HPE、ハッカーがアクセスキーを使ってAruba Centralに侵入していたことと発表

HPEは、同社のネットワーク監視プラットフォームであるAruba Centralのデータリポジトリが侵害され、攻撃者が監視対象デバイスとその位置に関する収集データにアクセスしていたことを公表しました。

https://www.arubanetworks.com/support-services/security-bulletins/central-incident-faq/

Aruba Centralは、管理者が1つのダッシュボードから大規模なネットワークやコンポーネントを管理できるクラウドネットワーキングソリューションです。

HPEは攻撃者が「アクセスキー」を入手し、Aruba Central環境に保存されている顧客データを閲覧できるようになったことを明らかにしました。

これは2021年10月9日からHPEがキーを無効にした10月27日までの18日間、アクセスすることができていたとのことです

公開されたリポジトリには2つのデータセットが含まれており、1つはネットワーク分析用、もう1つはAruba Centralの「コントラクト・トレーシング」機能用です。

1つのデータセット(「ネットワーク分析」)には、顧客のWi-Fiネットワークに接続されているWi-Fiクライアントデバイスに関する、Aruba Centralのほとんどの顧客のネットワーク遠隔測定データが含まれていました。

2つ目のデータセット(「コンタクト・トレーシング」)には、どのデバイスが他のWi-Fiクライアント・デバイスに近接しているかなど、Wi-Fiクライアント・デバイスに関する位置情報データが含まれていました

これらのリポジトリで公開されているネットワーク分析データセットには、MACアドレス、IPアドレス、オペレーティングシステム、ホスト名、および認証済みのWi-Fiネットワークでは個人のユーザー名が含まれているとのことです。

コントラクトトレーシングのデータセットには、ユーザーが接続した日付、時間、Wi-Fiアクセスポイントも含まれており、攻撃者がユーザーの一般的な居場所を追跡できる可能性がありました。

“データリポジトリ “には、日付、時刻、デバイスが接続された物理的なWi-Fiアクセスポイントの記録も含まれており、これによりユーザーの位置の大まかな周辺状況を把握することができました。この環境には(GDPRで定義されている)センシティブな個人データや特別なカテゴリーの個人データは含まれていませんでした

HPEのFAQに「バケット」という言葉が複数回出てくることから、プラットフォームで使用されているストレージバケットのアクセスキーを攻撃者が入手した可能性が高いと考えられます。

侵害に関する調査を行った結果、HPEは次のように結論づけました。

  • Aruba Central環境のネットワーク・アナリティクスおよびコンタクト・トレーシング機能のデータは、30日ごとに自動的に削除されるため、環境内には常に30日以上のデータは保存されていなかった。
  • この環境には個人データが含まれていましたが、機密性の高い個人データは含まれていませんでした。 個人データには、MACアドレス、IPアドレス、デバイス・オペレーティング・システムの種類とホスト名、および一部のユーザー名が含まれます。コンタクトトレースデータには、ユーザーのアクセスポイント(AP)名、近接度、およびそのAPに接続していた時間も含まれていました。
  • アクセスパターンおよびトラフィックパターンの広範な分析結果から、お客様の個人情報がアクセスされた可能性は極めて低いと考えています。
  • セキュリティ上重要な情報は漏洩していないため、パスワードの変更、キーの変更、ネットワーク構成の変更などの必要はないと考えています。

HPEは、今後のインシデントを防ぐために、アクセスキーの保護と保存方法を変更するとしています。

アクセスキーがどのようにして盗まれたのか、HPE社に問い合わせたところ、次のような声明が送られてきました。

「攻撃者がどのようにしてアクセスを得たのかを把握しており、今後の防止策を講じています。アクセストークンは当社の内部システムに結びついていませんでした。今回の事件で当社の内部システムは侵害されていません。 – HPE

コメントを残す

メールアドレスが公開されることはありません。