2021 年 3 月 31 日 Josh Stuifbergen 著

1 月に発生した Ubiquiti(ユビキティ)社の情報流出事件で、同社の対応が適切ではなかった、という疑惑が浮上し回答を迫られています。この疑惑は、攻撃者が従業員のアカウントを経由して Ubiquiti の Amazon Web Service (AWS) アカウントにアクセスし、その後 root レベル (読み書き可能な管理者、またはそれ以上の権限) のアクセス権を得た、というインシデントに関係するものです。内部告発者は、「攻撃者はUbiquiti 従業員の LastPass アカウントから AWS 認証情報へのアクセスを得た」と主張しています。

Ubiquiti は今年 1 月、侵害の原因が、サードパーティのクラウドプロバイダである可能性を通知する文書を顧客宛に送信しました。しかし実際には Ubiquiti が最初の原因でした。これは事実を大きく歪曲しています。アダム (Krebs On Securityの記事における内部告発者の仮名) は

「攻撃者はシングルサインオン Cookie と、リモートアクセスのための暗号化されたシークレット、ソースコードを完全に制御するコンテンツ、および流出した署名鍵を入手している」

と述べ、この問題の深刻さについて強調しています。この疑惑が事実であれば、同社の怠慢によって顧客のクラウド接続デバイスがリモートからアクセスされ、悪用された可能性があり、非常に危険な状況になっています。Ubiquiti は顧客にパスワードのリセットを推奨しましたが、攻撃者が顧客の認証情報をすでに保持しているのなら、この対策では不十分だと考える人が大半でしょう。

Ubiquiti はデータベースアクティビティを記録していないため (理由は不明です)、攻撃者が顧客の認証情報にアクセスしたかどうかは証明できません。さらにひどいことに、アダムによれば

「すべての顧客の認証情報を強制的にローテーションし、この期間内にデバイスへのアクセス許可の変更があった場合は元に戻すように、との再三の要求があったにもかかわらず、同社の法務部門は却下した」

と述べています。

シングルサインオンのリモートアクセスに UniFi Cloud Key を使用している Ubiquiti の利用者は、リモートアクセスを無効にし、認証情報の再設定も検討する必要があります。また、Ubiquiti の利用者に限らず、すべてのユーザは、パスワードマネージャやその他のアカウントで多要素認証を有効にすることを検討してください。また可能であれば、SMS 認証ではなく認証アプリを使用することが望ましいです。

上記に加えて、攻撃者は Linux VM と複数のバックドアをインストールしました。攻撃者は、最初のバックドアが封鎖されたことに気づいた後、セキュリティ侵害について黙秘する代わりに50 ビットコインを要求するメッセージを送信しました。この金額は支払われていないようです。Ubiquiti 社のすべての疑惑、またはその一部が事実だった場合、適切な罰則が適用されることが望まれます。そうでなければ、このような行為が多くの企業で行われてしまう恐れがあります。