シスコシステムズ (Cisco Systems)は、2024年6月10日に発生した不正アクセスとサイバー攻撃について、2024年10月15日に公式声明を発表しました。このインシデントは、IntelBrokerという脅威アクターとその協力者「EnergyWeaponUser」および「zjj」によって実行され、大量のデータが窃取されたとされています。シスコは被害の調査を進めると同時に、問題の発端となったDevHubポータルを非公開にしました。
シスコの公式声明と調査結果
シスコは、不正アクセスの事実を確認したものの、システム全体への侵入や重要情報の漏洩はなかったと報告しています。
- 調査の進捗:
- DevHub環境に公開されていた一部のファイルが不正にアクセスされました。
- これらのファイルには、顧客の個人情報や財務データなど、機密性の高い情報は含まれていないとしています。
- シスコは法執行機関と連携し、さらなる調査を進めています。
- 対応措置:
- 問題のDevHubポータルを非公開とし、調査期間中は一般のアクセスを停止。
- 顧客が影響を受けた場合には、直接連絡を取る方針です。
窃取されたデータの内容
IntelBrokerは、以下のデータを窃取したと主張しています:
- GitHub、GitLab、SonarQubeのプロジェクト情報
- ソースコード
- ハードコーディングされた資格情報
- 機密文書
- Jiraチケット
- APIトークン
- AWSのプライベートバケット
IntelBrokerは、これらのデータを仮想通貨Monero(XMR)と引き換えに販売中であると報じられています。
不正アクセスの経路と攻撃手法
IntelBrokerは、BleepingComputerのインタビューで、公開されたAPIトークンを悪用して、Ciscoのサードパーティ開発環境に不正アクセスしたと述べています。
- シスコはこの不正アクセスに関する調査を続けており、APIの脆弱性が悪用された可能性を重視しています。
- IntelBrokerは金銭を要求する脅迫行為は信用しないと述べ、今回の攻撃が単純な金銭目的ではないことを示唆しました。
顧客ポータルやAPIの脆弱性を悪用した他の事例
APIを悪用した不正アクセスは2024年に他企業でも確認されており、たとえばDellへの攻撃では、4900万人の個人情報が漏洩しました。
- 攻撃者Menelikは、DellのパートナーポータルサイトのAPI脆弱性を悪用し、偽のパートナーアカウントを登録して侵入。
- カスタマーサービスタグのブルートフォース攻撃を行い、個人情報を大量に窃取しました。
今回のインシデントからの教訓
今回のシスコへの不正アクセスは、APIや開発者向けポータルの脆弱性が攻撃者に悪用される危険性を浮き彫りにしました。企業は、サードパーティの開発環境やAPIのセキュリティ強化が必要不可欠です。
まとめ
- シスコシステムズは、DevHubポータルの一時非公開と調査を通じて不正アクセスへの対応を進めています。
- 現時点で、機密情報の漏洩は確認されていないものの、今後も調査が続けられます。
- APIの脆弱性が不正アクセスの経路となるケースが増加しているため、企業にはセキュリティの見直しが求められます。
