Researchers discover sensitive corporate data on decommissioned routers
2023/04/19 HelpNetSecurity — ESET の調査により、廃棄され二次市場で販売されたルーターの設定データの 56% に、企業の機密データが含まれていることが判明した。この調査のリーダーである ESET のセキュリティ研究者である Cameron Camp は、「今回の調査結果がもたらす潜在的な影響は、極めて懸念すべきものであり、警鐘を鳴らすべきものだ」と述べている。
完全なコンフィグレーション・データが入手できたネットワークには、下記のようなデータが含まれていた:
- 22%:顧客データ
- 33%:第三者によるネットワークへの接続を許可してデータを公開
- 44%:信頼できる当事者として、他のネットワークに接続する認証情報
- 89%:特定のアプリケーションのための接続詳細の列挙
- 89%:ルーター間の認証キー
- 100%:IPsec/VPN の認証情報/ハッシュ化されたルート・パスワードなど
- 100%:元のオーナー/オペレーターの確実な特定に十分なデータ
Camp は、「中小企業や大企業であれば、廃棄するデバイスのセキュリティ対策は万全であると思われるが、逆であることが判明した。我々が流通市場から入手したデバイスの大半は、関係する企業の、コアネットワーク情報/アプリケーション・データ/企業認証情報/パートナー/ベンダー/顧客に関する情報などの、デジタル・ブループリントが含まれていた」と述べている。
デジタル機器の安全な破壊/リサイクル/機器に含まれるデータの廃棄などを請け負うサードパーティ企業を通じて、古いデバイスをリサイクルすることは、あらゆる組織おいてよくあることだ。
電子廃棄物処理企業のミスか、企業独自の廃棄プロセスの問題かは別として、ルーターからは以下のような各種データが検出された。
サードパーティ・データ
実際のサイバー攻撃で見られるように、ある企業のネットワークが侵害されると、その企業の顧客/パートナー/関連企業などにも拡散する可能性がある。
信頼できる第三者
信頼できる第三者は、これらのデバイスにある証明書や暗号トークンを承認するため、二次攻撃のベクトルとして成りすましに悪用できる。したがって、信頼できる認証情報を悪用する、非常に巧妙な中間者 (AitM:Adversary in the Middle) 攻撃などを仕掛けられる恐れが生じる。それにより攻撃者は、被害者に長期間気づかれないまま、企業秘密を盗み出すことが可能になる。
顧客データ
場合によっては、コアルーターは、その所有者の顧客に関する特定の情報を持つ、内部/外部の情報ストレージを指し、時にはオンプレミスに保存されることもある。そのため、攻撃者が顧客に関する特定の情報を得た場合に、顧客が潜在的なセキュリティ問題にさらされる可能性がある。
特定のアプリケーション
ローカル・ホスト/クラウドの両方で、特定の組織が使用する主要なアプリケーション・プラットフォームの完全なマップが、それらのデバイスのコンフィグレーションに散在していた。それらのアプリケーションとは、企業のEメール/顧客の信頼できるクライアント・トンネル/販売・顧客のプラットフォームなどに加えて、近接アクセス・トポロジー/監視カメラネットワークのベンダーなどの物理的セキュリティ・ベンダーなどを含む多岐に渡るものだ。
さらに、ESET の研究者たちは、これらのアプリケーションが、どのポートで、どのホストから通信され、どのホストを信頼する/信頼してないかも突き止めた。アプリケーションの粒度が細かく、場合によっては特定のバージョンが使用されているため、すでに攻撃者がマッピングしているであろうネットワーク・トポロジー全体で、既知の脆弱性の悪用が可能だったとしている。
広範なコア・ルーティング情報
ESET は、コアネットワークのルートから BGP ピアリング/OSPF/RIP に至るまでの、さまざまな組織の内部構造の完全なレイアウトを発見し、デバイスが敵の手に渡った後の悪用につながる、広範なネットワーク・トポロジー情報を入手した。
また、回収されたコンフィグレーションには、多くのリモート・オフィス/オペレーターの近隣・海外の所在地/本社との関係なども含まれており、潜在的な攻撃者にとって、きわめて価値のあるデータとなっている。
IPsec トンネリングは、信頼できるルーター同士を接続するために使用され、WAN ルーターのピアリング・アレンジメントなどの構成要素となり得る。
信頼できる廃棄オペレーター
これらのデバイスには、管理者ログイン/VPN 情報/暗号キーなどの、クラッキング可能な、あるいは、そのまま再利用が可能な、企業認証情報がロードされている。そのため、攻撃者がシームレスに信頼できるエンティティになり、ネットワーク全体にアクセスすることができるようになっていた。
ESET の Chief Security Evangelist である Tony Anscombe は、「ハードウェアを適切に廃棄するためのプロセスは十分に文書化されている。しかし今回の調査では、多くの企業がデバイスを二次的ハードウェア市場に出す際に、そのプロセスに厳格に従わないことが判明した」と述べている。
さらに Anscombe は、「脆弱性の悪用やスピアフィッシングによる認証情報の取得は、潜在的に困難な作業だ。しかし我々の研究では、もっと簡単な方法で、それらのデータを入手できることが分かった。デバイスの廃棄/データ破壊/再販に関わる組織には、自分たちのプロセスを精査して、メディアのサニタイズに関する最新の NIST 標準に準拠していることを確認するよう強く求める」と付け加えている。
ESET が調査を行ったルーターは、中小企業からグローバル企業に至るまでの、さまざまな組織で使用されていたものだ。その業種は多岐にわたり、データセンター/法律事務所/サードパーティ技術プロバイダー/製造・技術企業/クリエイティブ企業/ソフトウェア開発者などが含まれる。
同社は調査プロセスの一環として、有名企業を含む特定された各組織に対して、ESET は可能な限り調査結果を公表した。そして、デバイスの管理の過程で、他者により侵害された可能性のある詳細情報を、確実に把握できるようにしたという。
情報を漏洩させた組織の中には、この出来事を本格的なセキュリティ侵害として処理するところもあれば、ESET が連絡を何度も試みても無反応なところもあったという。
それぞれの組織は、デバイスの廃棄において、信頼できる有能な第三者を利用する必要がある。また、廃棄を自ら行う場合は、必要とされる全ての予防措置を講じているかどうかを確認する必要がある。
この原則は、ルーターやハードディスクだけでなく、ネットワークを構成する、あらゆるデバイスに適用されるべきものだ。今回の調査では、信頼できるベンダーと契約しているつもりでも、データが流出してしまったという企業が多かったようだ。
このことから、対象となるデバイスが物理的に社外に出る前に、製造元のガイドラインに従って、全てのデータを削除することを推奨する。
また、組織は、開示通知を真摯に受け止めることが重要だ。そうでなければ、高いコストのデータ侵害や、大きな風評被害が発生する可能性がある。
デバイスの廃棄って、ほんとうに面倒な作業ですが、それを怠ると、こうなりますという、ESET の親切なレポートですね。それにしても、せっかく教えてもらったのに、知らんぷりの企業というのは、どういうことなのでしょうか。ひょっとして、マズイと思った担当者がということかもしれませんが、他者にも迷惑をかけますよね。ちょっと似ている記事として、よろしければ 2023/03/09 の「米政府職員のセキュリティ意識:20% が雇用主へのハッキングに無関心だと回答」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.