サードパーティーベンダーへの侵害で、Cisco Duoの多要素認証コードが流出:Cybersecurity Dive
Cisco Duoを狙ったサイバー攻撃によって、法人顧客が使用していた多要素認証コードが流出した。影響を受けたCisco Duoの顧客は約1000社に及ぶ。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Cisco Systems(以下Cisco)のインシデント対応チームが顧客に送信した電子メールによると(注1)、サイバー攻撃によって、アクセス管理ソリューション「Cisco Duo」の顧客が使用していた多要素認証(MFA)コードが流出したという。攻撃者は特定されていない。
Cisco Duoの約1000の顧客で情報漏えい 狙われるMFA・SSOプロバイダー
Ciscoの広報担当者は、2024年4月16日(現地時間、以下同)に電子メールで次のように述べた。
「現時点でのサプライヤーからの情報に基づくと、Cisco Duoの顧客の約1%が影響を受けたようだ。私たちは調査を続けており、必要な場合には既定のチャネルを通じて影響を受けた顧客に通知している」
Ciscoによると、攻撃者は2024年4月1日にサードパーティーの通信事業者の内部システムに侵入し、フィッシング攻撃によって従業員の認証情報を取得した。その後、攻撃者はアクセス権を利用して、同年3月1日〜3月31日までに送信されたCisco Duoの顧客のSMSメッセージログを閲覧し、MFAコードを入手した。
Cisco Duoは全世界で10万以上の顧客を有している(注2)。Ciscoによると、今回の情報漏えいを受けて、約1000の顧客が危険にさらされている。同社は2018年に、MFAとシングルサインオン(SSO)のプロバイダーであるDuo Securityを23億5000万ドルで買収した。
「当社は今回のインシデントを調査して対処するため、サプライヤーと積極的に協力している」(Ciscoの広報担当者)
攻撃者は電話番号や通信事業者情報、地理的データ、メッセージの送信日時および種類を含むメッセージログを流出させた。Ciscoは通信事業者の名前を明らかにしなかったが、広報担当者によると、このサードパーティーベンダーは北米の受信者に対して、Cisco DuoのMFAメッセージをSMSとVoIP経由で送信しているという。
通信事業者がCiscoに語ったところによると、攻撃者は、内部システムへのアクセスを使用して、メッセージログに含まれる任意の番号にメッセージを送信していないようだ。
Ciscoは、影響を受けた顧客に対して送信したメッセージで次のように述べた。
「インシデントを発見した後、通信事業者は直ちに調査を開始し、従業員の資格情報を無効にするなどの緩和策を実施し、活動ログを分析し、インシデントをCiscoに報告した」
通信事業者はまた、ソーシャルエンジニアリング攻撃に関連するリスクを防止し、軽減するための対策を講じているともCiscoに伝えたようだ。Ciscoによると、影響を受けた顧客は、攻撃者によって盗まれたメッセージログのコピーを要求できるという。
MFAおよびSSOプロバイダーは、定期的にサイバー犯罪者に狙われている。アイデンティティー認証プロバイダーのTwilioに対する2022年のフィッシング攻撃では、160人以上の顧客のデータが流出した(注3)。
2022年から2023年にかけて、Oktaは複数の侵害に苦しんでおり、Okta顧客環境に影響を与える知名度の高い一連の攻撃が発生した(注4)(注5)。2023年9月、Oktaのサポートポータルに対する攻撃は(注6)、同社の顧客サポートシステムの全クライアントに影響を与えた。
(注1)[Important Notice] Security Incident Involving Duo Supplier(CISCO DUO)
(注2)Cisco Announces Intent to Acquire Duo Security(CISCO)
(注3)Twilio discloses more victims as phishing attack effects cascade(Cybersecurity Dive)
(注4)Okta customers’ IT staff duped by MFA reset swindle(Cybersecurity Dive)
(注5)Threat actors claim to have compromised MGM Resorts’ Okta environment(Cybersecurity Dive)
(注6)All Okta support system customers caught in previously disclosed breach(Cybersecurity Dive)
関連記事
2023年に最も狙われたリモートデスクトップツールは?
Barracudaは、サイバー攻撃者に悪用されるリモートデスクトップツールに関する調査結果を公開した。主に標的とされているツールとその脆弱性や攻撃手法について詳細が説明されている。
管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
サイバーセキュリティの仕事は難しく、常に感謝されるわけでもなく、燃え尽き症候群の報告も多いが、給与は悪くないようだ。ISC2の調査からセキュリティ業務に携わる人たちの平均年収が明らかになった。
Rustは「Go」や「C++」と比較して何が優れているのか? Googleエンジニアが語る
Googleは自社の経験を基に、ソフトウェア開発において、プログラミング言語RustがC++と比較して高い生産性と安全性を実現していると報告した。
「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
一般提供が開始された生成AIチャットbot「Microsoft Copilot for Security」。これはセキュリティ業務の役に立つのだろうか。セキュリティ担当者が実際に使ってみたメリット/デメリットを語った。
© Industry Dive. All rights reserved.
注目のテーマ
人気記事ランキング
- 日清食品グループの“やりすぎ”なぐらいのセキュリティ対策――キーパーソンが語る10年の歩み
- 全てのWi-Fiクライアントが影響を受ける可能性 「SSID混乱攻撃」の脅威
- Microsoftの“セキュリティ重要宣言”をどう見る? ユーザーが持つべき視点
- WinSCPとPuTTYの偽インストーラーに注意 検索エンジンの広告経由で感染を狙う
- AI活用強化に向けてIBMがPalo Alto Networksと提携 SIEM製品にwatsonxを搭載
- VMware、Workstation Pro 17とFusion Pro 13の個人利用を無償化 その狙いを探る
- MITREがサイバー攻撃に遭う 攻撃者はIvantiのVPN製品のゼロデイ脆弱性を悪用か
- NICTのセキュリティ演習受講者の情報がDropbox Sign経由で漏えいか
- ゼロトラストはいいことばかりではない? Gartnerが指摘するデメリット
- ”オープンなAI”実現に残る課題 なかなか標準化が進まない背景とは
ITmediaはアイティメディア株式会社の登録商標です。