Attacks/Breaches

Financial motivated attacksers could abuse stolen source code for broader attacks

先週明らかになった Adobe の大規模違反は、一見すると純粋なサイバー犯罪のプロファイルにうまく当てはまりません。 悪者は、ソフトウェア会社から顧客データや支払いカード情報を盗んだだけでなく、Adobe の ColdFusion、Acrobat、および Reader ソフトウェアのソース コードも入手しました。

攻撃者が Adobe の顧客データとソース コードをどのようにして入手したか、また、詐欺目的でソース コードを改ざんしたとしたら、それは何だったのかはまだ明らかではありません。 KrebsOnSecurity の Brian Krebs とともに、LexisNexis や Dun & Bradstreet、Kroll などから盗まれたデータと同じサーバー上に 40GB の Adobe ソースコードを発見した Hold Security の CISO Alex Holden は、「彼らは金銭的志向を持っていました」と述べています。 また、このような事態を招いたのは、「Adobe Acrobat」「ColdFusion」「ColdFusion Builder」など、複数のAdobeソフトウェア製品のソースコードに加え、290万人の顧客に関する支払いカード情報を含む機密情報が盗まれたからです。 Adobeの最高セキュリティ責任者であるBrad Arkin氏は、この攻撃は関連している可能性があると述べています。

Hold SecurityのHolden氏は、攻撃者は少なくとも2ヶ月間、盗まれたデータを所有していたようだと述べています。 また、「Adobeのアプリケーションに対して、まだ発見されていないゼロデイ攻撃が進行しているのではないか」というのが、彼の最大の心配事だそうです。 「彼らはハイレベルなターゲットを攻撃しているかもしれない。 これは非常に不安で恐ろしい考えです」とHolden氏は言います。

サイバー犯罪者は通常、盗んだ決済カード情報やユーザー認証情報を素早く現金化しようとします。 Adobe によれば、盗まれた Adobe の顧客の決済カード データは暗号化されていましたが、その強度や実装によっては、攻撃者が暗号化キーを入手したり、暗号を解読したりできた可能性があると、セキュリティ専門家は述べています。 また、Adobe Reader や ColdFusion で非常に優れたゼロデイを見つけた場合、それが複数の顧客に対する将来の攻撃につながる可能性もあります」と、Carbon Black の CTO である Benjamin Johnson 氏は述べています。 「誰もがAdobeを持っている……それは、ターゲットとなる巨大な表面領域なのです」

Exploitの販売は、例えばAdobeアプリの場合、数万ドルという単位で儲けが出ます。 “ソース コードは金儲けの材料です — Adobe 製品の脆弱性を見つけるのに役立ちます。 例えば、Adobe Reader のゼロデイ エクスプロイト 1 つで、ブラックマーケットで 5 万ドルの価値があります」と、エフセキュアのシニア リサーチャー、Timo Hirvonen 氏は述べています。

アドビのソースコードを活用することは、攻撃者により効率的に情報を盗む方法を提供することになります。 OpenDNSのCTOであるDan Hubbard氏は、「以前は、フィッシングやキーロガーによって何百万人もの人を獲得することができ、大規模な攻撃を行うことは簡単だった」と述べています。 「しかし、現在はより洗練され、より計画的に行動しています。クライアントや人間の要素を狙うのではなく、インフラの弱点を狙って、データを引き戻し、何をすべきかを考えています。 2832>

最悪のシナリオが現実となり、攻撃者が実際に Adobe のソース コードに毒を入れ、それを Adobe の顧客に配布したとしたら、ソフトウェア会社は攻撃者の目的のための手段であったと言えるでしょう。 「もし本当に盗まれたソースコードがColdFusionとAcrobatに関するものであれば、何千ものウェブサーバーに自由な侵害の可能性があり、エンドユーザーシステムへの侵害が容易になる。 この侵害は、すべてのソフトウェア会社が警戒すべき、他のターゲットへの足がかりになり得るということを思い起こさせるものです」と LogRhythm の CTO 兼共同設立者の Chris Petersen 氏は述べています。 セキュリティの専門家によれば、もしAdobeが攻撃に気づくのに6週間もかかったとしたら、このソフトウェア会社は最初から不利な立場に置かれていることになります。 「とジョンソン氏は言う。「これは、悪者にとって有利なスタートだ。 専門家によれば、重要なのは常に、被害を軽減するための迅速な発見です。

アプリケーション・セキュリティ・ベンダーであるCenzic社の最高マーケティング責任者、Bala Venkat氏もこれに同意しています。 「現在進行中の調査から、Adobe社におけるこの侵害は、実際には8月のある時点で始まり、9月下旬まで続いたようです。 このような検知と対応の遅れは、特に憂慮すべきことです。 組織は、すべてのプロダクションアプリケーションにおいて、脆弱性をリアルタイムで検出し、報告するための継続的なセキュリティ監視プロセスを確実に実施しなければなりません。 このポリシーが厳格に実施されていれば、このような侵害はもっと早く、もっと効果的に食い止められ、被害を最小限に抑えることができたはずです。 “

もうひとつの懸念は、攻撃者がすでにアドビの顧客をターゲットに進出しているかどうかということです。 「Carbon BlackのJohnson氏は、「私が懸念しているのは、顧客ベース内での横方向の動きです」と述べ、攻撃者がすでにAdobeの顧客をフィッシングして情報を盗んでいる可能性を指摘しています。 セキュリティ専門家は、攻撃を受けた他の組織について、さらなる暴露を期待するよう述べています。 下の「コメントを追加する」をクリックしてください。 Dark Readingの編集部に直接連絡したい場合は、私たちにメッセージを送ってください。

Kelly Jackson Higginsは、Dark Readingのエグゼクティブ・エディターです。 受賞歴のあるベテランのテクノロジーおよびビジネスジャーナリストで、Network Computing、Secure Enterprise、Science、MySQLなど、さまざまな出版物で20年以上にわたって取材・編集の経験を積んでいます。 完全な経歴を見る