AnyDesk Shares More Information on Recent Hack
2024/02/09 SecurityWeek — AnyDesk が共有した情報は、最初に脅威アクターたちが同社のシステムに侵入した時期や、インシデントの影響などの攻撃に関する詳細である。このソフトウェアの開発者によると、侵入は2024年1月中旬に発見され、フォレンジック調査の結果として、システムへの侵入時期は2023年12月下旬であることが判明したという。
この調査の結果として明らかになった のは、ハッカーたちはプロダクション・システムに侵入したが、顧客の認証情報を入手した形跡はなく、このインシデントの結果として、AnyDesk の悪意のバージョンが配布されたこともない。
AnyDesk は、「コードの見直しを行ったが、悪意の変更は見当たらない。また、私たちのシステムを通じて、悪意のコードが顧客に配布された証拠もない」と述べている。とは言え、コード署名証明書とセキュリティ関連証明書は失効されており、AnyDesk は、新しい証明書を使用したソフトウェア・アップデートを配布している。
攻撃者がユーザーの認証情報を入手した可能性は低いが、理論的には否定できないため、すべての顧客に対するパスワード・リセットを、AnyDesk は強制することにした。
AnyDesk は、AnyDesk クライアントに入力された認証情報を送信するための、ヨーロッパに配置される2つのリレー・サーバーが侵害されたことを認めている。可能性は低いが、攻撃者は理論的には AnyDesk のコードを書き換え、顧客を騙して悪意のソフトウェアを使用させ、パスワードを提供させることも可能だった。
その一方で同社は、セキュリティ侵害の結果として、ユーザー・セッションのハイジャックの可能性は自信を持って排除できると述べている。AnyDesk は、ランサムウェア攻撃はなく、恐喝の試みもなかったことも明らかにしている。
また、最近になって報道されている、ダークウェブでユーザー認証情報が販売されているという説は、今回のインシデントとは無関係であることも強調している。
それらのダークウェブの動きは、情報窃盗マルウェアにより、顧客システムから認証情報がダイレクトに盗まれたものであるためだとしている。現時点で、開始されている強制的なパスワード・リセット手順は、情報窃取マルウェアに感染した、顧客のシステムにおけるリスクにも対処するものであるという。
この件に関する第一報は、2024/02/03 の「AnyDesk で発生したデータ侵害:プロダクション・システムの一部に不正アクセスか?」であり、その続報が待たれていました。リモート・デスクトップへの侵害という、かなり衝撃的なインシデントであり、侵入経路が一番の焦点だと思いますが、その点は、まだ解明されていないようです。実害なく、収束すると良いですね。
IoT OT Security News 
You must be logged in to post a comment.