GoDaddy

米連邦取引委員会(FTC)は、ウェブホスティング大手のGoDaddyに対し、HTTPS APIや多要素認証の義務化など、基本的なセキュリティ保護を実施するよう求め、2018年以降、ホスティングサービスを攻撃に対する安全性を確保できていなかったとの告発に決着をつける。

FTCは、アリゾナ州を拠点とする同社の合理的なセキュリティ慣行という主張も、GoDaddyが標準的なセキュリティツールや慣行を導入していなかったために、かえって「ホスティング環境の脆弱性や脅威に気付かなかった」ため、何百万ものウェブホスティングの顧客を欺いたとしている。

「何百万もの企業、特に中小企業は、GoDaddyのようなウェブホスティングプロバイダーに、自社とその顧客が信頼するウェブサイトの安全性を依存しています

「FTCは本日、GoDaddyのような企業が世界中の消費者を保護するためにセキュリティシステムを強化することを確実にするために行動します。

FTCの訴状によると、GoDaddyの不合理なセキュリティ慣行には、多要素認証(MFA)の使用、ソフトウェアアップデートの管理、セキュリティ関連イベントのログ、ネットワークのセグメント化、セキュリティ脅威の監視(多数のログから脅威を積極的に検出できるソフトウェアの使用を怠るなど)、ファイル整合性監視の使用が含まれています。

同社はまた、資産の棚卸しと管理、ウェブサイト・ホスティング・サービスのリスク評価、消費者データへのアクセスを提供するサービスへの安全な接続も怠っていた。

甘いセキュリティ慣行が複数の侵害を招いた

FTCによると、2019年から2022年にかけて、こうしたデータセキュリティの不備が複数の大規模なセキュリティ侵害につながり、脅威行為者が顧客のウェブサイトやデータにアクセスする結果となった。

例えば、2023年2月、ホスティング大手は、数年にわたる侵害でcPanel共有ホスティング環境に侵入した後、未知の攻撃者がソースコードを盗み出し、侵害されたサーバーにマルウェアをインストールしたと公表した。

同社は、ウェブサイトが未知のドメインへのリダイレクトに使用されているという顧客からの苦情を受け、2022年12月初旬にようやく侵害を発見したと述べている。

GoDaddyは当時、2021年11月と2020年3月に公開されたセキュリティ侵害もこのキャンペーンに関連していることも明らかにした。

2021年11月の侵害では、120万人のマネージドWordPress顧客が影響を受けました。攻撃者は漏洩したパスワードを使用してGoDaddyのホスティング環境に侵入し、一部の顧客からメールアドレス、WordPress管理者パスワード、sFTPおよびデータベース認証情報、SSL秘密鍵を入手しました。

2020年3月の侵害後、GoDaddyは2019年10月に攻撃者がウェブホスティング認証情報を使用してSSH経由で接続したことを28,000人の顧客に通知しました。

従業員と顧客へのMFAの義務化

和解命令案によると、FTCはGoDaddyに強固な情報セキュリティプログラムの確立を義務付け、同社のセキュリティ保護について顧客に誤解を与えることを禁止する。この命令ではまた、GoDaddyが独立した第三者評価者を雇い、同社の情報セキュリティプログラムの2年ごとのレビューを実施することも義務付けられています。

同社はまた、すべての顧客、従業員、請負業者のスタッフに対して、「あらゆるデータベースへの接続を含む、ホスティングサービスをサポートするツールまたは資産に」必須のMFAを追加し、「認証アプリケーションの統合やセキュリティキーの使用を許可するなど、顧客が電話番号を提供する必要のない少なくとも1つの方法」を追加するよう求められている。

また12月、FTCはマリオット・インターナショナルとスターウッド・ホテルに対し、2014年と2018年に大規模なデータ漏洩を引き起こし、3億4,000万件以上の宿泊客の記録が流出した失敗を受け、強固なデータ・セキュリティ・プログラムの実施を命じた。

マリオットは2014年10月にFTCと和解し、これらのデータ漏えいに関連する請求を解決するため、49州に5200万ドルを支払うことに合意した。

更新 1月16日 14:34 EST:必須MFA要件を含む記事に修正。

更新 1月17日08:28 EST:記事掲載後、GoDaddyから以下の声明が届きました:

GoDaddyには、ウェブホスティングのお客様に革新的な製品を提供してきた長い歴史があります。当社はお客様のデータとWebサイトの保護に重点を置いており、システムと情報の保護に役立つ技術、ツール、人材に多大なリソースを投資しています。当社は常にセキュリティ能力を向上させており、FTCとの和解合意に含まれる多くの要件をすでに実施しています。特筆すべきは、この問題の解決には過失を認めず、金銭的な罰則もないことです。FTCとの合意条項を遵守することによる財務的影響は最小限にとどまると予想しています。当社は今後も、進化する脅威に対処し、当社の顧客、そのウェブサイト、およびデータの安全を維持するために、防御への投資を継続する予定です。