AnyDesk、インシデントへの主張と対処がちぐはぐ 有識者ら“説得力なし”と一喝：Cybersecurity Dive

リモートアクセスツール「AnyDesk」を運営するAnyDesk SoftwareはセキュリティインシデントによってAnyDeskの本番システムが侵害されたと伝えた。同社の主張と対応の食い違いに研究者らから疑念の声が挙がっている。

[Matt Kapko，Cybersecurity Dive]

　全世界で17万人以上の顧客を持つリモートアクセスツール「AnyDesk」を運営するAnyDesk Softwareは2024年2月2日（現地時間）、セキュリティインシデントによって、AnyDeskの本番システムが侵害されたと報告した。

　同社はこれに対処したが、主張と対応に見られる食い違いにアナリストや研究者から疑念が持ち上がっている。

結局被害に遭ったのか？　AnyDesk Softwareの“ちぐはぐ”な主張に疑念の声

　AnyDesk Softwareは、2024年1月中旬にシステムの一部で怪しい動きがある旨の警告を受けた。同社はセキュリティ企業CrowdStrikeの支援を受け、侵害の証拠を発見した後、インシデントによって認証情報を一斉にリセットしたにもかかわらず（注1）、リモートでの監視と管理を実行するツールの安全性が保たれていることを顧客に保証していた。

　AnyDesk Softwareは、2024年2月5日に公開したブログ投稿とFAQで「状況はコントロールできており、ソフトウェアの安全性は保たれている。顧客データが流出したという証拠はなく、このインシデントによってエンドユーザーのデバイスに影響があったという証拠もない」とコメントした（注2）（注3）。

　さらに同社は「今回の攻撃はランサムウェアに基づくものではなく、恐喝も受けていない」と主張している他、セッションハイジャックの可能性は極めて低いとしており、最新バージョンのソフトウェアの使用を確認するよう顧客に呼びかけた。

　しかしAnyDesk Softwareは、コード署名証明書を含む全てのセキュリティ関連証明書を失効させ、Webポータルにおける全てのパスワードのリセットを開始しており、情報漏えいが発生していないにもかかわらずこれらの対応を実施する理由には疑念が残る。

　セキュリティ企業Blackpoint Cyberのニック・ハイアット氏（脅威インテリジェンスディレクター）は「これは重大なインシデントだったと思われる。企業が理由なくコード署名証明書を再発行することはない」と述べた。セキュリティ企業SentinelOneとHuntressの研究者も、AnyDesk Softwareの対応と顧客に発生したリスクについて懸念を示している。

　AnyDesk Softwareは「コードに悪意のある変更は見つからず、認証情報の侵害は理論的なリスクにすぎないが、完全に排除することはできない」と結論付けた。

　「この発言は説得力がなく、曖昧に聞こえる。リスクの存在を証明できたのかどうか、もしくは分からないのかどうかを素直に打ち明けるべきだ」（ハイアット氏）

　AnyDesk Softwareは脅威活動がいつ実行されたのか、攻撃者がどのようにして同社のシステムにアクセスしたのか、攻撃中に具体的にどのシステムが侵害されたのかを明らかにしていない。

攻撃者はリモートアクセスツールが大好物

　AnyDeskをはじめとするリモートアクセスツールは、攻撃者に頻繁に狙われており、下流組織への侵害に関する業界の懸念が高まっている。

　「AnyDeskはランサムウェア攻撃においてよく悪用される。攻撃者はリモートアクセスツールが大好きだ。特に、一切の検証なく悪用できるものを好む」（ハイアット氏）

　ハイアット氏によると、Blackpointは2023年5月以降、AnyDeskが不正に使用された2000件以上の事例を観測している。これらの活動はAnyDeskのシステムに対する最近の攻撃とは関係ないが、攻撃者がリモートアクセスツールを利用して標的の環境に足場を築く方法の一つの例である。

（注1）AnyDesk initiates extensive credentials reset following cyberattack（Cybersecurity Dive）
（注2）AnyDesk Incident Response 5-2-2024（AnyDesk）
（注3）AnyDesk FAQ（AnyDesk）

原文へのリンク