ルーター、ファイアウォール、VPN などのエンタープライズ サイバーセキュリティ ツールは、侵入者や悪意のあるハッカーから企業ネットワークを保護するために存在します。これは、リモート ワークやハイブリッド ワークが普及している今日の時代には特に重要です。
しかし、組織を外部の脅威から守るためのツールとして売り出されているにもかかわらず、これらの製品の多くには、悪意のあるハッカーがこれらの製品が保護するように設計されたネットワークに侵入できるソフトウェアのバグが含まれていることが繰り返し発見されています。
これらのバグは、近年の大規模ハッキング攻撃の急増の原因とされている。悪意のあるハッカーは、簡単に悪用されることが多いこれらのセキュリティ上の欠陥を悪用して、何千もの組織のネットワークに侵入し、企業の機密データを盗んでいる。
私たちは大規模ハッキングの簡単な歴史をまとめており、さらなるハッキングが明らかになった時点でこの記事を更新する予定です。
2023年1月:Fortraファイル転送ツールのハッキングが130の組織に影響
この10年間で最初の大規模ハッキングの一つは、悪名高いランサムウェア集団がFortraのGoAnywhereマネージドファイル転送ソフトウェアの脆弱性を悪用したものでした。GoAnywhereは企業がインターネット上で大容量ファイルや機密データセットを共有するために使用する製品です。活動的なClopランサムウェア集団はこのバグを悪用して130以上の組織に侵入し、数百万人の個人データを盗みました。この脆弱性はゼロデイとして悪用されたため、Fortraは攻撃を受ける前に修正する時間がありませんでした。Clopは後に、ハッカーに身代金を支払わなかった被害組織から盗んだデータを公開しました。日立エナジー、セキュリティ大手Rubrik、フロリダに拠点を置く医療技術組織NationBenefits(この攻撃で300万人以上の会員のデータが盗まれた)は、バグのあるソフトウェアが原因で侵入があったと報告しました。
2023年5月: MOVEitの欠陥により6000万人のデータが盗まれる
MOVEitへの大規模ハッキングは、史上最大規模の大規模情報漏洩事件の一つとして今もなお記憶に新しい。ハッカーたちは、プログレス・ソフトウェア社が開発した、広く利用されている別のファイル転送ソフトウェアの脆弱性を悪用し、数千の組織からデータを盗み出した。サイバーセキュリティ企業Emsisoftによると、この攻撃はClopランサムウェア集団が犯行声明を出しており、同集団はMOVEitの脆弱性を悪用して6,000万人以上の個人情報を盗んだという。米国政府サービス契約大手のMaximusは、ハッカーが最大1,100万人の個人医療情報にアクセスしたことを確認し、MOVEit情報漏洩の最大の被害者となった。
2023年10月:シスコのゼロデイ脆弱性により数千台のルーターが乗っ取られる危険性
大規模なハッキングは2023年後半まで続き、ハッカーは10月を通してシスコのネットワークソフトウェアに存在する未修正のゼロデイ脆弱性を悪用し、エンタープライズスイッチ、ワイヤレスコントローラー、アクセスポイント、産業用ルーターなど、同ソフトウェアを利用する数万台のデバイスに侵入しました。このバグにより、攻撃者は「侵入したデバイスを完全に制御」できるようになりました。シスコはこの脆弱性の影響を受けた顧客の数を明らかにしていませんが、インターネット接続デバイスと資産の検索エンジンであるCensysは、約4万2000台の侵入されたデバイスがインターネットに公開されていることを確認したと述べています。
2023年11月: ランサムウェア集団がCitrixのバグを悪用
大企業や政府機関がアプリケーション配信やVPN接続に利用するCitrix NetScalerは、わずか1か月後の2023年11月に、最新の大規模ハッキング攻撃の標的となりました。「CitrixBleed」と呼ばれるこのバグにより、ロシアと関係のあるランサムウェア集団LockBitは、大手企業のNetScalerシステムから機密情報を取得することができました。被害を受けたのは、航空宇宙大手のボーイング、法律事務所アレン・アンド・オーヴェリー、そして中国工商銀行です。
2024年1月:中国のハッカーがIvantiのVPNのバグを悪用して企業に侵入
中国政府支援のハッカーがIvantiの企業向けVPNアプライアンス「Connect Secure」に存在する2つの重大なゼロデイ脆弱性を大規模に悪用し始めた後、Ivantiは大規模ハッキングの代名詞となりました。Ivantiは当時、影響を受けた顧客は限られていると発表していましたが、サイバーセキュリティ企業のVolexityは、世界中で1,700台以上のIvantiアプライアンスが悪用され、航空宇宙、銀行、防衛、通信業界の組織に影響を与えていることを発見しました。影響を受けたIvantiシステムを運用していた米国政府機関は、システムの即時停止を命じられました。これらの脆弱性の悪用は、その後、中国が支援するスパイ集団「Salt Typhoon」との関連が指摘され、この集団は最近、少なくとも9社の米国通信会社のネットワークにハッキングを行ったことが判明しました。
