D-Link confirms data breach after employee phishing attack
2023/10/17 BleepingComputer — 台湾のネットワーク機器メーカーである D-Link は、同社のネットワークにおけるデータ侵害で窃取されたデータが、10月の初めから BreachForums で売りに出されていることを発表した。この攻撃者は、D-Link の D-View ネットワーク管理ソフトウェアのソースコードと、同社の CEO/従業員/顧客などの個人情報にアクセスし、何百万ものエントリを盗んだと主張している。盗まれたデータには、氏名/電子メール/住所/電話番号/アカウント登録日/ユーザーの最終サインイン日などが含まれているという。
この脅威アクターは、2012〜2013年のタイムスタンプを持つ、45件の盗み出したレコード・サンプルを提示したが、BreachForums のユーザーからは、それらのデータが極めて古いようだとも指摘されている。この脅威アクターは、「私は台湾の D-Link の内部ネットワークに侵入し、300万件の顧客情報と、システムから抽出された D-View のソースコードを窃取した。これらの情報には、台湾の政府関係者や、会社の CEO/従業員のデータも含まれている」と主張している。このデータは、10月1日からハッキング・フォーラムで売りに出されており、顧客情報と D-View のソースコードに対して、$500 の対価が設定されている。
“test lab” システムから盗まれたデータ
D-Link によると、このセキュリティ侵害の原因は、同社の従業員がフィッシング攻撃の被害に遭い、攻撃者に対してネットワーク・アクセスを許したことにあるようだ。この情報漏えいを受けた同社は、影響を受けた可能性のあるサーバを直ちにシャットダウンし、調査中に使用された2つのユーザー・アカウントを除く、全てのユーザー・アカウントを無効にした。
そして、侵入が発生したことを確認した D-Link は、攻撃者が “test lab” という環境下で製品登録システムにアクセスし、2015年に耐用年数を迎えている旧式の D-View 6 システム上で活動していたことを発見した。耐用年数切れのサーバが、D-Link のネットワーク上で稼動していた理由と、7年間もインターネット・アクセスに露出していた理由は、現時点では不明である。
数百万人のユーザー・データを盗んだという攻撃者の主張に反して、D-Link は、侵害されたシステムには約 700件のレコードがあり、少なくとも7年経過したアカウント情報であると述べている。
D-Link は、「調査の結果として、このシステムには、少なくとも7年間活動していない、古く断片化された約 700件のレコードだけが存在している。これらの記録は、2015年に寿命を迎えた製品登録システムに由来する。さらに、データの大部分は機密度の低い半公開情報で構成されていた」と述べている。
同社の主張は、この脅威アクターが、ログインのタイムスタンプを意図的に改ざんし、新しいデータの窃取であるかのように見せかけているというものだ。既存の顧客の大部分にとって、このインシデントによる影響を受ける可能性は低いと述べている。
D-Link の従業員がフィッシングに遭い、企業ネットワークへの侵入を許してしまったことで、大量の情報が盗み出されたとのことです。その情報の価値を巡って、脅威アクター側と D-Link 側の主張に隔たりがありますが、あまり価値の高い機密情報でなければよいと願います。よろしければ、D-Link で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.