Medibank

オーストラリアの情報コミッショナーによる痛烈な報告書は、設定ミスと警告の見逃しにより、ハッカーがメディバンクに侵入し、900万人以上からデータを盗むことができた経緯を詳述している。

2022年10月、オーストラリアの医療保険プロバイダーであるメディバンクは、同社の業務を妨害するサイバー攻撃を受けたことを明らかにした。

その1週間後、同社は、脅威行為者が顧客の個人データすべてと大量の健康保険請求データを盗み出し、970万人に影響を与えるデータ漏洩を引き起こしたことを確認した。

この攻撃のデータはその後BlogXXとして知られるランサムウェア・ギャングによって流出し、このギャングはシャットダウンされたREvilランサムウェア・ギャングの分派であると考えられていた。

この攻撃は最終的に、オーストラリア、英国、米国から制裁を受けたアレクサンドル・ゲンナディエビッチ・エルマコフというロシア人に関連するものだった。

OAICの調査結果

オーストラリア情報コミッショナー事務局(OAIC)が発表した新しい報告書では、同事務局の調査により、重大な運用上の失敗がハッカーによるメディバンクのネットワーク侵入を可能にしたと断定している。

「情報コミッショナーは、2021年3月から2022年10月にかけて、メディバンクが1988年プライバシー法に違反し、個人情報の悪用や不正アクセス、開示から個人情報を保護するための合理的な措置を講じなかったことにより、970万人のオーストラリア国民のプライバシーを著しく侵害したと主張している」とOAICのプレス声明は述べている。

報告書によると、ことの発端は、メディバンクの契約社員(ITサービスデスク・オペレーター)が業務用コンピュータで個人用ブラウザ・プロファイルを使用し、メディバンクの認証情報をブラウザに保存したことだった。

これらの認証情報はその後、彼の自宅のコンピュータに同期され、そのコンピュータは情報窃取マルウェアに感染し、脅威行為者は2022年8月7日に彼のブラウザに保存されたすべてのパスワードを盗むことができた。これらの認証情報により、メディバンクの標準アカウントと昇格アクセス(管理者)アカウントの両方にアクセスできるようになった。

「関連期間中、管理者アカウントは、ネットワークドライブ、管理コンソール、ジャンプボックスサーバーへのリモートデスクトップアクセス(特定のメディバンクのディレクトリとデータベースへのアクセスに使用)など、メディバンクのシステムのほとんど(すべてではないにせよ)にアクセスできた」とOAICの報告書は述べている。

メディバンク情報漏えいの背後にいる攻撃者が、盗んだ認証情報をオンラインのダークウェブ・サイバー犯罪市場から購入したのか、それとも情報窃取マルウェア・キャンペーンを実施したのかは不明である。

しかし、脅威者は8月12日にこれらの認証情報を使用して、まず同社のマイクロソフト・エクスチェンジ・サーバーに侵入し、その後メディバンクのパロアルトネットワークス・グローバルプロテクト・バーチャルプライベートネットワーク(VPN)にログインし、企業ネットワークへの内部アクセスを提供した。

報告書によると、メディバンクはVPNの認証情報に多要素認証を導入していなかったため、ユーザーのデータを保護できず、認証情報にアクセスできる人なら誰でもデバイスにログインできてしまったという。

「関連期間中、メディバンクのグローバル・プロテクトVPNへのアクセスには2つ以上の身元証明や多要素認証(MFA)が必要なかったため、脅威者はメディバンクのクレデンシャルのみを使用して認証し、メディバンクのグローバル・プロテクトVPNにログオンすることができた。むしろ、メディバンクのグローバル・プロテクトVPNは、デバイス証明書、またはユーザー名とパスワード(メディバンク・クレデンシャルのような)のみが必要となるように設定されていた」と報告書は続けた。

この内部ネットワークへのアクセスを利用して、脅威者はシステムを通じて拡散を開始し、2022年8月25日から10月13日の間に同社のMARSデータベースとMPLFilerシステムから520GBのデータを盗み出しました。

このデータには、顧客の氏名、生年月日、住所、電話番号、電子メールアドレス、メディケア番号、パスポート番号、健康関連情報、請求データ(患者名、医療機関名、主/副診断・処置コード、治療日など)が含まれていた。

さらに悪いことに、報告書によると、同社のEDRソフトウェアは8月24日と25日に不審な行動に関する警告を発したが、適切にトリアージされなかったという。

メディバンクがMicrosoft Exchange ProxyNotShellインシデントを調査するために脅威インテリジェンス会社を導入したのは10月中旬のことで、サイバー攻撃でデータが盗まれたことが判明した。

MFAによる認証情報の保護

情報を盗むマルウェアやデータ侵害によって何十億ものクレデンシャルが盗まれているため、多要素認証のような追加防御なしでは防御が難しい大規模な攻撃対象が形成されている。

したがって、MFAを使用することで、脅威行為者がネットワークに侵入することをはるかに困難にする追加の防御が追加されます。

これは特にVPNゲートウェイに当てはまる。VPNゲートウェイはインターネット上に公開され、遠隔地の従業員が企業ネットワークにログインできるように設計されている。

しかし、これはまた、ランサムウェアのギャングや 他の脅威行為者がネットワークに侵入するために一般的に標的とする攻撃面を提供するため、MFAなどの追加の防御で保護する必要がある。