2019年8月27日、米セキュリティ企業Impervaは自社のクラウドWAF製品で情報流出があったと発表しました。ここでは関連する情報をまとめます。
Impervaの発表
ソフトバンク・テクノロジーから注意喚起としてImperva 日本現地法人の発表が掲載されている。
発表内容の意訳
- Imperva製品でセキュリティインシデントが発生し、一部の顧客の情報流出があった。
- 影響範囲は過去にIncapsulaと呼称されていたCloud WAF製品に限定される。
- 2017年9月15日までにCloud WAFを契約していたアカウントが対象。
- 2019年8月20日に第三者から顧客情報が閲覧可能と教えられたことが発端。
公開されていた情報
次の情報を含む顧客データベースが公開されていた。
- メールアドレス
- ハッシュ、およびソルトが行われたパスワード
さらに一部の顧客では以下の情報が公開されていた。
- APIキー
- 顧客より提供を受けたSSL証明書(Custom SSL Certificate)
Impvervaの対応
- 内部のセキュリティ対応チームの発足による全容解明に向けた調査の継続
- 適切なグローバルの規制組織への連絡
- 外部のフォレンジック専門家への調査支援依頼
- クラウドWAF製品へのパスワード強制ローテーション、有効期限90日間の設定
- 影響を受ける全ての顧客への直接の連絡
またすべての顧客に対して次の対策を推奨。
- Cloud WAF 管理 Web GUI(MY)のパスワード変更
- シングルサインオンの実装
- 二要素認証の有効化
- 新しいSSL証明書の発行、登録
- APIキーのリセット
原因は明らかにされていない
- ZDnetの取材に対しては調査進行中により詳細情報が提供できないとコメント。
更新履歴
- 2019年8月28日 AM 新規作成
- 2019年8月28日 AM 日本現地法人の発表を反映