Fox−ITが中間者攻撃の被害に。迅速な対応で10時間以内に鎮火。

f:id:nanashi0x:20171215200305p:plain

www.bleepingcomputer.com

オランダに拠点を置くセキュリティ企業、Fox ITでインシデントが発生した事が明らかになった。

Fox−ITは世界中の大企業に対してManaged Security Services、Threat Intelligenceを行っているセキュリティ企業である。

この記事は以下のように構成され、それぞれ順番に説明していく。

  1. 中間者攻撃とは
  2. 攻撃者の狙い
  3. インシデントのタイムライン

中間者攻撃とは

FoX ITを攻撃したハッカーが使用した手法は、中間者攻撃 であるとされている。

中間者攻撃とは、通信を行う2人の間に割り込み、両者がやりとりする通信を気づかれないように自分の物とすり替える攻撃手法である。

中間者攻撃を行う事で、攻撃者はターゲットの通信を盗聴する事が出来る。

中間者攻撃は、英語のMan-In-The−Middle Attackを意訳したもので、英語のメディアでは良くMITM(又は、MTM)と略されている。

以降この記事では、MITMとして表記する。

攻撃者はFox−ITの顧客用ポータルサイトに攻撃

攻撃者は、Fox−ITの顧客が使用するポータルサイト”ClientPortal”に対してのみ攻撃を行なった。

Fox−ITによれば、攻撃者の狙いは以下の情報だったという。

  • ユーザーがClientPortalへログインする際に入力する認証情報(ID&Passwords)
  • 顧客がClientPortalへ送信するファイル

攻撃者は合計で9のユーザーの認証情報を盗み出し、12個のファイルを盗聴した。

Fox−ITはMITMの被害に遭っている事実を、最初の攻撃から僅か5時間で突き止め、直ちに二段階認証サービスを”Disable”に変更した。

その結果、MITMの被害規模をかなり抑えることが出来た。

更に、Fox−ITが認証情報を漏洩された顧客に対して迅速に認証情報のリセットを行った事や、幸い盗聴されたファイルが機密文書ファイルでなかった事も、被害を抑えた事の理由と言える。

文書ファイルの他にも、ユーザーの携帯電話番号が盗聴されたとされているが、重要ではないとされている。

Fox−ITによるIRのタイムライン

以下はFox−ITがインシデントを検知してから対処するまでのタイムラインである。

非常に短期間で迅速な然るべき対応をした事が見て取れる。

2017年9月16日 攻撃者と思われるReconnaissanceが確認された一番最初の日。攻撃者はFox-ITのネットワークに対してポートスキャンや脆弱性スキャン等、Reconnaissanceフェーズで一般的なスキャンを行なった。
2017年9月19日, 00:38 攻撃者は、fox-it.comのDNSレコードを変更。サードパーティのプロバイダーを通して行われた。
2017年9月19日, 02:02 clientportal.fox-it.comが本物のFox-ITのClientPortalサーバーを指していたと確認できる最後の時間。この時点まではClientPortalへのトラフィックは盗聴されていなかった事がわかる。
2017年9月19日, 02:05-02:15 最大10分間、攻撃者が一時的にFox-ITのEメールをリルートしていた。この10分間のリルートはMITMではなく、攻撃者がFox−ITのトラフィックの間に入り、SSL証明書を偽装できている事を確かめる為のテストだったと思われる。
2017年9月19日, 02:21 実際のMITM攻撃が発生。この時点で、偽装SSL証明書がClientPortal上に用意され、clientportal.fox-it.comのDNSレコードは海外のVPNプロバイダが所有するサーバーを指していた。
2017年9月19日, 07:25 Fox−ITは、ドメイン”fox-it.com”が認証なしにリダイレクトされていた事を突き止めた。Fox−ITは、DNSの設定を元のネームサーバーに戻し、ドメインレジスターのパスワードを変更。DNSがキャッシュされていた事から変更が反映されるまでに少々時間を要した。
2017年9月19日, 12:45 Fox-ITは、ClientPortalへログインする際に必要な二段階認証(SMS)を”Disable”した。こうする事で、ClientPortalのユーザーに対するMITMを防ぐ事が出来た。この時Fox-ITが一連の作業中、ClientPortalの運営を通常通り継続したが、それは攻撃者にFox-ITが攻撃を受けている事実に気づいている事を悟られないためである。この時点で、ClientPortalに対するMITMは継続されていた。しかし、ユーザーが二段階認証へアクセス出来なかった為、リダイレクト先のサーバーへトラフィックが流れる事はなかった。
2017年9月19日−20日 Fox−ITは、インシデントに関する徹底的な調査を開始。MITMの被害を受けている最中に通信の盗聴をされた全顧客に対して通知を出した。更に、オランダのデータ保護機関に対しても通報を行なった。同日、警察による調査が開始され現在も継続している。Fox−ITのこれまでの調査で、MITMを引き起こした攻撃者の狙いを突き止めた。また、Fox-ITのインシデントレスポンスは充分に行われ、二段階認証も再度機能し始めた。
2017年9月20日, 15:38 ClientPortalは適切に機能している。Fox−ITはインシデントの調査を継続している。