BeyondTrust製品に複数の脆弱性 12月に起きたサイバー攻撃との関連は？：Cybersecurity Dive

BeyondTrustは2024年12月、攻撃者が侵害されたAPIキーを利用して、限られた数のリモートサポート用のSaaS型インスタンスにアクセスしたと警告した。Censysによると同製品に関連する8600件以上のインスタンスが依然として露出しているという。

[David Jones，Cybersecurity Dive]

　サイバーセキュリティ事業を営むCensysは2025年1月2日（現地時間、以下同）にブログを更新し（注1）、BeyondTrustの特権アクセス管理製品に関連する8600件以上のインスタンスが長期にわたり露出していると明らかにした。これは、BeyondTrust製品の特定の顧客を標的に実行された連続的な攻撃から数週間後に公表された。

BeyondTrust製品に複数の脆弱性が見つかる　サイバー攻撃との関連は？

　BeyondTrustは2024年12月、攻撃者が侵害したAPIキーを利用して、限られた数のリモートサポート用のSaaS型インスタンスにアクセスしたと警告した（注2）。2024年12月30日の週、米国財務省は「特定の国家との関連が疑われる攻撃者がBeyondTrustのキーを使用して複数のワークステーションにアクセスし（注3）、機密性の低い情報を盗んだ」と述べた。

　2025年1月2日のブログ投稿で、Censysの研究者たちは「露出しているインスタンスの全てが脆弱（ぜいじゃく）だとは考えていない」と話した。これは同社がそれらのインスタンスのバージョンにアクセスできないためである。

　今回の攻撃は、政府機関や重要な業界に属する企業がリモートサポートツールに依存して業務を実施することに伴う潜在的リスクを示唆している。2024年、BeyondTrustは「自社のポートフォリオに2万以上の顧客がおり、Fortune 100に認定されている企業100社のうち75社が利用している」と述べていた。

　2024年12月にBeyondTrustは、連続して実行された攻撃の調査中に、「CVE-2024-12356」としてリストに掲載された重大な脆弱性と（注4）、「CVE-2024-12686」として掲載された中程度の重大性を備えた脆弱性を公開し（注5）、修正した。

　CVE-2024-12356は、コマンドインジェクションに関連する重大な脆弱性で、共通脆弱性評価システム（CVSS）におけるスコアは9.8だ。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、2024年12月に同脆弱性を、「既知の悪用された脆弱性カタログ」（KEV：Known Exploited Vulnerabilities Catalog）に掲載した。

　BeyondTrustは、これらの脆弱性が連続した攻撃と直接関連しているとは明言していないが、原因を調査して影響をより深く理解するために、当局や外部の専門家と協力している。

　財務省は「攻撃者が盗まれたキーを使用してセキュリティシステムを無効にし、ワークステーションにアクセスした」と述べている。攻撃において脆弱性がどのような役割を果たしたのかについては特に言及されていない。

　上院議員であるティム・スコット氏と、下院議員であり下院金融サービス委員会の副委員長でもあるフレンチ・ヒル氏は、財務長官であるジャネット・イエレン氏に宛てて、2025年1月10日までに今回のインシデントに関する説明会を開催するように求める書簡を送付した。米国財務省は当初、スコット氏と議員であるシェロッド・ブラウン氏に対して、手紙で情報を公開していた。

（注1）January 2 Advisory: Actively Exploited Vulnerability in BeyondTrust Products [CVE-2024-12356]（censys）
（注2）BeyondTrust customers hit by wave of attacks linked to compromised API key（Cybersecurity Dive）
（注3）Treasury Department says state-linked hacker gained access to unclassified data in major attack（Cybersecurity Dive）
（注4）CVE-2024-12356 Detail（NIST）
（注5）CVE-2024-12686 Detail（NIST）