IntelBroker による Cisco のデータ侵害：2.9GB のデータがダークウェブに流出

Hackers Leak Partial Cisco Data from 4.5TB of Exposed Records

2024/12/17 HackRead — 2024年12月16日に、ハッカー・グループである IntelBroker は、サイバー犯罪フォーラム Breach Forums において、Cisco のデータ 2.9GB を流出させた。IntelBroker の主張によると、それらのデータは、彼らが 2024年10月に Cisco から盗み出したデータの一部であるという。

SUMMARY

Cisco のデータ流出が発生：2024年12月16日に、IntelBroker が Breach Forums 上で Cisco の 2.9GB のデータを流出させた。

公開されたレコード：IntelBroker によると、流出したデータは、Cisco が 2024年10月の時点で保護せずに放置したとされる、4.5TBのデータセットの一部である。

Cisco の対応：2024年10月の時点で Cisco は、コアシステムの侵害を否定していた。同社の主張は、このインシデントの原因は、パブリックに公開された DevHub リソースのミスコンフィグであるというものだった。

正当性の証明：IntelBroker は、潜在的なデータ購入者へ自らの主張の正当性を証明するため、Cisco のデータの一部を流出させた。

データ流出の背景

IntelBroker の主張によると、Breach Forums に流出した 2.9GB のデータは、彼らが 2024年10月に盗み出した 4.5TB のコンテンツの一部である。Cisco がパスワード保護やセキュリティ認証なしで公開し続けたことで、彼らはデータセット全体を獲得できたという。

このインシデントの、Hackread による最初の報道は、2024年10月14日だった。その頃には、Verizon／AT&T／Microsoft などのグローバル企業に属する、認証情報／ソースコード／機密文書などのデータを、IntelBroker が販売しようとしていた。

その当時に、Cisco は Hackread からの質問に回答しなかった。同社は、コアシステムの侵害を否定し、このインシデントはパブリックに公開された DevHub リソースのミスコンフィグが原因であると主張していた。しかし、その一方で IntelBroker の主張は、10月18日までコンテンツへのアクセスが可能だったというものであり、アクセスを示す証拠を Hackread に提供した。今回の不正なデータ・アクセスでは、JFrog というソフトウェア・サプライチェーン・プラットフォームの、公開されたトークンが悪用されていたという。

流出したデータの詳細

今回のデータ流出について、IntelBroker は、潜在的な購入者に対して、自身の正当性を証明するためのものだとしている。彼らは、「うまくいけば、今回のデータ流出により、我々の主張の正当性が証明され、完全版の購入を検討している人々にとって朗報となるだろう」と述べている。

2.9GB の流出データには、以下の製品に関連するものが含まれると報告されている：

• Cisco ISE (Identity Services Engine)：安全なネットワーク・アクセス制御と ID 管理を提供する、セキュリティ・ポリシー・プラットフォーム。
• Cisco SASE (Secure Access Service Edge)：ネットワークとセキュリティ機能を組み合わせ、どこからでも安全にアクセスできる、クラウド提供型ソリューション。
• Cisco Webex：コラボレーション・プラットフォームであり、ビデオ会議／メッセージング／チーム／企業向けの通話ソリューションを提供する。
• Cisco Umbrella：クラウドベースの DNS セキュリティ・ソリューション。インターネット・アクセスを保護し、悪意のドメインをブロックすることで、ユーザーを脅威から保護する。
• Cisco IOS XE & XR：Cisco ルーター／スイッチで使用される、ネットワーク OS。高度なネットワーク／自動化／プログラマビリティを実現する。
• Cisco C9800-SW-iosxe-wlc.16.11.01：ソフトウェアベースの Wireless LAN Controller (WLC) イメージ。Cisco Catalyst 9800 シリーズのプラットフォーム上で稼働するワイヤレス・ネットワークを管理／制御する。

以下は、ハッカーが流出させたと主張する情報を示す、Breach Forums のスクリーンショットである：

IntelBroker による過去のデータ侵害

これまでにも IntelBroker は、数々のデータ侵害で注目を集めてきた。たとえば、2024年6月には Apple と AMD (Advanced Micro Devices) に侵入し、社内ツールのソースコードや、従業員／製品に関する情報を窃取したと主張していた。

さらに、2024年5月には Europol をハッキングしたと主張している。その後に、同機関は侵害を認めている。

IntelBroker が過去に行った、その他のデータ侵害の一部は以下の通りである：

• Tech in Asia
• Space-Eyes
• Home Depot
• Facebook Marketplace
• Staffing giant Robert Half
• U.S. contractor Acuity Inc.
• Los Angeles International Airport
• Alleged breaches of HSBC and Barclays Bank

今回の Cisco のデータ流出が示すのは、ミスコンフィグやデータ露出に起因する悪用が、依然として続いていることである。ShinyHunters や Nemesis といった有名なハッカーたちも、ミスコンフィグや S3 バケットを標的にしていることから、それらの悪用の規模が大きいことが窺える。

現時点において Cisco は、このインシデントに対応していない。その一方で、IntelBroker の行動は、このようなインシデントから恐喝へとエスカレートする可能性を示している。Cisco から接種されたデータセットの残りの部分が、販売／流出されるのか、あるいは、何らかの解決にいたるのかは、現時点では不明である。企業が改めて認識すべきことは、セキュリティ対策を維持し、機密データを保護する必要性である。

この、IntelBroker による、Cisco データの窃取／公開に関しては、2024/10/18 の「IntelBroker によるデータ窃取の主張：Cisco の DevHub ポータルがオフラインに」が、第一報となります。その時点の Cisco は、調査の継続中だと述べていましたが、12月になってリークに至ったということは、なんらかの交渉の不調があったのかと推測されます。よろしければ、IntelBroker で検索と併せて、ご参照ください。