Cisco Systemsはこのほど、「[Important Notice] Security Incident Involving Duo Supplier」において、同社のアクセス管理ソリューション「Cisco Duo」の提携先となる電気通信事業者が不正アクセスを受け、多要素認証(MFA: Multi-Factor Authentication)のログを窃取されたと報じた。
不正アクセスの概要
Cisco Duoは多要素認証とデバイスの可視化を実現するアクセス管理ソリューションで、ユーザーの認証リクエストに応じて多要素認証メッセージを生成・送信する機能を持つ。今回発生した不正アクセスは、シスコではなく、Cisco Duoがショートメッセージサービス(SMS: Short Message Service)またはVoIP(Voice over Internet Protocol)を使用して多要素認証メッセージを送信する際に利用する電気通信事業者において発生した。
シスコの発表によると、2024年4月1日(米国時間)、脅威アクターがフィッシング攻撃を通じて電気通信事業者の従業員の認証情報を窃取。この認証情報を悪用して電気通信事業者の内部システムに侵入し、多要素認証のログを窃取したという。
窃取されたログは2024年3月1日から3月31日までのDuoアカウントにて特定のユーザーに送信されたSMSメッセージログとされる。このメッセージログにメッセージ本文は含まれていないが、送信先の電話番号、電話会社、国、州、その他のメタデータ(メッセージの日時など)が含まれていたという。
影響と対策
電気通信事業者は不正アクセスを検出すると速やかに従業員のアカウントを停止して調査を開始。また、同様の攻撃を防止するための対策と、追加の技術的対策の導入も開始したとのことだ。
シスコは、不正アクセスの影響を受けたCisco Duoの顧客(MFAを提供する事業者など)に窃取されたログのコピーを提供する用意があるとしている。Cisco Duoの顧客はコピーをリクエストすることで漏洩した情報の詳細を確認できるとみられる。
シスコはCisco Duoの顧客に対し、直接の影響を受ける認証システムを利用したユーザーに情報漏洩の事実を通知し、アドバイスを提供するように要請している。影響を受ける認証システムを利用したユーザーは脅威アクターによる追加のソーシャルエンジニアリング攻撃を受ける可能性があるという。