も確認している。我々が得た情報によると、脅威アクターの明らかな目的は、フィッシング・キャンペーン/マルウェアの配布などの悪意の活動などのために、Web サイトやサーバをマルウェアに感染させることだ」と述べている。
GoDaddy は、最大級のドメイン・レジストラであり、世界中の 2,000万人以上の顧客に対してホスティング・サービスも提供している。BleepingComputer は、今日未明に GoDaddy の広報担当者に問い合わせたが、返答は得られていない。
かなり深刻そうな、GoDaddy で発生しているインシデントです。2023/01/25 の「WordPress サイト 4,500 以上でハッキングが発生:ビジターを悪意の広告ページへ誘導」では、GoDaddy への侵害とは明言されていませんが、なんらかの問題があるのだろうと推測されます。GoDaddy に関連する記事は、以下のとおりです。
2022/03/16:GoDaddy ホストの WordPress にバックドア
2021/11/22:GoDaddy の 120万人分のデータ侵害
IoT OT Security News 
You must be logged in to post a comment.