AnyDesk、インシデントへの主張と対処がちぐはぐ 有識者ら“説得力なし”と一喝:Cybersecurity Dive
リモートアクセスツール「AnyDesk」を運営するAnyDesk SoftwareはセキュリティインシデントによってAnyDeskの本番システムが侵害されたと伝えた。同社の主張と対応の食い違いに研究者らから疑念の声が挙がっている。
全世界で17万人以上の顧客を持つリモートアクセスツール「AnyDesk」を運営するAnyDesk Softwareは2024年2月2日(現地時間)、セキュリティインシデントによって、AnyDeskの本番システムが侵害されたと報告した。
同社はこれに対処したが、主張と対応に見られる食い違いにアナリストや研究者から疑念が持ち上がっている。
結局被害に遭ったのか? AnyDesk Softwareの“ちぐはぐ”な主張に疑念の声
AnyDesk Softwareは、2024年1月中旬にシステムの一部で怪しい動きがある旨の警告を受けた。同社はセキュリティ企業CrowdStrikeの支援を受け、侵害の証拠を発見した後、インシデントによって認証情報を一斉にリセットしたにもかかわらず(注1)、リモートでの監視と管理を実行するツールの安全性が保たれていることを顧客に保証していた。
AnyDesk Softwareは、2024年2月5日に公開したブログ投稿とFAQで「状況はコントロールできており、ソフトウェアの安全性は保たれている。顧客データが流出したという証拠はなく、このインシデントによってエンドユーザーのデバイスに影響があったという証拠もない」とコメントした(注2)(注3)。
さらに同社は「今回の攻撃はランサムウェアに基づくものではなく、恐喝も受けていない」と主張している他、セッションハイジャックの可能性は極めて低いとしており、最新バージョンのソフトウェアの使用を確認するよう顧客に呼びかけた。
しかしAnyDesk Softwareは、コード署名証明書を含む全てのセキュリティ関連証明書を失効させ、Webポータルにおける全てのパスワードのリセットを開始しており、情報漏えいが発生していないにもかかわらずこれらの対応を実施する理由には疑念が残る。
セキュリティ企業Blackpoint Cyberのニック・ハイアット氏(脅威インテリジェンスディレクター)は「これは重大なインシデントだったと思われる。企業が理由なくコード署名証明書を再発行することはない」と述べた。セキュリティ企業SentinelOneとHuntressの研究者も、AnyDesk Softwareの対応と顧客に発生したリスクについて懸念を示している。
AnyDesk Softwareは「コードに悪意のある変更は見つからず、認証情報の侵害は理論的なリスクにすぎないが、完全に排除することはできない」と結論付けた。
「この発言は説得力がなく、曖昧に聞こえる。リスクの存在を証明できたのかどうか、もしくは分からないのかどうかを素直に打ち明けるべきだ」(ハイアット氏)
AnyDesk Softwareは脅威活動がいつ実行されたのか、攻撃者がどのようにして同社のシステムにアクセスしたのか、攻撃中に具体的にどのシステムが侵害されたのかを明らかにしていない。
攻撃者はリモートアクセスツールが大好物
AnyDeskをはじめとするリモートアクセスツールは、攻撃者に頻繁に狙われており、下流組織への侵害に関する業界の懸念が高まっている。
「AnyDeskはランサムウェア攻撃においてよく悪用される。攻撃者はリモートアクセスツールが大好きだ。特に、一切の検証なく悪用できるものを好む」(ハイアット氏)
ハイアット氏によると、Blackpointは2023年5月以降、AnyDeskが不正に使用された2000件以上の事例を観測している。これらの活動はAnyDeskのシステムに対する最近の攻撃とは関係ないが、攻撃者がリモートアクセスツールを利用して標的の環境に足場を築く方法の一つの例である。
(注1)AnyDesk initiates extensive credentials reset following cyberattack(Cybersecurity Dive)
(注2)AnyDesk Incident Response 5-2-2024(AnyDesk)
(注3)AnyDesk FAQ(AnyDesk)
関連記事
- Oktaが一連のサイバー攻撃について“猛省” セキュリティ文化の変革を宣言
Oktaは一連のサイバー攻撃への対処について、同社の決算報告会で改善することを誓い、セキュリティの甘さにつながる文化の変革に乗り出すとした。その具体的な取り組みとは。 - Gartner、2024年サイバーセキュリティにおける6つのトップトレンドを発表
Gartnerは、2024年におけるサイバーセキュリティのトップトレンドを発表した。生成AIをはじめとした6つのトレンドが挙がっている。 - ランサムウェアグループの巨人LockBitがテイクダウン 日本が果たした役割とは?
ランサムウェアグループの中でも最大勢力とされる「LockBit」がEuropolらを中心としたチームの手によってテイクダウンされました。今回はこの作戦で日本が果たした役割を紹介します。 - 「完全にやりすぎ」 インシデント開示規則の撤廃を求める企業たち
ジョー・バイデン大統領は、企業に対してサイバーインシデントとガバナンスプロセスの開示を義務付けるSECの権限の剥奪を目的とした共同決議案を拒否する意向を示した。
© Industry Dive. All rights reserved.