piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

海外のIT大手などを狙ったフィッシング活動についてまとめてみた

海外の大手ITベンダを含む数社がフィッシング活動の対象となり、その内インドIT大手のWiproでは不正アクセスによる被害を受けていたとして、Brian Krebs氏が4月15日に自身の取材で明らかにしました。ここでは関連する情報をまとめます。

Krebs氏が報じたインシデント

krebsonsecurity.com
krebsonsecurity.com
krebsonsecurity.com

  • Wiproはインドで3番目の規模のITアウトソーシング企業
  • 4月15日に初報、17日にWipro側のコメントを受けて、18日にIoC等のフォローアップなどの続報を報じた。
  • Wiproへ国家が関与する攻撃者により数か月の侵入発生。
  • Wiproのシステムより得た情報からフィッシング攻撃に利用されていた可能性。
  • Wiproの取引先少なくとも11社がこれの被害を受けたとみられる。
  • 侵入者の攻撃基盤に保管された複数のWiproの顧客名から明らかになったもの。
  • 被害を受けた具体的企業名の公開については情報元は断った。
  • Wipro内部は依然安全性が担保されておらず未知の侵害された端末が残っている可能性がある。
  • 米国の大手小売店からの情報によれば、Wiproへの侵害結果を悪用し小売店へギフトカード詐欺を行っていた模様。
Wipro事案の情報源
  • Wiproの件でKrebs氏への情報提供元は4者。
  • 最初の情報提供者は2名、その後さらに2名が増えた。
  • いずれも匿名を条件に取材を受けた。
Wiproへの攻撃手口
  • フィッシングを起点に合計23名のWipro従業員のアカウントが侵害。
  • ConnectWise Control(ScreenConnect)を利用してWiproのネットワークへリモート接続。
  • Wipro社内の100台以上のシステムにこのソフトウェアがインストールされていた。
  • Mimikatzなどを用いて少なくとも1台のエンドポイントが攻撃されていることが確認された。

f:id:piyokango:20190422060608p:plain

Wiproの公式発表

  • Wiproネットワーク上の少数の従業員アカウントで潜在的に異常活動を検出。
  • 今回の事案は高度なフィッシングキャンペーンに起因するもの。
  • 既に影響範囲は特定され、その封じ込めをするための軽減的な措置は講じられている。
  • セキュリティ体制強化のために脅威情報の収集及び監視を行っている。
  • 第三者のフォレンジック企業による調査支援を受けている。
  • ET techの取材に対しても同様に回答を寄せている。
Wipro COOはKrebs氏記事の多くが誤りと主張

  • 四半期毎に行われる投資家向け電話会議ではKrebs氏の情報の多くは誤りであると説明。
  • 説明に立ったのはWiproのBhanu Ballapuram COO。
  • 指摘された問題は対処済み。
  • COOは何らかのゼロデイ攻撃が用いられたと主張したが、Krebs氏の質問には答えず。
  • 攻撃関連の情報はアンチウィルスベンダと共有している。

対象となった可能性のある企業

f:id:piyokango:20190423053508p:plain
f:id:piyokango:20190423053914p:plain
f:id:piyokango:20190423054400p:plain
f:id:piyokango:20190423054706p:plain
f:id:piyokango:20190423054846p:plain

  • その内いくつかはCRN Solution Providerに選出されるIT企業大手が含まれている。
  • Krebs氏、他報道*1から一部企業がWipro同様に攻撃を受けていたことが明らかとなった。
Avanade 34名の従業員が2月に影響を受けた。
顧客ポートフォリオ、データへの影響はない。
アクセンチュア、Microsoftの調査により独立した事案であると結論。
Capgemini 内部のSOCで3月4日~19日までの間 非常に限定的なPC、サーバーで疑わしい活動を検出。
是正措置は即時に行われ、社内、および顧客への影響は確認されていない。
Cognizant 顧客データへの侵害を検出していない
大手であり、スピアフィッシングの対象となることは珍しいことではない。
特定業界への事件に関連して追加のセキュリティ対策を講じた。
Infosys 脅威インテリジェンスベンダのITサービスを利用
インディケーターを子細に分析したがネットワーク侵害たる状況は確認されていない
Rackspace 社内への影響が及んだと判断できる情報は確認されていない。
問題を確認した際な措置を講じる。
PCM 取材へのコメントは控える
Salom 3月4日~19日にかけフィッシング活動を検出。
Wipro事案との相関を確認している。
SOCや脅威インテリジェンスの自動化等の対策を講じている。

他名前が挙がっている次の組織ではコメントなど報じられていない。

関連タイムライン

日時 出来事
2019年2月 Avanadeで従業員がセキュリティ上の問題の影響を受けた。
2019年3月11日 Wiproで最初のフィッシング攻撃による被害が発生。
2019年3月16日~19日 Wiproに対してフィッシング活動が継続。22名が被害。
2019年3月4日~19日 CapgeminiのSOCで社内から疑わしい活動を検出。
2019年3月4日~19日 Salomへのフィッシング活動を検出。
2019年4月初め Wiproのインシデントについて、Krebs氏へ情報提供。
2019年4月9日 Krebs氏がWipro側へコメント要求。
2019年4月10日 Wipro 広報責任者から出張中であり、回答に数日を要すると返答。
2019年4月12日 WiproはKrebs氏の質問にいずれも該当しないとの声明を返答。
2019年4月15日 Krebs氏が取材記事を公開。
2019年4月16日 Wiproが高度なフィッシングによる潜在的な問題を検知したと発表。
2019年4月17日 Krebs氏がWiproの報道を受け続報記事を公開。
2019年4月18日 Krebs氏がIoC等の詳細な関連情報を続報として公開。

更新履歴

  • 2019年4月23日 AM 新規作成