レジスター紙が独占取材したところによると、英国国防省のビジネスネットワーキング組織がハッキングされ、最高レベルのセキュリティ認可を持つ英国防衛関係者最大831人の個人情報が盗まれた。
情報公開法に基づいて請求された国防省とナイトワークスの間のやり取りは、ところどころ大幅に編集されているものの、昨年我々が報じたナイトワークスへのサイバー攻撃の成功によって英国の防衛界がいかに危険にさらされたかを明らかにしている。
ナイトワークスのウェブサイトは、現在5か月以上「メンテナンス中」で、侵害を受けており、国防省に正式なネットワーキングフォーラムを提供することを目的としている。
ハッキングに先立つプレスリリースでは、Niteworksとの契約が2年間延長され、2018年まで(総額1億5500万ポンドと予想)と発表されていました。皮肉なことに、このプレスリリースでは、Niteworksは「サイバー攻撃防御を通じた効果的な訓練の提供を含む、軍の作戦および能力計画を支援する幅広い専門的助言」を提供していると説明されていました。
昨年11月、ナイトワークスのメンバーに送られた電子メールには、「niteworks.netウェブサイトのメンバーエリアのログイン情報を保存するデータベースが攻撃され、複数の偽アカウントが作成された」と告白されており、国防省は「英国政府の機密情報は漏洩していない」と述べている。
国防省の業界セキュリティ通知 (PDF) の規定により、請負業者と下請業者は、国防省が所有、処理、または生成した情報に関連するセキュリティ インシデント (侵入、セキュリティ違反、損失、侵害など) を共同セキュリティ調整センター (JSyCC) に直ちに報告する義務があります。
この報告は、 The Registerが入手した編集済みの電子メールに含まれていました。それによると、Niteworks自身はICOに侵害を報告したものの、JSyCCへの報告に「特定のフォーマットがあるかどうか」が不明であったことが明らかになりました。BAE SystemsはJSyCCに報告する必要があると伝えていました。ある電子メールには、「BAE Systems(Niteworksをホストしているが、当社のウェブサイトの責任は負っていない)は、高レベルの問題について[JSyCC]に別途報告する予定である」とも記されていました。
Niteworks は JSyCC への報告書の中で、出来事の簡単なタイムラインとサイトの詳細を次のように伝えました。
別記事で「様々なハーブ薬の広告」に相当すると説明されているこの改ざんは、侵害の標的が漏洩したデータベースではなかったことを示唆しています。むしろ、スパマーが一般的な脆弱性を悪用し、ハーブ薬(一般的にスパムメールを通じて販売される)を売り込もうとした可能性が考えられます。ただし、そのようなスパマーがサイトに複数の偽アカウントを登録していたことは特筆に値します。
また、より高度な脅威アクターが、Niteworksが「名前、組織、電子メールアドレスに限定された国防省および防衛産業パートナースタッフの個人データ」と表現したデータへのアクセスを隠すために、意図的にサイトを改ざんすることを選択した可能性も疑われている。
パスワードにもアクセスされましたが、Niteworksは、パスワードは実際には暗号化されており、当初報告されたように平文で保存されていたわけではないと主張しています。「データベースにはパスワードフィールドもありましたが、こちらは暗号化されており、暗号化が破られたという証拠はありません」と同社はJSyCCに述べています。ただし、侵害活動のログに「暗号化が破られた」という証拠が見つかる可能性は低いでしょう。
国防省は、容疑者を特定したかどうか、また容疑者が誰であるかをレジスター紙に報告することを拒否した。
Niteworksは、自社のウェブサイトには「静的コンテンツだけでなくファイルも含まれていた」と報告しており、攻撃者はそれらにアクセスできた。ファイルの内容の全リストは以下に記載されており、ネットワーク担当者が指摘しているように、「いかなる情報も公式レベル以上の機密扱いにはなっていない」。
ハッキングへの対応には、オープンソースの CMS プロバイダー Symphony の導入におけるソフトウェアのアップグレードや、登録ユーザーの監査の実施など、基本的な脆弱性テストが含まれていました。
データ侵害に関しては、「831件の疑わしくないアカウントアドレスに、侵害について通知し、niteworks.netで使用されたのと同じメールアドレスとパスワードの組み合わせを使用している他のサイトではパスワードを変更するようアドバイスし、登録したメールアドレスに対するフィッシング攻撃の可能性が高まっていることを警告するメールが送信された。」
これらのメールのうち355件は「配信不能として返送され、関係組織の代表者には、可能であれば関係者にメッセージを転送するよう求めるメッセージが送信された」。
エリートハックス
攻撃に応じて送られた大量の電子メールの中には、ナイトワークスと国防省の間で交わされたあるやり取りがあり、この件に関する電話や電子メールに応答する前に注意するよう個人に促していた。
これは、セキュリティクリアランスのレベルが異なる数百人の個人に影響を及ぼすハッキングで個人情報が漏洩した場合には標準的な手法だと私たちは考えていたが、悪名高い狡猾な敵がこのような反応を引き起こしたようだ。
国防省はThe Registerに対し、「2015年11月4日にwww.niteworks.netが改ざんされた攻撃を認識している。直ちに措置が取られており、攻撃が会員やNiteworksに悪影響を及ぼしたという証拠はない」と述べた。
Niteworksは記事掲載時点ではコメントを発表していない。®
