企業向けのセキュリティツール、例えばルーター、ファイアウォール、VPNなどは、企業ネットワークを外部の侵入者や悪意のあるハッカーから守るために存在しており、特に広範囲にわたるリモートワーキングやハイブリッドワーキングが行われる現代において非常に重要です。
しかし、これらの製品は、組織が外部の脅威から安全に保つのを助けるツールとして位置付けられていますが、多くの製品が繰り返し、これらのセキュリティ上の欠陥を悪用されることで、その製品が保護するはずのネットワークを侵害される可能性があります。
これらの欠陥は、ここ数年間の大量ハッキングキャンペーンの急増の原因とされており、悪意のあるハッカーがこれらの容易に悪用可能なセキュリティ上の欠陥を悪用して、何千もの組織のネットワークに侵入し、機密性の高い企業データを盗む事態が発生しています。
マスハックの簡単な歴史をまとめ、将来さらに発表されるであろう詳細については、この記事を更新します。
2023年1月: Fortraファイル転送ツールハック、130の組織に影響
このディケードの最初のマスハックの一つは、悪名高いランサムウェアクルーによるもので、FortraのGoAnywhere管理ファイル転送ソフトウェアの脆弱性を悪用しました。これは、企業が大きなファイルや機密データセットをインターネット経由で共有するために使用する製品です。Clo呢という有名なランサムウェアグループは、このバグを利用して130以上の組織を攻撃し、数百万人の個人の個人データを盗みました。この脆弱性はゼロデイとして悪用され、Fortraは修正する時間がなかったため攻撃を受けました。 Clopは後に、ハッカーがランサムを支払わない被害組織から盗んだデータを公開しました。Hitachi Energy、セキュリティジャイアントRubrik、およびフロリダ州のヘルステック組織NationBenefits - この攻撃で300万人以上のメンバーのデータが盗まれました - は、ソフトウェアのバグによって引き起こされた侵入を報告しました。
2023年5月: MOVEitの脆弱性が6000万人分のデータを盗む
MOVEitの大規模ハックは、Progress Softwareが開発したもう一つの広く使われているファイル転送ソフトウェアにおける脆弱性を悪用して、数千の組織からデータを盗み出すという歴史上最大級の大量侵害の一つです。攻撃は再びClo呢によって履行されました。この攻撃により、Emsisoftによると、6000万人以上の個人のデータが盗まれました。米国政府契約巨人のMaximusは、ハッカーが最大1100万人の個人の保護された健康情報にアクセスしたと確認したMOVEit侵害の最大の被害者でした。
2023年10月: Ciscoのゼロデイが数千のルーターを危機に晒す
マスハックは、2023年後半にも続き、ハッカーが10月中旬にCiscoのネットワークソフトウェアの修正されていないゼロデイの脆弱性を悪用して、ソフトウェアに依存する数万の企業スイッチ、ワイヤレスコントローラ、アクセスポイント、および産業用ルータを侵害しました。このバグは「侵害されたデバイスを完全に制御可能にしました」。 Ciscoは、どれだけの顧客がその欠陥の影響を受けたかを確認しませんでしたが、インターネットに接続されたデバイスと資産を検索する検索エンジンであるCensysは、ほぼ4万2千の侵害されたデバイスがインターネットに公開されていると観察しています。
2023年11月: ランサムウェアグループがCitrixのバグを悪用
大手企業や政府機関がアプリケーション配信やVPN接続に使用しているCitrix NetScalerは、2023年11月に最新のマスハック対象になりました。このバグ、通称「CitrixBleed」は、ロシアにリンクされたランサムウェアグループLockBitが、影響を受けたNetScalerシステムから機密情報を抽出することを可能にしました。航空宇宙巨人Boeing、法律事務所Allen & Overy、そして中国の工商銀行は、被害者として報告されました。
2024年1月: 中国のハッカーがIvanti VPNの脆弱性を悪用して企業に侵入
中国国有のハッカーが、Ivantiの企業向けConnect Secure VPNアプライアンスの2つの重大なゼロデイ脆弱性を集中的に悪用し始めたため、Ivantiという名前はマスハックの代名詞となりました。Ivantiは当時、被影響を受けた顧客はごく一部であると述べましたが、セキュリティ企業Volexityによると、世界中で1700台以上のIvantiアプライアンスが悪用され、航空宇宙、銀行、防衛、通信業界の組織に影響を与えました。操作中の影響を受けたIvantiシステムを運用する米国政府機関は、そのシステムを直ちに運用停止するように命じられました。これらの脆弱性の悪用は、最近、米国の9つの通信会社のネットワークに侵入していたSalt Typhoonとして知られる中国支援のスパイ集団と関連付けられています。
