Mimecastは3月16日(米国時間)「Incident Report|Mimecast」において、SolarWinds製品の脆弱性に端を発する問題に関連して発生したサイバーインシデントに関する調査結果を報告した。Mimecastは同インシデントの影響で同社のシステムが不正アクセスを受けたことに気づき、内部調査を開始した。今回の報告はこの調査結果を伝えるもので、何が行われ、どのような対応を取ったのかが説明された。
Mimecastがサイバー犯罪者から受けたとされる主な内容は次のとおり。
- Mimecastが発行した特定の証明書および関連する顧客サーバ接続情報にアクセスがあった
- 電子メールアドレス、そのほか連絡先情報のサブセット、暗号化/ハッシュ化/ソルト化された資格情報にアクセスがあった
- ソースコードリポジトリの一部にアクセスしてダウンロードが行われた
- 脅威アクターは顧客やパートナーに通知する必要があるいくつかの情報にアクセスしていた
不正アクセスや一部ソースコードのダウンロードは行われたものの、次のように深刻な行為は行われていなかったことが説明されている。
- ソースコードが改竄された痕跡はなかった
- ビルドプロセスが改竄された痕跡はなかった
- Mimecastが顧客に代わって保持している電子メールおよびアーカイブにアクセスされた痕跡はなかった
今回のサイバーインシデントを受けて、Mimecastは次の対処を取ったという。
- 影響を受けるすべての証明書と暗号化キーのローテーションを実施
- 保存しているすべての資格情報の暗号化アルゴリズムの強度を強化
- 保存しているすべての証明書と暗号化キーの監視を強化
- すべてのインフラストラクチャに追加のホストセキュリティ監視機能をデプロイ
- SolarWinds Orionを廃止し、NetFlow監視システムに置き換え
- すべてのMimecast従業員、システム、管理者の資格情報をローテーション
- 従業員が本番システムにアクセスするためのハードウェアベース二要素認証を拡張
- 侵害されたすべてのサーバを完全に交換
- ビルドおよび自動化システムを調査し、Mimecastで配布された実行可能ファイルが改竄されていないことを確認
- ソースコードツリー全体に追加の静的セキュリティ分析を実装
SolarWinds製品の脆弱性に端を発するサイバーインシデントはかなり広範囲の組織に重大な影響を与えている。どの企業がどの程度の影響を受けたのか、依然として全容がわからない状況が続いている。