Fxmspが盗み出した、セキュリティベンダーの情報の続報 その5

Fxmspが盗み出した、セキュリティベンダーの情報の続報 その4
続報です。

一部SNSや報道に関して | トレンドマイクロ
トレンドマイクロから公式の発表がありましたが、内容は約1ヶ月前に AdvIntel に表明した内容と全く変わっていません。

トレンドマイクロは、「当社ではこの攻撃に対して即座に対策を施しております」と言っていて、侵入期間がまるで短いように発言しているわけですが、通報があるまでに少なくとも1ヶ月以上の期間があり、これでは曖昧すぎてわからないですよね (・ω・)

「当社ではこの攻撃に対して(通報があってから)即座に対策を施しております」だったら、全然即座じゃないんですが

あるいは、侵入経路が判明していないのであれば、
「当社ではこの攻撃に対して即座に対策を施しているつもりでしたが、正確な攻撃を把握できず、全然対策になっていませんでした」
なんて可能性もあるわけです((((・ω・))))


ロシアのハッカー

マルウェア対策ベンダーは、しばらくの間世界中で知名度の高い企業を標的にしてきたハッキン​​ググループであるFxmspによって侵害されました。
彼らはロシアを拠点としていますが、政府機関が後援しているようには見えません。 

ロシアのハッカーは、少なくとも2018年前半にまでさかのぼってアンダーグラウンドのフォーラムで盗まれた企業秘密を売った実績があります。彼らは、ガーナ財務省、ボゴタ電子政府データベース、高級ホテルグループ、キーストーン銀行、DeltaWestern Petroleumから盗んだ物を提供しました。

セキュリティ会社Advanced Intelligence LLC(AdvIntel)がFxmspを追跡し、セキュリティ研究者らは、数か月間見られなかったグループが3月に再出現したと報告した。Fxsmpは、ソースコードを含む30テラバイトを超えるデータを流出させたと主張して、3社の不特定米国のウイルス対策会社のデータを販売することを申し出ました。ロシアのハッカーは、悪用の証拠として、コードの一部、およびフォルダとファイルの構造を含むスクリーンショットを表示しました。AdvIntelは、フォルダに他の機密項目の中にベースコードと開発ドキュメントが含まれていることを確認しました。 
ロシアのハッカーは、侵入した3社のネットワークへのアクセス権を含め、30万ドルでデータ1式を販売すると申し出ました。これまでのグループの手口は、フォーラムで大量の初期販売を提供することで、最初の販売が終了した後に、データを少量の静かに数回再販売することでした。 

このパラグラフは既存の情報ですが、
流出したものの中に、ソースコードの開発ドキュメントも含まれてるってのは面白そうですね

どれくらいヤバい?

ソースコードが本物であり、ある時点でそれを利用しようとするサイバー犯罪者の手に渡ることを想定しているなら、これは悲惨なことです。 
影響を受けるマルウェア対策ベンダーが、ロシアのハッカーによってソースコードが本当に侵害されている場合は、新たに悪用されないようにできる限り早く一般に通知することが非常に重要です
 
もちろん、売り上げや販売に致命的なダメージを受けハッキングに耐えられないという経済的な動機があるため、ハッキングされた企業の手を借りられるとは限りません。
影響を受けるマルウェア対策ベンダーからのセキュリティ製品を使用している企業は、そこからくるニュースには細心の注意を払う必要があります。少なくとも、比較的迅速に実装できる代替手段を模索し始める必要があります。 

お客さんにはやく被害を知らせるのが大事。
せやな (・ω・)

これは合法的ですか?

AdvIntelのレポートの正当性についていくつか疑問があります。同社は非常に新しい会社で、つい最近になってWebサイトを立ち上げ、セキュリティ証明書を取得しました。小規模で目立たないセキュリティ会社がこのようなニュースを打破することは前例のないことではありません。彼らはしばしば「ダークウェブ」での進行状況を追跡し、彼らの評判を築くためにこの情報を公開することに最も熱心です。しかし、その会社は事実上の未知数であるという事実は変わりません。 
しかし、ここに怪しげな点があるとすれば、ロシアのハッカーが不正なホール活動の宣伝を確立するために前線を設けている可能性があります。
ただし、そのシナリオであっても、彼らが主張しているすべてのデータを実際に持っているわけではないという意味ではありません。ハッキングされた期間内に、トレンドマイクロのものとして確認、公表された詳細な情報は、これが非常に信憑性が高い事を示しています。 

