JumpCloud Confirms Data Breach By Nation-State Actor
2023/07/18 InfoSecurity — ID およびアクセス管理のソリューション・プロバイダーである JumpCloud は、国家を標的とする脅威アクターによる、セキュリティ侵害の標的になったことを、2023年7月12日に明らかにした。この侵害は 6月27日に、社内のオーケストレーション・システムで異常なアクティビティが検出されたことで明らかになった。このインシデントは、6月22日に脅威アクターが開始したスピア・フィッシング・キャンペーンにより、JumpCloud インフラの特定のセクションに不正アクセスは発生したというものだ。
サイバー・セキュリティ企業 Coro の共同設立者である Dror Liwer は、「自動化されたツールを使用することで、滞留時間が大幅に短縮される。攻撃者が自動化ツールと AI を用いて侵入経路をカモフラージュし、影響を受けたプラットフォーム内で横方向に移動することで、侵入を特定し、封じ込め、修復するための競争は悪化する」と述べている。
その後において、顧客への影響を示す証拠は見つからなかったが、JumpCloud は認証情報のローテーション/インフラの再構築/ネットワークと境界の強化により、セキュリティ対策を積極的に強化した。
7月5日の時点で、一部の顧客グループのコマンド・フレームワークに異常な動きが発見され、顧客データが漏洩したことが判明し、事態は深刻化した。それを受けて JumpCloud は、すべての管理者 API キーを強制的にローテーションさせ、影響を受ける顧客に直ちに通知したという。
KnowBe4 の Security Awareness Advocate である Erich Kron は、「技術的に高度な組織やソフトウェアに精通した組織であっても、注意を怠ればフィッシングなどの単純な被害に遭う可能性がある。どのような規模の組織であれ、またどのような業界であれ、従業員が適切なセキュリティの衛生と行動を学ぶことができるよう、適切に訓練された従業員/質の高い教育/確実なトレーニング・プログラムを実施する必要がある」とコメントしている。
インシデント対応パートナーおよび、法執行機関と実施したフォレンジック調査の結果として、攻撃ベクターはコマンド・フレームワークへのデータ注入であることが特定された。JumpCloud は、今回の侵害が高度に標的化されたものであり、また、特定の顧客に限定されたものであると強調している。
JumpCloud は、このような高度な脅威に対する集団的防御を促進するために、キャンペーン中に観察された IoC (Indicators of Compromise) リストも公開している。
同社は、「高度な能力を持つ、洗練された持続的な敵対者である。私たちの最強の防御線は、情報の共有と協力だ。したがって、このインシデントの詳細を共有し、この脅威からパートナーの環境を守ることが重要だ」と述べている。
まず JumpCloud ですが、Qiita に紹介記事があり、「Directory-as-a-Serviceであり、SSO を SaaS で提供している」を説明されています。このようなサービスが、高度な能力を持つ、洗練された持続的な敵対者に侵害されたとのことで、今後が不安になります。最新の情報では、北朝鮮の APT が関与しているようです。その記事も、後日に掲載します。
IoT OT Security News 
You must be logged in to post a comment.