KlueのハッキングがHuntress、HackerOne、その他3社のセキュリティ企業に影響

KlueのハッキングがHuntress、HackerOne、その他3社のセキュリティ企業に影響

市場インテリジェンスプラットフォームKlueでの侵害が、業界で最も有名な企業を含むサイバーセキュリティ企業のデータ侵害サプライチェーンインシデントを引き起こしました。Huntress、HackerOne、Jamf、Recorded Future、Taniumの各社はいずれも、今回のKlue侵害の直接的な結果としてデータが盗まれたことを確認しました。このインシデントは、ビジネスモデル全体が他者を保護することに構築されている組織でさえ、信頼していたベンダーによって足元をすくわれる可能性があることを痛烈に示しています。

影響を受けたセキュリティ企業と盗まれたデータ

確認された5社の被害企業は、サイバーセキュリティ業界の広範な領域にわたっています。Huntressは中小企業向けのマネージド検知・対応（MDR）を専門としています。HackerOneは世界で最も広く利用されているバグ報奨金・脆弱性開示プラットフォームの一つを運営しています。Jamfはエンタープライズ向けのAppleデバイス管理を専門としています。Recorded Futureは著名な脅威インテリジェンスプロバイダーです。Taniumはエンドポイント管理とセキュリティを大規模に提供しています。

これら5社はいずれもKlueの顧客です。Klueは市場インテリジェンスプラットフォームであり、企業が競合他社の動向を追跡するのを支援し、通常はさまざまな接続されたビジネスツールからデータを取り込みます。まさにその接続性が、Klueを高価値の標的にしたのです。Klueが顧客のシステムとの間に承認済みの統合を持っていたため、Klueへの侵害は、顧客を直接攻撃することなく、それらの環境への踏み台として武器化される可能性がありました。

各社から盗まれた具体的なデータは完全には開示されていませんが、この露出は純粋に内部の運用インフラではなく、顧客向けのビジネスシステムに関係していました。

Klueの侵害がどのようにセキュリティベンダーへのサプライチェーン攻撃となったか

この一件が、一つの市場調査会社から5社のサイバーセキュリティ企業へとどのように連鎖したのか、そのメカニズムは、サプライチェーン攻撃がなぜこれほど脅威アクターにとって魅力的になったのかを如実に示しています。堅牢なセキュリティベンダーを直接侵害しようとする代わりに、攻撃者はすでに鍵を握っている、より脆弱な上流の標的を侵害します。

Klueのケースでは、攻撃ベクトルにOAuthの脆弱性が関与しており、これにより脅威グループが接続されたSalesforce CRMデータへの不正アクセスを取得しました。先の報道で取り上げたSalesforce CRMデータの窃取を可能にしたKlueのOAuth侵害で報じられたように、「Icarus」として知られる脅威グループがこの認証の欠陥を悪用し、複数のKlue顧客のSalesforce環境に横展開しました。一度これらのCRMシステムに侵入すると、攻撃者は企業が通常極めて機密性が高いと扱う構造化されたビジネスデータ（顧客記録、パイプライン情報、取引履歴、アカウント連絡先）にアクセスできるようになりました。

これは典型的なサプライチェーン侵害です。被害組織は自社のインフラを保護する上で、技術的に何も間違ったことはしていませんでした。露出は完全に、信頼していたサードパーティが、自ら管理するOAuth統合を適切に保護できなかったことに起因しています。

なぜセキュリティ企業が脅威アクターにとって高価値な標的となるのか

脅威アクターが特にサイバーセキュリティ企業を標的にするのは直感に反するように思えるかもしれません。これらの組織は専門家の実務者を雇用し、成熟したセキュリティプログラムを維持し、攻撃の検出や対応に使われるツール自体を構築していることも少なくありません。

しかし、その専門知識は諸刃の剣です。セキュリティ企業は極めて機密性の高いデータを保持しています。たとえばHackerOneのプラットフォームは、脆弱性リサーチと企業開示の交差点に位置しています。Recorded Futureは脅威インテリジェンスを集約しており、悪意ある者の手に渡れば、防御側がアクティブな脅威について何を知っていて何を知らないかが明らかになる可能性があります。Huntressは何千もの中小企業のネットワークに対する深い可視性を持っています。これらのシステムのいずれかにアクセスできる敵対者は、単なるデータだけでなく、より広範なセキュリティエコシステムに関する戦略的インテリジェンスを手に入れることになります。

さらに、セキュリティベンダーは、その製品が機能するために特権的なアクセスを必要とするからこそ、多くの場合顧客環境に深く統合されています。この統合は攻撃対象領域を狭めるどころか、むしろ拡大させます。今回のKlueインシデントで標的となった企業は、自社製品を通じて侵害されたわけではありませんが、CRMシステムを通じてアクセス可能だった情報の価値は、努力に見合うだけの十分なものだったと考えられます。

ここでのパターンは、仲介ベンダーが他の十分に防御された組織への侵入口となった、他の注目すべきサプライチェーンインシデントとも重なります。定常的にCRMやセールスツールに接続してデータの取り込みと分析を行う市場調査や競合情報のプラットフォームは、多くのセキュリティチームがベンダー評価において歴史的に優先度を置いてこなかった、新たなリスクカテゴリーを代表しています。

これが意味すること

影響を受けた企業で働いている、またはそれらと取引がある場合、直ちに行うべきことは、自分のアカウントデータやビジネス情報が、アクセスされたSalesforce環境に保持されていたかどうかを確認することです。直接ベンダーに連絡し、どのカテゴリーのデータが露出したのか具体的な情報を求めてください。

より広範には、このインシデントは、自組織のリスクエクスポージャーを評価する上で、いくつかの具体的なプラクティスを強化するものです。

• OAuthとサードパーティ統合を定期的に監査する。 CRM、メール、ビジネスツールへの接続を許可されたあらゆるプラットフォームは、信頼関係があり、必要最小限の権限に見直し、スコープを絞る必要があります。
• アクセスを積極的にセグメント化する。 ベンダーは、その特定の機能を実行するために必要なデータにのみアクセスできるべきです。競合追跡データを必要とする市場インテリジェンスツールに、完全なCRMアクセスは必要ありません。
• ベンダースタック全体に多層防御戦略を適用する。 単一のセキュリティ管理策で十分ではありません。ベンダー統合全体に監視、アクセス制御、異常検知を重層化することで、いずれかの侵害による爆発半径を縮小できます。
• ベンダーリストを自社の攻撃対象領域の一部として扱う。 組織が接続するすべてのSaaSツールは、潜在的な侵入口です。どのベンダーがどのアクセス資格情報を保持しているかを定期的にレビューすることで、攻撃者よりも先に予期しない露出を明らかにできます。

Klueのインシデントは、サプライチェーン攻撃が実際にどのように機能するかを示す有益なケーススタディです。攻撃者は、HuntressやHackerOneを彼ら自身の得意分野で打ち負かす必要はありませんでした。より脆弱な侵入口を見つけ、それを悪用し、そこにあるものを収集したのです。プライバシーを重視するユーザーにとっても、セキュリティ意識の高い組織にとっても、教訓は明白です。自組織のセキュリティ態勢は、ベンダーエコシステムの中で最も弱い統合と同程度の強さしかありません。今、次のインシデントが発生する前にこれらの接続を見直すことが、あらゆる組織が実行可能な最も実践的な対策です。