よくある攻撃経路が大規模な被害に
ADTの顧客データに影響したとされる漏えいは、大規模な企業侵入で驚くほど一般的になったパターンをたどっているようです。つまり、まずアイデンティティ層を侵害し、そのアクセスを使って価値の高いシステムへ大規模に到達するという流れです。提供された元文によると、Have I Been Pwned は、ハッキンググループ ShinyHunters に帰属するとされる漏えいに、ADT の顧客に関連する 550 万件の固有メールアドレスが含まれていたと報告しました。
ADT は支払い情報は侵害されなかったと述べましたが、同社はこの事件に顧客の氏名、電話番号、住所が含まれ、少数のケースでは社会保障番号や税務IDも含まれていたことを確認しました。支払いカードが流出していなくても、この組み合わせは依然として深刻です。なぜなら、攻撃者にとっては、本人確認詐欺、標的型フィッシング、長期的なセキュリティ被害に利用できる個人データが揃うからです。
攻撃者はどう侵入したのか
報告によれば、ShinyHunters は Bleeping Computer に対し、従業員の Okta シングルサインオン認証情報を侵害することで ADT の Salesforce アカウントにアクセスしたと語ったとされています。同報告は、攻撃で音声フィッシング、いわゆる vishing が使われたとも伝えています。もし事実なら、この事件は、十分なセキュリティ基盤を持つ組織であっても、アイデンティティとアクセスのシステムが依然として重大な障害点であることを示すもう一つの例です。
シングルサインオン製品はアクセス管理を簡素化し、強化するためのものですが、同時にリスクも集中させます。攻撃者が社内サポート担当者をうまく装ったり、従業員を操作したり、重要なアクセス基盤に結び付いた認証情報を奪取したりできれば、下流のシステムが持つ防御価値は急速に損なわれます。
特に、侵害されたアイデンティティが顧客関係管理システムのような高価値の業務プラットフォームを開けてしまう場合はなおさらです。その場合、攻撃者はアプリ自体に対して高度な脆弱性攻撃を行う必要がありません。盗んだ信頼を持って正面玄関から入ってくるだけです。
