海外の大手ITベンダを含む数社がフィッシング活動の対象となり、その内インドIT大手のWiproでは不正アクセスによる被害を受けていたとして、Brian Krebs氏が4月15日に自身の取材で明らかにしました。ここでは関連する情報をまとめます。
Krebs氏が報じたインシデント
krebsonsecurity.com
krebsonsecurity.com
krebsonsecurity.com
- Wiproはインドで3番目の規模のITアウトソーシング企業。
- 4月15日に初報、17日にWipro側のコメントを受けて、18日にIoC等のフォローアップなどの続報を報じた。
- Wiproへ国家が関与する攻撃者により数か月の侵入発生。
- Wiproのシステムより得た情報からフィッシング攻撃に利用されていた可能性。
- Wiproの取引先少なくとも11社がこれの被害を受けたとみられる。
- 侵入者の攻撃基盤に保管された複数のWiproの顧客名から明らかになったもの。
- 被害を受けた具体的企業名の公開については情報元は断った。
- Wipro内部は依然安全性が担保されておらず未知の侵害された端末が残っている可能性がある。
- 米国の大手小売店からの情報によれば、Wiproへの侵害結果を悪用し小売店へギフトカード詐欺を行っていた模様。
Wipro事案の情報源
- Wiproの件でKrebs氏への情報提供元は4者。
- 最初の情報提供者は2名、その後さらに2名が増えた。
- いずれも匿名を条件に取材を受けた。
Wiproへの攻撃手口
- フィッシングを起点に合計23名のWipro従業員のアカウントが侵害。
- ConnectWise Control(ScreenConnect)を利用してWiproのネットワークへリモート接続。
- Wipro社内の100台以上のシステムにこのソフトウェアがインストールされていた。
- Mimikatzなどを用いて少なくとも1台のエンドポイントが攻撃されていることが確認された。
urlscan.ioに残っていた記録からフィッシングサイトが確認された。
Wiproの公式発表
Wipro Statement pic.twitter.com/Z7bPKpzJtC
— Wipro Limited (@Wipro) 2019年4月16日
- Wiproネットワーク上の少数の従業員アカウントで潜在的に異常活動を検出。
- 今回の事案は高度なフィッシングキャンペーンに起因するもの。
- 既に影響範囲は特定され、その封じ込めをするための軽減的な措置は講じられている。
- セキュリティ体制強化のために脅威情報の収集及び監視を行っている。
- 第三者のフォレンジック企業による調査支援を受けている。
- ET techの取材に対しても同様に回答を寄せている。
Wipro COOはKrebs氏記事の多くが誤りと主張
The Wipro quarterly earnings call would have gone really well if that pesky @briankrebs hadn't shown up... pic.twitter.com/LWEgdio6pf
— Graham Cluley (@gcluley) 2019年4月16日
- 四半期毎に行われる投資家向け電話会議ではKrebs氏の情報の多くは誤りであると説明。
- 説明に立ったのはWiproのBhanu Ballapuram COO。
- 指摘された問題は対処済み。
- COOは何らかのゼロデイ攻撃が用いられたと主張したが、Krebs氏の質問には答えず。
- 攻撃関連の情報はアンチウィルスベンダと共有している。
対象となった可能性のある企業
- Wipro事案の関連が疑われるIoCをKrebs氏が公開。
- ドメイン8件、IPアドレス5件、検体(悪用されたとされるScreenConnectなど)13件。
internal-message.appのサブドメインに紐づけられたIPアドレス185.159.83.24から興味深い情報が確認されたとして深堀した結果を掲示。- サブドメイン名にWipro以外の企業とみられる文字列が含まれていた。
- その内いくつかはCRN Solution Providerに選出されるIT企業大手が含まれている。
- Krebs氏、他報道*1から一部企業がWipro同様に攻撃を受けていたことが明らかとなった。
| Avanade | 34名の従業員が2月に影響を受けた。 顧客ポートフォリオ、データへの影響はない。 アクセンチュア、Microsoftの調査により独立した事案であると結論。 |
| Capgemini | 内部のSOCで3月4日~19日までの間 非常に限定的なPC、サーバーで疑わしい活動を検出。 是正措置は即時に行われ、社内、および顧客への影響は確認されていない。 |
| Cognizant | 顧客データへの侵害を検出していない 大手であり、スピアフィッシングの対象となることは珍しいことではない。 特定業界への事件に関連して追加のセキュリティ対策を講じた。 |
| Infosys | 脅威インテリジェンスベンダのITサービスを利用 インディケーターを子細に分析したがネットワーク侵害たる状況は確認されていない |
| Rackspace | 社内への影響が及んだと判断できる情報は確認されていない。 問題を確認した際な措置を講じる。 |
| PCM | 取材へのコメントは控える |
| Salom | 3月4日~19日にかけフィッシング活動を検出。 Wipro事案との相関を確認している。 SOCや脅威インテリジェンスの自動化等の対策を講じている。 |
他名前が挙がっている次の組織ではコメントなど報じられていない。
関連タイムライン
| 日時 | 出来事 |
|---|---|
| 2019年2月 | Avanadeで従業員がセキュリティ上の問題の影響を受けた。 |
| 2019年3月11日 | Wiproで最初のフィッシング攻撃による被害が発生。 |
| 2019年3月16日~19日 | Wiproに対してフィッシング活動が継続。22名が被害。 |
| 2019年3月4日~19日 | CapgeminiのSOCで社内から疑わしい活動を検出。 |
| 2019年3月4日~19日 | Salomへのフィッシング活動を検出。 |
| 2019年4月初め | Wiproのインシデントについて、Krebs氏へ情報提供。 |
| 2019年4月9日 | Krebs氏がWipro側へコメント要求。 |
| 2019年4月10日 | Wipro 広報責任者から出張中であり、回答に数日を要すると返答。 |
| 2019年4月12日 | WiproはKrebs氏の質問にいずれも該当しないとの声明を返答。 |
| 2019年4月15日 | Krebs氏が取材記事を公開。 |
| 2019年4月16日 | Wiproが高度なフィッシングによる潜在的な問題を検知したと発表。 |
| 2019年4月17日 | Krebs氏がWiproの報道を受け続報記事を公開。 |
| 2019年4月18日 | Krebs氏がIoC等の詳細な関連情報を続報として公開。 |
更新履歴
- 2019年4月23日 AM 新規作成