AdvIntel が新しい会社で、 FxMSP の宣伝である可能性が僅かながらあるけれども、
例え、この会社が ハッカーの手先だったとしても、トレンドマイクロが侵入されて重要な情報を抜き取られたのはほぼ間違いないだろうとのこと。

マルウェア対策ベンダーのソースコードがなぜそれほど重要なのか

ソースコードをマルウェア対策ソフトウェアやアルゴリズムに取り込むことで、効果的に情報王国への入場方法を得ることができます。それを保持しているハッカーが新しい脆弱性をより迅速にテストし、スキャンすることを可能にします。ソースコードを所持している犯罪者は、これまでに見たことのない新たな悪用方法を考案し、サイバーセキュリティ分野の誰かがそれらを知っている、またはそれらの準備ができる前に展開することができます。ここでの大きなキャッチは、ソースコードは最近のものでなければならないということです。古いソースコードは、進取的なハッカーにとってはそれほど役に立ちません。これは、ハッキングされたセキュリティ会社によるこの問題の詳細な説明が、彼らの顧客にとって非常に有益となるもう一つの理由です。 
明らに深いアクセス権を得たロシアのハッカーが検出されずにターゲットネットワークに長期間費やしたことを考えると、Fxmspが悪意のあるソフトウェアや他のバックドアを将来のアクセスのために残せた事に疑念を抱かねばなりません。購入したデータでネットワークアクセスを投入するという彼らの約束は、彼らがまさにこれをしたことを示しています。このハックに関連を行われた企業のセキュリティについては(侵入されてバックドアを残されたとなっては)当面疑問が残るでしょう。セキュリティとマルウェア対策サービスを提供することになっている企業にとって特に心配なことです。 

トレンドマイクロが、長期間にわたって、ハッキングされて情報漏えいを引き起こし、しかもバックドアまで仕込まれたにもかかわらず、何も気づいていないのだとしたら、このセキュリティ会社の 技術には大きな疑問が残るって話ですね。まぁ、そりゃそうだ ( ・ω・)

企業がすべきこと

不正アクセスを受けた企業が明確な否定を発信したり、何が起きたのか、何が盗まれたのかを正確に確認していないのは残念です。

それは彼らのセキュリティソフトウェアがもはや役に立たないレベルであることを受け入
れる事にもなり、そしてそれを疑問に思っている彼らの顧客にとって大きな害です。
 
最低限、これらのマルウェア対策サービスを使用している企業は、ニュースを注意深く監視したいと思うでしょう。ハッキングされているとされる企業のいずれかが不正アクセスを確認したかどうか、自社製品に関連した新しいエクスプロイトが実際に見られたかどうか、またはハックに関するカテゴリ別拒否を発行したかどうかをできるだけ早く知ることが重要です。 
主要なアンチマルウェアベンダから盗まれたソースコードは、新たな#cybersecurityエクスプロイトの波をもたらす可能性があります。
それまでの間、これらの製品の代替品を探すことも賢明な考えになるでしょう。これらすべてを確実に確認する前に切り替えを行うことは財政的に意味がないかもしれませんが、切り替え計画を準備し、これが可能な限り早く開始する準備をすることは非常に良い考えです。

不正アクセスを受けた3社の製品を使っている企業はニュースを注意深くチェックし、
他製品の導入も視野に入れた上で、切り替えの準備をし、不正アクセスの情報が全て真実だったときに即時に切り替えられるようにしておくのが大事だという話 ・ω・

特にトレンドマイクロの場合は、ほぼ確実に不正アクセスを受けているので、企業は、別製品に乗り換えるべきだ、って話ですよね 

為になりましたね。 ・ω・

おすすめ

1件の返信

  1.   より:

    真っ先にトレンドマイクロへ侵入するような攻撃に、外部からの通報なんてありえない。
    だからこそ、この報告は、侵入されていた時間を公開したくないだけの、言い訳にしか聞こえない。
    これでは、携帯向けのアプリもリジェクトされる予感しかしないよ。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です