3CX のデータ漏洩:Elasticsearch/Kibana のオープンなインスタンスが原因だったのか?

3CX data exposed, third-party to blame

2023/06/20 SecurityAffairs — サイバー攻撃の被害者を嘲笑うべきではないが、「初めて騙されたのなら相手が悪いが、続けて騙されたのなら自分が悪い」という言葉が、昔から繰り返して使われてきたのには、なんらかの理由があるのだろう。2023年の初めに、北朝鮮のハッカーと思われる人物が 3CX にサプライチェーン攻撃を仕掛け、同社のソフトウェアを使用してデバイス上にマルウェアをばらまいた。

このようなデータ侵害の経験があるにもかかわらず、最近になって、3CX のサードパーティー・ベンダーが所有する Elasticsearch (分散型検索/分析エンジン) と Kibana (データ可視化/探索ツール) のオープンなインスタンスが、Cybernews の研究チームにより発見された。それらのインスタンスは、3CX の機密データを含んでいるのだが、発見されたのは、最初の攻撃が公になってから約 2ヶ月後の 5月15日だったという。


Cybernews の研究者たちは、「そこから示唆されるのは、3CX サイバー攻撃への対処方法が不十分であることだ。その一方で、熟練した攻撃者は、それらのデータを使って 、3CX のネットワークに再び侵入できる」と述べている。

我々は 3CX にコメントを求めたが、この記事を掲載する前には返答を得られなかった。

漏洩した 3CX のデータとは

オープンにされていたインスタンスには、攻撃者による 3CX へのクライアントへのスパイ活動や、より大規模で巧妙な攻撃の準備に悪用できる情報が含まれていた。

公開されたインスタンスは下記のとおりだ:

  • 時間/状態/通話時間/電話番号/Eメールなどの通話メタデータ
  • ライセンス・キー
  • エンコードされたデータベース文字列

攻撃者はコール・メタデータを活用することで、発信者の行動を詳細に把握できる。つまり、誰が誰に電話したのかと、どのくらいの時間を費やしていたのかが判明する。これらの追加情報により、通話中に話し合われていた内容も推測できる。

Cybernews の研究者たちは、「通話メタデータを分析することで、組織の内部情報や健全性までも明らかにできる。たとえば、散発的な通話が多い場合は、パニックを意味する可能性がある」と述べている。

その一方で、ソフトウェアのライセンスキーの漏洩は、別の問題を引き起こす。ライセンス・キーは正規のソフトウェアであることを保証するため、攻撃者は公開されたキーを使って、代金を支払うことなく 3CX のソフトウェアを使用できる。

場合によっては、ソフトウェアをアクティベートすることで、ユーザーのデバイス間でデータ同期が可能になる。この場合、攻撃者はソフトウェアをインストールし、正規のライセンスキーを使用するだけで、ユーザーデータにアクセスできてしまう。

しかし、同チームによれば、データベースの接続文字列を公開することが、最大の危険性をもたらすという。接続文字列は、プログラムがデータベースを見つけるための、一連の指示として機能する。一般的に、接続文字列は、データベースの場所/種類/アクセス方法をプログラムに伝える。

公開されたデータベース接続文字列は、いくつかの方法で悪用される可能性がある。たとえば、攻撃者は流出したデータを使って、許可なくリソースに接続し、そのリソース内に保存されているデータの読み取り/コピー/変更/削除を行うことができる。

3CX の安全対策

3CX が、連鎖的なサプライチェーン攻撃の犠牲となったのは、最近のことだ。サイバーセキュリティ企業である Mandiant の研究者たちは、攻撃者が最初にマルウェアを配布したのは、Trading Technologies のソフトウェア経由であり、それが 3CX のソフトウェアに影響を与えたと結論づけている。

3CX は、セキュリティ態勢を評価すべき状況にあったはずだが、暴露された Kibana と Elasticsearch インスタンスは水面下で生き続けていた。Mandiant のチームによると、暴露されたデータは、サプライチェーン攻撃が発生する数カ月前となる、2022年3月30日の時点からアクセス可能だったという。

興味深いことに、3CX は連鎖的なサプライチェーン攻撃に対処した後に、7段階のセキュリティ・アクションプランを発表し、ネットワークセキュリティの強化/ペンテストの実施/ネットワーク・オペレーションとセキュリティのための新しい部署の設置の必要性など、同様の漏えいを回避するための重要なステップについて議論していた。

Mandiant のチームは、「これらのステップを踏むことで、セキュリティ強化に貢献するだろうが、同社は依然として脆弱な状況にある。つまり、まだ効果が出ていないのか、徹底されていないのかの、どちらかだろう」と述べている。

3CX における事後対応が批判されていますが、このような状況では、仕方ないと思います。ただ、これは 3CX だけに言えることではなく、多くの企業において、把握されていないソフトウェア資産が、大量に存在するという問題でもあります。そして、3CX に関して言えば、まだまだ侵害が続きそうだということです。よろしければ、3CX で検索も、ご利用ください。