国連のサーバ 42 台が侵害される
- Microsoft SharePoint の脆弱性を悪用 -
セキュリティ事件
2020.2.27
The New Humanitarian は 2020年1月29日、国際連合からリークされた内部機密文書を元にサーバの侵害についての調査報告 を公開しました。その報告を元に、判明している過程や被害の状況をご紹介します。
経過
時期 | イベント |
---|---|
2019年7月中頃 | Microsoft SharePoint の脆弱性 (CVE-2019-0604) を悪用され、国際連合ウィーン事務局 (以下、ウィーン事務局と呼びます) のサーバに侵入を許す |
2019年7月15日 | 国際連合ジュネーヴ事務局 (以下、ジュネーヴ事務局と呼びます)に侵入される |
2019年7月末 | 国際連合人権高等弁務官事務所本部 (以下、人権事務所と呼びます) に侵入される |
2019年8月 | 侵害を検知 |
受けた被害
ジュネーヴ事務局、ウィーン事務局、および人権事務所の Active Directory のドメイン管理者アカウントを奪われました。 侵害を受けたサーバは、ジュネーヴ事務局の 33 台、ウィーン事務局の 4 台、および人権事務所の 3 台とされ、それ以外でも 25 台は侵害の疑いが持たれています。 侵害されたシステムには、印刷、アンチウイルス、および人事システムも含まれており、攻撃者は内部文書、データベース、メール、商業上の情報、個人データにアクセスできた可能性があります。攻撃主体や攻撃者が入手したデータの範囲は不明ながら、400 GB のデータがダウンロードされたと推測されています。
(なお国際連合は、国際連合の特権及び免除に関する条約によって、今回のような攻撃を受けた際にその被害の公表を義務付ける各国の法律の適用を免除されているため、今後も詳細が公表される可能性は極めて低いと考えられます。)
悪用された Microsoft SharePoint の脆弱性
悪用された Microsoft SharePoint の脆弱性 (CVE-2019-0604) は、2019年2月12日に修正プログラムと共にその情報が公開され、公開当初から深刻度は「Critical」とされていました。この脆弱性は、SharePoint サイトのユーザに悪意のある SharePoint アプリケーションパッケージをアップロードされることによって、SharePoint アプリケーションプールまたは SharePoint サーバファームアカウントのコンテキストで任意のコードを実行される可能性があるもので、Microsoft 社によって「悪用される可能性が高い」と判定されています。
以下は、SIDfm RA 脆弱性管理ツールでの当該脆弱性情報の画面を表示したものです。
国際連合のセキュリティ要件等は?
国際連合の公開 Web サイトに課されるセキュリティ要件では、
- 全ての利用可能なセキュリティアップデートは 30 日以内に評価され、それに応じて行動する必要がある
- Web サイトの機能に必要な全てのコンポーネントは、脆弱性に対するテスト、承認、および定期的なメンテナンスと更新が必要
とされています。しかしながら悪用された CVE-2019-0604 の情報公開日が 2019年2月12日であることと、侵害が開始された時期が 2019年7月であることを考えると、上記のセキュリティ要件が守られていたとは言えません。上記のセキュリティ要件は定められているものの、その実施は適切にチェックされていなかった可能性があります。 また 2018年3月の時点で、サポート切れの Windows 2000 や古い Linux のサーバ等が 223 台運用されていたとの記録もあります。
組織防衛のために
このように、国際連合のような国際的で巨大な組織においても、脆弱性が放置されれば攻撃されネットワークへの侵入を許してしまいます。 この問題への対策は脆弱性の修正をすることです。
あなたの組織では脆弱性が長期間放置されていませんか? 弊社の継続的脆弱性管理ツール SIDfm VM は、脆弱性が存在するホストの特定やパッチ管理まで、脆弱性管理をトータルでカバーいたします。
脆弱性の調査やパッチ探しは一切不要!
脆弱性対策を自動化できるので工数大幅削減!
さらに自社の脆弱性状況を全て可視化できるので
管理がグッと楽になる!
それらを全て実現するサービスがあります。
脆弱性管理ツール「SIDfm VM」について詳しくはこちらから
参照 : EXCLUSIVE: The cyber attack the UN tried to keep under wraps. The New Humanitarian. 2020.1.29