2024年2月: ConnectWiseの顧客がリモートアクセスツールのバグによってハッキングされる
2024年2月、ConnectWise ScreenConnectという人気のあるリモートアクセスツールの2つの「悪用が容易な」脆弱性に狙いを定めたハッカーたちが攻撃を開始しました。サイバーセキュリティ巨人Mandiantは当時、研究者たちが「大規模な悪用」の活動を観測したと述べ、様々な脅威行為者がこの2つの欠陥を悪用してパスワードスティーラー、バックドア、場合によってはランサムウェアを展開していたと述べました。
ハッカーが新たなバグを含むIvantiの顧客を再び狙う
2024年2月にも、セキュリティ製品の広範な使用者であるIvantiが、新たに発見された別の脆弱性を悪用されてハッカーによって攻撃を受けたとして再び話題となりました。インターネットの悪用をスキャンして監視する非営利団体であるShadowserver Foundationは、この時期に630以上の固有IPアドレスがサーバサイドの欠陥を悪用しようとしているのを観察しており、この欠陥により、脆弱性を抱えたIvantiアプライアンスによって本来保護されているはずのデバイスやシステムにアクセスすることができます。
2024年11月: Palo Altoファイアウォールのバグが数千の企業を危機に晒す
2024年後半には、世界中の顧客が使用しているサイバーセキュリティの巨人Palo Alto Networksのソフトウェアにおける2つのゼロデイの脆弱性を悪用して、数千の組織を危険に曝すことに成功したハッカーがいました。全てのPalo Altoの次世代ファイアウォールで実行されるPAN-OSの欠陥により、攻撃者は企業ネットワークから機密データを侵害し、持ち出すことができました。セキュリティ企業watchTowr Labsの研究者によると、パッチの反転工法から、これらの欠陥は開発プロセス上の基本的なミスによって引き起こされました。
2024年12月: ClopがCleo顧客を侵害
2024年12月、Clopランサムウェアグループは、さらに新しい一連の大量ハックを発生させるために人気のあるファイル転送技術に狙いを定めました。今回、Clopはイリノイ州に拠点を置く企業ソフトウェアメーカーCleo Softwareのツールの欠陥を悪用し、企業の数十人の顧客を標的にしました。2025年1月初旬までに、Clopは、米国のサプライチェーンソフトウェアの大手Blue Yonderやドイツの製造業財閥Covestroなど、ほぼ60社のCleo企業を攻撃したとされるリストを公開しました。1月末までに、Clopは彼らのダークウェブリークサイトに別の50の悪影響を受けたCleo大量ハック被害者を追加しました。
2025年1月: 新年、新たなIvantiバグが攻撃される
新年が始まると、Ivantiは再びハッカーの被害を受けることとなりました。米国のソフトウェア大手は、2025年1月初旬に顧客に警告し、エンタープライズVPNアプライアンスで新たなゼロデイの脆弱性が悪用され、企業顧客のネットワークが侵害されたと述べました。Ivantiは、「ごく限られた数」の顧客が影響を受けたと述べましたが、Shadowserver Foundationによると、数百のバックドア付きの顧客システムが観察されました。
Fortinetファイアウォールのバグが2024年12月以来悪用されています
Ivantiの最新のバグが開示された直後、Fortinetは、ハッカーがファイアウォールの脆弱性を悪用して企業のネットワークに侵入していることを確認しました。セキュリティ調査会社によると、2024年12月以降、この欠陥が「大規模に悪用」されてきたとされる、フォーティゲイトファイアウォールの脆弱性が存在します。フォーティネットは影響を受けた顧客の数を明らかにしませんでしたが、攻撃調査を行っているセキュリティ調査会社は「数十の」影響を受けたデバイスが存在すると述べています。
SonicWallはハッカーが顧客をリモートでハッキングしていると述べる
2025年1月は、企業セキュリティソフトウェアのバグを悪用するハッカーにとって忙しい月でした。SonicWallは1月下旬に、未特定のハッカーが同社のエンタープライズ製品の1つであるSMA1000リモートアクセスアプライアンスの新たに発見された脆弱性を悪用しており、それにより顧客のネットワークに侵入しようとしていると述べました。Microソフトの脅威研究者による
