Interviews Brawte nfaq 0 Comments

CISA、CommvaultのAzureゼロデイ攻撃でSaaSプロバイダーが攻撃対象になると発表

Table of Contents

CISA、CommvaultのAzureゼロデイ攻撃でSaaSプロバイダーが攻撃対象になると発表

サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、SaaS 企業がセキュリティの弱いクラウド アプリを狙う犯罪者からの攻撃を受けていると警告しています。

デフォルト設定と昇格された権限を持つアプリがこれらの攻撃の目的だが、米当局は今週発表したメッセージの中で、この活動が特定のグループによるものであるとは言及していない。

しかし、この警告は、データ セキュリティ企業の Commvault が今月初めに公開した勧告に続くもので、同社の Azure 環境で不正なアクティビティが検出されたことが明らかにされている。

Commvaultの最高信頼責任者であるダニエル・シアー氏は、ブログ投稿の中で、Microsoftが2月に同社に連絡し、国家レベルの悪意ある組織がCommvaultのシステムに侵入した兆候があると報告したと述べた。

当時の別のアドバイザリでは、国家レベルの攻撃者とみられる者がCommvaultのゼロデイ脆弱性(CVE-2025-3928 – 8.7)を悪用し、「少数の顧客」が影響を受けたことが確認されました。この脆弱性の詳細は未だ明らかにされていませんが、利用するには認証済みの認証情報が必要です。

この脆弱性は 4 月 28 日に CISA の既知の悪用された脆弱性 (KEV) カタログに追加され、悪用に成功するとリモートの攻撃者が Web シェルを作成して実行する可能性があるという詳細が追加されました。

各KEVエントリには、その脆弱性がランサムウェア攻撃で悪用されることが知られているかどうかも記載されています。この場合、CVE-2025-3928の値は「不明」です。

シアー社は、Commvault が顧客のために保護しているデータへのアクセスはなく、この事件は Commvault の業務運営に影響を及ぼさなかったことを確認した。

しかし、数か月に及ぶ調査の結果、Commvault は、犯罪者の目的が企業の M365 環境に侵入するために使用できるアプリの資格情報を取得することであったことを確認しました。 

CISA は今週、このゼロデイ攻撃によって攻撃者が Commvault の Azure ホスト型 M365 バックアップ SaaS ソリューションに侵入できるようになり、そこからアプリケーションの秘密が Commvault に保存されている顧客の M365 環境にアクセスできるようになると発表した。

CISAは、SaaS業界に対するこの広範なキャンペーンの規模については明らかにしていないものの、「この脅威活動は、デフォルト設定と昇格された権限を持つさまざまなSaaS企業のクラウドアプリケーションを標的とした、より大規模なキャンペーンの一部である可能性があると考えている」と述べた。

これを読んで「次は自分たちかも」と考えている人は、組織とその顧客に対する攻撃の脅威を軽減するために CISA のガイダンスに従うことをお勧めします。

  • 30万台以上のコンピュータを攻撃したDanaBotマルウェアの背後に潜む疑わしい存在が明らかに
  • Ivantiは、バグだらけのキットを攻撃せずにはいられない中国のスパイたちの熱狂的なファンを生み出している
  • Ivanti、攻撃を受けている2つのゼロデイ脆弱性を修正、情報機関が顧客に警告
  • エンタープライズテクノロジーはゼロデイ攻撃を支配しており、減速の兆候はない

Microsoft Entra ログは、Commvault アプリまたはサービス プリンシパルから発信された資格情報への不正な変更や不正に追加された資格情報を識別する上で重要な役割を果たします。

同庁は、いかなる基準からの逸脱も疑わしいものとして扱い、それに応じたインシデント対応プロトコルを制定する必要があると付け加えている。

CISA は、Entra 監査およびサインインを含む Microsoft ログも、組織のインシデント対応計画に沿って内部の脅威ハンティングを実施するために使用する必要があることを推奨しています。

シングルテナント アプリの場合、CISA では、アプリ サービス プリンシパルの認証が Commvault の許可リスト範囲内の IP アドレスによってのみ実行されるように条件付きアクセス ポリシーを設定することを推奨しています。

ジェットコースターを楽しむ二人

マイクロソフト、企業に影響を与えるM365の廃止に向けて準備

続きを読む

Commvault アプリケーション シークレットを管理している組織 (その数は限られています) は、今年 2 月から 5 月の間に利用可能だった Commvault Metallic アプリケーションおよびサービス プリンシパルで、それらのシークレットと資格情報をローテーションする必要があります。

最後に、Entraで管理者権限を持っているものの、必ずしも必要ではないアカウントがないか確認します。可能な場合は権限を減らしてください。 

オンプレミスの Commvault のお客様は、技術的に可能な場合は、管理インターフェースへのアクセスを信頼できるネットワークと管理システムに制限する必要があります。

関連するすべてのCommvaultパッチが適用されていることを確認してください(クラウドベースのお客様には自動的に適用されます)。また、WAFを使用してパストラバーサルの試みや疑わしいファイルのアップロードを検出・ブロックします。Commvaultアプリへの外部アクセスも削除してください。®

Interviews

Smart Recommendations

Discover More