Oracle NetSuite SuiteCommerce のミスコンフィグ：数千サイトの顧客データが危険に晒される

Thousands of Oracle NetSuite E-Commerce Sites Expose Sensitive Customer Data

2024/08/17 DarkReading — Oracle NetSuite の ERP (enterprise resource planning) プラットフォーム SuiteCommerce で発見された、数千の Web サイトに影響を及ぼす広範なミスコンフィグレーションにより、機密性の高い顧客データが不正アクセスの危機に晒されている。この問題を明らかにしたセキュリティ会社の AppOmni は、eコマースをサポートするために NetSuite を使用している多くの企業が、CRT (Custom Record Type) に対するアクセス制御のミスコンフィグにより、顧客データへの不正アクセスを許していると指摘している。これらの CRT には、個人の住所や電話番号などの重要なデータが保存されており、サイバー犯罪者にとって格好の標的になっている。

AppOmni の Chief of SaaS security research である Aaron Costello は、「ユーザー組織のうちの数千社が、アクセス制御のミスコンフィグにより、機密性の高い顧客データを外部に露出させている。私が発見した、これらの漏洩の規模は、きわめて大きなものだ」と、ブログの中で述べている。

蔓延する Oracle NetSuite のミスコンフィグ

この問題の所在は、NetSuite のプラットフォームそのものではなく、一部の Web サイト管理者がストアを設定する方法のミスコンフィグにある。それにより、権限のないユーザーであっても、漏えいした API を通じて顧客データにアクセスできるようになる。

このミスコンフィグは、主に SuiteCommerce の外部向けストアに影響を及ぼすものであり、権限のない個人が URL を操作することで、未認証による機密情報の照会が可能になると、AppOmni は述べている。

Aaron Costello は報告書の中で、「最も一般的に暴露される機密データの形式は、完全な住所や携帯電話番号などの、登録された個人情報 (PII：personally identifiable information) のようだ」と述べている。

この問題に関しては、NetSuite が顧客に呼びかけている内容は、ベストプラクティスに従って 、セキュリティ設定を見直し、不正アクセスから CRT を保護してほしいというものだ。

その一方で Aaron Costello は、「このような呼びかけがあっても、多くの企業は、自社のサイトからの機密データの漏えいには気づかず、ターゲットにされているかどうかも判らないだろう。なぜなら、簡単にアクセスできるはずのトランザクション・ログを、NetSuite が提供しないことで、ユーザー企業による悪用の検知が難しくなっているからだ」と指摘する。

その背景にあるのは、SaaS (Software-as-a-Service) におけるセキュリティ・プログラムの導入と維持に、多くの企業が苦慮しているという現実である。つまり、SaaS アプリケーションに対する既知／未知のリスクを特定し、それに対処するための準備を実施するには、より多くの教育が必要なのである。

AppOmni はブログで、 「ベンダーが競争力を維持するために、自社製品に複雑な機能を導入するにつれて、この種のリスクは高まり続けるだろう。そして、この問題に取り組もうとする組織は、問題解決の難しさに直面するだろう。なぜなら、このような攻撃経路の発見は、多くの場合において、特別な調査を介して達成されるからだ」と述べている。

SaaS におけるサイバー・セキュリティ問題の増加

今回の NetSuite に関する調査結果や、先日に発生した Snowflake の顧客アカウントに対する攻撃が浮き彫りにするのは、SaaS 環境におけるセキュリティ・リスクの高まりである。

AppOmni は、「この問題の核心は、SaaS プラットフォームを標的とする攻撃者にとって、従来から不可欠だった攻撃ステップが、容易／不要になった点にある。それにより、現代の攻撃対象領域は、大きく変化している。具体的に言うと、伝統的な Lockheed Martin のサイバー・キルチェーン (攻撃を防御するための古典的な基礎) が特定する成功のための前提条件には、偵察／武器化／配信／搾取／インストール／指揮統制などに加えて、標的に対して実施されるデータ流出やマルウェア移植といったステップがある。しかし、SaaS 環境における攻撃者の視点からのキルチェーンは、イニシャル・アクセスとクレデンシャル・アクセス、そして収集／流出という、２〜３のポイントに集約される」と、先週の Black Hat で Dark Reading に語っている。

いまの脅威アクターたちは、SaaS アプリケーション内に保存される企業データを積極的にターゲットにしている。この種の攻撃者には、それほど洗練されていないグループの含まれる。これまでの Scattered Spider などは、Microsoft のクラウド／オンプレミスを標的としてきたが、いまでは SaaS 標的へと方向を転換している。

つまり、SaaS アプリケーションの利用を拡大する組織にとっては、サイバー・キルチェーンに関する再考が必要となり、それに応じた防御の調整が不可欠となる。AppOmni は、「たとえば、eコマース・プラットフォームの管理者の場合には、Web サイト内のフォームに関して、フィールド・レベルでのアクセス制御を評価し、公開が必要なフィールドを特定し、公開が不要なフィールドをロックすべきだ」と述べている。

Oracle NetSuite について Wikipedia で調べてみたら、1998年に設立され、2016年に Oracle に買収されたと紹介されていました。ERP と CRM と E-Commerce を統合したサービスとのことです。ちょっと話が飛びますが、2024/08/16 の「Consolidation 対 Optimization：セキュリティにおいて軽減すべきコストとストレスについて」に、面白いことが書いてありました。それは、「統合されたツールを運用していても、いくつかの要件をカバーできないという現象に遭遇する。その結果として、焦点を絞った別のツールが調達され、また統合が行われる」という指摘です。NetSuite が提供しないトランザクション・ログも、この指摘に該当するのでしょうかね。