CISA Warns of Potential Credential Exploits Linked to Oracle Cloud Hack
2025/04/17 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Oracle Cloud のレガシー環境に対する不正アクセスの可能性があるとの報告を受け、警告を発した。現時点において、インシデントの全容と影響は調査中だが、CISA の警告が浮き彫りにするのは、認証情報の漏洩リスクに対する深刻な懸念である。この脅威には、組織/個人 のユーザーに影響を及ぼす可能性がある。
CISA によると、機密性の高い認証情報である、ユーザー名/メールアドレス/パスワード/認証トークン/暗号化キーなどに、攻撃者たちがアクセスした可能性があるという。
CISA は公式声明で、「スクリプト/アプリケーション/インフラ・テンプレートに、認証情報がハードコードされている場合には、きわめて発見が困難になる。したがって、漏洩が発生すると、長期的にわたり不正アクセスを許す可能性が生じる」と警告している。
漏洩した認証情報による潜在的な脅威
収集された認証情報の悪用により、影響が広範に及ぶ可能性が生じる。窃取したログイン情報を悪用する脅威アクターたちは、以下の行為を行うと予測できる:
- 権限昇格による、侵害済みネットワーク内での水平方向への移動。
- クラウド・プラットフォームや ID 管理システムへの不正アクセス。
- BEC/フィッシング攻撃などの認証情報ベースの攻撃の開始。
- 窃取した認証情報の犯罪市場での販売/交換。
- 侵害情報データセットの強化と、さらなる転売や侵入での悪用。
CISA の勧告は、侵害したパスワードを、攻撃者が複数のプラットフォームで試すことが多いため、関連性のないシステムで再利用されている認証情報であっても、深刻なリスクが生じると強調している。
CISA はユーザー組織に対して、以下の措置を講じ、潜在的な脅威を軽減するよう強く求めている。
- 認証情報が一元管理されていない場合には、影響を受けるユーザーのパスワードをリセットする。
- ハードコードされた認証情報のコードと、コンフィグレーション・ファイルを監査し、一元的な秘密管理によりサポートされる、安全な認証情報に置き換える。
- 認証ログを監視し、特権アカウントやフェデレーション・アカウントに関連する、異常なアクティビティの有無を確認し、リンクされた API キーや共有アカウントを確認する。
- すべてのユーザー・アカウントと管理者アカウントに、フィッシング対策を施した多要素認証 (MFA) を適用する。
その他のベスト・プラクティスについては、CISA/NSA が共同で発行する Cybersecurity Information Sheets on Cloud Security を参照してほしい。
CISAは、個々のユーザーに対して、以下の項目も推奨している:
- 影響を受ける可能性のある、再利用パスワードを更新する。
- アカウントごとに、固有の強力なパスワードを使用する。
- 可能な限り、フィッシング対策を施した MFA を有効化する。
- フィッシング攻撃に対して、常に警戒を怠らない。
約1ヶ月前に発生した Oracle Cloud 侵害について、CISA からアドバイザリが公開されました。「クラウド=安全」という思い込みを揺さぶるインシデントです。レガシー環境を放置することは、今や重大なリスクであり、命取りになりかねません。本件については、過去にも記事で取り上げています。よろしければ、以下の関連記事も、Oracle で検索と併せてご利用下さい。
2025/04/04:Oracle Cloud侵害:通知で漏洩の事実に言及
2025/03/26:Oracle のアカウント情報窃取と CVE-2021-35587
2025/03/24:Oracle Cloud からの 600 万件のレコード窃取
IoT OT Security News 
You must be logged in to post a comment.