Cisco Duoを狙ったサイバー攻撃によって、法人顧客が使用していた多要素認証コードが流出した。影響を受けたCisco Duoの顧客は約1000社に及ぶ。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Cisco Systems(以下Cisco)のインシデント対応チームが顧客に送信した電子メールによると(注1)、サイバー攻撃によって、アクセス管理ソリューション「Cisco Duo」の顧客が使用していた多要素認証(MFA)コードが流出したという。攻撃者は特定されていない。
Ciscoの広報担当者は、2024年4月16日(現地時間、以下同)に電子メールで次のように述べた。
「現時点でのサプライヤーからの情報に基づくと、Cisco Duoの顧客の約1%が影響を受けたようだ。私たちは調査を続けており、必要な場合には既定のチャネルを通じて影響を受けた顧客に通知している」
Ciscoによると、攻撃者は2024年4月1日にサードパーティーの通信事業者の内部システムに侵入し、フィッシング攻撃によって従業員の認証情報を取得した。その後、攻撃者はアクセス権を利用して、同年3月1日〜3月31日までに送信されたCisco Duoの顧客のSMSメッセージログを閲覧し、MFAコードを入手した。
Cisco Duoは全世界で10万以上の顧客を有している(注2)。Ciscoによると、今回の情報漏えいを受けて、約1000の顧客が危険にさらされている。同社は2018年に、MFAとシングルサインオン(SSO)のプロバイダーであるDuo Securityを23億5000万ドルで買収した。
「当社は今回のインシデントを調査して対処するため、サプライヤーと積極的に協力している」(Ciscoの広報担当者)
攻撃者は電話番号や通信事業者情報、地理的データ、メッセージの送信日時および種類を含むメッセージログを流出させた。Ciscoは通信事業者の名前を明らかにしなかったが、広報担当者によると、このサードパーティーベンダーは北米の受信者に対して、Cisco DuoのMFAメッセージをSMSとVoIP経由で送信しているという。
通信事業者がCiscoに語ったところによると、攻撃者は、内部システムへのアクセスを使用して、メッセージログに含まれる任意の番号にメッセージを送信していないようだ。
Ciscoは、影響を受けた顧客に対して送信したメッセージで次のように述べた。
「インシデントを発見した後、通信事業者は直ちに調査を開始し、従業員の資格情報を無効にするなどの緩和策を実施し、活動ログを分析し、インシデントをCiscoに報告した」
通信事業者はまた、ソーシャルエンジニアリング攻撃に関連するリスクを防止し、軽減するための対策を講じているともCiscoに伝えたようだ。Ciscoによると、影響を受けた顧客は、攻撃者によって盗まれたメッセージログのコピーを要求できるという。
MFAおよびSSOプロバイダーは、定期的にサイバー犯罪者に狙われている。アイデンティティー認証プロバイダーのTwilioに対する2022年のフィッシング攻撃では、160人以上の顧客のデータが流出した(注3)。
2022年から2023年にかけて、Oktaは複数の侵害に苦しんでおり、Okta顧客環境に影響を与える知名度の高い一連の攻撃が発生した(注4)(注5)。2023年9月、Oktaのサポートポータルに対する攻撃は(注6)、同社の顧客サポートシステムの全クライアントに影響を与えた。
(注1)[Important Notice] Security Incident Involving Duo Supplier(CISCO DUO)
(注2)Cisco Announces Intent to Acquire Duo Security(CISCO)
(注3)Twilio discloses more victims as phishing attack effects cascade(Cybersecurity Dive)
(注4)Okta customers’ IT staff duped by MFA reset swindle(Cybersecurity Dive)
(注5)Threat actors claim to have compromised MGM Resorts’ Okta environment(Cybersecurity Dive)
(注6)All Okta support system customers caught in previously disclosed breach(Cybersecurity Dive)
© Industry Dive. All rights reserved.