2025年4月16日、アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)は、Oracle Cloudへのサイバー攻撃(不正アクセス)によるレガシークラウド情報漏洩の可能性に関する報告を受け、組織や個人に対して資格情報の流出と悪用に関する注意喚起を発表しました。
現時点でインシデントの範囲や影響は未確定ですが、CISAは「ハードコードされた認証情報(資格情報)の存在が、長期的な不正アクセスを可能にし、特に深刻なリスクを生む」と指摘し、以下のようなリスクと対策を記載しています。
懸念される資格情報のリスク
今回懸念されているのは、以下のような機密性の高い情報の流出です
-
ユーザー名およびメールアドレス
-
パスワード
-
認証トークン
-
暗号鍵(Encryption Keys)
これらの資格情報は、以下のような悪用が可能であり、重大なセキュリティリスクにつながります
-
権限昇格および社内ネットワークでの横展開(ラテラルムーブメント)
-
クラウドサービスやID管理システムへの不正アクセス
-
フィッシング攻撃やビジネスメール詐欺(BEC)
-
クレデンシャルの犯罪マーケットへの転売
-
他の漏洩データと結合した高度な標的型攻撃(APT)
組織への推奨対応策
CISAは企業や組織に対し、以下の対応を強く推奨しています:
-
パスワードの即時リセット:
既知の影響を受けたユーザーのパスワードを、ローカルおよびクラウド両方でリセット。特にID連携が未整備な場合は優先的に対応。 -
ハードコードされた資格情報の見直し:
ソースコードや自動化スクリプト、構成ファイルに埋め込まれた認証情報の有無を確認し、安全なセキュアストレージ(シークレットマネージャー等)へ移行。 -
ログ監視の強化:
特権アカウント、サービスアカウント、フェデレーションアカウントに関する異常な認証活動を継続的に監視。 -
フィッシング耐性のあるMFAの導入:
ユーザーと管理者アカウントのすべてに対して、技術的に可能な限りフィッシング耐性のある多要素認証(例:FIDO2など)を適用。
また、クラウドセキュリティのベストプラクティスに関するCISAとNSAの共同情報シートもあわせて参照するよう推奨されています。
個人ユーザーへの推奨対応
個人ユーザーにも以下のような予防措置が求められます
-
他サービスで同じパスワードを使い回している場合は、速やかに変更
-
サービスごとに強力かつユニークなパスワードを使用
-
MFAを有効化(可能であれば物理トークンや認証アプリを推奨)
-
ログインエラーやパスワード変更要求を装ったフィッシングメールへの警戒
関連記事
MITRE 脆弱性 管理のCVE プログラム 存続へ新たな動き-CVE財団が発足、米政府はMITRE契約を延長
Oracle Cloudへの不正アクセスと情報漏洩 疑惑、Oracle Fusion Middlewareの脆弱性を悪用か(CVE-2021-35587)
フィッシングメールとは 概要や手口を解説
CISA、「ロシアのサイバー脅威の監視をやめない」
中国、アジア冬季競技大会へのサイバー攻撃で米 NSA 職員を名指し非難
Zenkken、運営サイト「健康美容EXPO」で不正アクセスによる個人情報漏洩を公表
XZ Utilsにバックドアが仕込まれていた (CVE-2024-3094)
ビジネスメール詐欺の実態と対策-巧妙な手口で信頼関係を醸成
フィッシング詐欺とは? 手口や対策を解説