2024年2月: ConnectWiseの顧客がリモートアクセスツールのバグによりハッキングされる
2024年2月、ハッカーたちはConnectWise ScreenConnectの2つの「容易に悪用される」脆弱性を狙いました。ScreenConnectは、ITおよびサポート技術者が顧客のシステムに直接リモートで技術サポートを提供できる人気のリモートアクセスツールです。サイバーセキュリティ大手のMandiantは当時、同社の研究者らが2つの脆弱性の「大規模な悪用」を確認したと発表しました。これらの脆弱性は、パスワード窃取ツール、バックドア、そして場合によってはランサムウェアを展開するために、様々な脅威アクターによって悪用されていました。
ハッカーがIvantiの顧客に新たなバグを(再び)仕掛ける
Ivantiは2024年2月にも、広く利用されている企業向けVPNアプライアンスの新たな脆弱性を攻撃者が悪用し、顧客をハッキングした事件で再び注目を集めました。インターネットの脆弱性をスキャン・監視する非営利団体Shadowserver Foundationは当時、TechCrunchに対し、サーバー側の脆弱性を悪用しようとするIPアドレスが630件以上確認されたと発表しました。この脆弱性により、攻撃者は脆弱なIvantiアプライアンスによって保護されているはずのデバイスやシステムにアクセスできるようになります。
2024年11月:パロアルトのファイアウォールバグにより数千社が危険にさらされる
2024年後半、サイバーセキュリティ大手パロアルトネットワークスが開発し、世界中の顧客が使用しているソフトウェアに存在する2つのゼロデイ脆弱性をハッカーが悪用し、数千に及ぶ組織に侵入した可能性がある。パロアルトネットワークスの次世代ファイアウォールすべてで稼働するオペレーティングシステム(OS)「PAN-OS」に存在するこれらの脆弱性により、攻撃者は企業ネットワークに侵入し、機密データを盗み出すことが可能だった。パロアルトのパッチをリバースエンジニアリングしたセキュリティ企業watchTowr Labsの研究者によると、これらの欠陥は開発プロセスにおける基本的なミスに起因するという。
2024年12月:クロップがクレオの顧客を危険にさらす
2024年12月、ランサムウェア集団「Clop」は、またもや人気のファイル転送技術を標的に、新たな大規模ハッキング攻撃を開始しました。今回は、イリノイ州に拠点を置くエンタープライズソフトウェアメーカー、Cleo Software社製のツールの脆弱性を悪用し、同社の顧客数十社を標的としました。2025年1月初旬までに、Clopは、米国のサプライチェーンソフトウェア大手Blue Yonderやドイツの製造大手Covestroなど、Cleo傘下の企業約60社をハッキングしたとされるリストに掲載しました。1月末までに、Clopはさらに50人のCleoによる大規模ハッキングの被害者とされる人物をダークウェブのリークサイトに追加しました。
2025年1月:新年、Ivantiの新たなバグが攻撃を受ける
新年は、Ivantiが再びハッカーの被害に遭うという形で幕を開けました。この米国のソフトウェア大手は、2025年1月初旬、ハッカーが同社のエンタープライズVPNアプライアンスに存在する新たなゼロデイ脆弱性を悪用し、企業顧客のネットワークに侵入しようとしていると顧客に警告しました。Ivantiは、影響を受けた顧客は「限定数」であると述べましたが、具体的な人数については明らかにしませんでした。Shadowserver Foundationは、そのデータによると、数百の顧客システムにバックドアが仕掛けられていることが明らかになったと述べています。
12月以降に悪用されたフォーティネットのファイアウォールのバグ
Ivantiの最新のバグが公表されてからわずか数日後、フォーティネットは、ハッカーが同社のファイアウォールの脆弱性を別々に悪用し、企業およびエンタープライズ顧客のネットワークに侵入していたことを確認した。この脆弱性は同社のFortiGateファイアウォールに影響し、セキュリティ調査会社によると、少なくとも2024年12月以降、ゼロデイ脆弱性として「大規模に悪用」されていたという。フォーティネットは影響を受けた顧客の数を明らかにしなかったが、攻撃を調査しているセキュリティ調査会社は、数十台ものデバイスに侵入が及んでいることを確認した。
ソニックウォールはハッカーが顧客を遠隔ハッキングしていると発表
2025年1月は、企業向けセキュリティソフトウェアのバグを悪用するハッカーにとって、依然として活発な月でした。SonicWallは1月下旬、未だ正体不明のハッカーが同社のエンタープライズ製品の一つに新たに発見された脆弱性を悪用し、顧客ネットワークに侵入していると発表しました。SonicWallのSMA1000リモートアクセスアプライアンスに影響を与えるこの脆弱性は、Microsoftの脅威研究者によって発見され、「実際に悪用されていることが確認されている」とSonicWallは述べています。同社は、影響を受けた顧客の数や、技術的に確認できるかどうかについては明らかにしていませんが、2,300台以上のデバイスがインターネットに公開されていることから、この脆弱性は2025年の最新の大規模ハッキングとなる可能性があります。
