それはクライアントにとって最悪の悪夢でした。 2021 年 3 月 8 日、ハッカーがセキュリティ会社およびビデオ監視プロバイダーである Verkada のシステムに侵入し、その開口部を利用して施設へのライブ ビデオ ストリームを含む顧客データにアクセスしました。

Verkada は、顧客の 97 台のカメラがアクセスされたり、ビデオや画像データが侵害されたことを確認しました。他の 8 人の顧客が Wi-Fi 認証情報にアクセスされました。そしてハッカーは、Verkada の Command 製品ユーザーのリスト (名前と電子メール アドレスを含む) と会社の販売注文のリストをダウンロードすることができました。

「攻撃者の侵入経路は、インターネットに公開された誤って設定されたカスタマー サポート サーバーを経由したものだった」と Verkada 氏は a「攻撃者がそのサーバーにアクセスすると、カスタマー サポート管理者の資格情報を見つけ、それを使用してカスタマー サポート Web インターフェイスにログインし、ユーザー セッションをエミュレートする内部サポート機能を使用して顧客のデバイスにアクセスしました。」

この経路を使用して、ハッカーは Verkada の顧客施設にある 4,530 台のカメラにアクセスした可能性があります。

「90分以上カメラは見られなかった」とヴェルカダ氏は語った。 「ログ ファイル内の情報が限られているため、ライブ ビデオがどの程度アクセスされたかは正確には不明です。攻撃者は Verkada プラットフォーム上に 6 つのビデオ アーカイブを作成し、87 のビデオ アーカイブにアクセスしました。15 People Analytics による人物画像の検索は 5 つの組織で実行されました。これらの組織のうち 4 つの組織の検索結果では、人物の画像に関連付けられたユーザーが入力したテキスト ラベルが返されました。」

4,530

Verkada 侵害中にハッカーがアクセスした可能性のあるカメラの数

---

Verkada 社は、侵害に気付いてから 1 日以内にハッカーのアクセスを取り消すことができたが、関与した顧客の一部が Cloudflare、病院、刑務所、テスラ工場、その他の注目を集める場所だったため、事件が一面ニュースになるまでは取り消すことができなかったと述べた。

ハッカーのティリー・コットマンはヴェルカダのハッキングの功績を主張し、のインタビューで語ったその会社を標的にした理由は、「多大な好奇心、情報の自由と知的財産に対する闘い、大量の反資本主義、アナキズムの兆しであり、また、それをしないのはあまりにも楽しいからです。」

事件後、Verkada は損害制御モードに入り、影響を受けたすべての顧客に侵害について通知し、インシデントの独立したレビューを実施するためにセキュリティ会社 Mandiant を雇用すること、チャートフ グループと提携すること、SOC 2 タイプ 1 の評価を実施すること、セキュリティ システムを強化すること、バグ報奨金プログラム、その他。

このインシデントは他のセキュリティ ベンダーにも行動を起こさせ、社内レビューを開始し、インフラストラクチャとサプライ チェーンの側面を評価する新たな取り組みを開始しました。

このプロセスを受けた企業の 1 社が Genetec, Inc. で、同社は事件を受けて特別委員会を設置しました。同様のシステム侵害が発生した場合に Genetec がどのように対処するかを評価するため。

同社はすでに、開発環境と本番環境の間の強力な分離など、嵐を乗り切ることができ、ハッカーが自社のネットワークを移動する能力を軽減できるいくつかの制御を導入していたと、ゼネテックの主任セキュリティ アーキテクトであるマチュー シュバリエは述べています。

さらに、Genetec のシステムへのアカウント アクセスは制限されているため、業務上アクセスが必要なユーザーのみがアクセスできると付け加えました。同社は多要素認証も実装しています。

「私たちが取り組み始めたことの 1 つは、当社の SOC (Genetec の IT セキュリティ側面を監視しているチーム) にも製品を監視させ、奇妙なパターンを特定させることです」と Chevalier 氏は言います。この監視機能を Genetec の既存の SOC に実装することで、同社は脅威の監視と軽減に対してより積極的なアプローチを取れるようになります。

これらのセキュリティ管理に加えて、シュバリエ氏は、彼のチームが製品チームと会い、Verkada 侵害事件と、同様の事件が自社の環境に影響を与えるのを防ぐために会社が何をしているかを説明したと述べています。

「このようなことが私たちに起こらないようにするために、ゴールの周りに人々を集めるのは良い訓練でした。また、製品チームにとっても興味深い取り組みにつながりました。」と彼は説明します。

また、知的財産を盗む試みから、クライアントのシステムや設備を監視するためのアクセスを取得する試み、ボットネット活動のためにネットワークを侵害する試みまで、セキュリティ ベンダーやメーカーが直面する脅威の種類についての意識を高める機会も提供されました。

---

社内では、リスク評価の一環として回答を検討し、不適合にフラグを立てます。

---

たとえば、2019 年以来、IBM X-Force チームは大量のモノのインターネット (IoT) マルウェア活動を監視してきました。この活動の多く (2021 年の時点で 74%) は、作成者が中国当局に逮捕されたにもかかわらず、Mozi ボットネットによって実行されました。

「感染後も、ネットワーク ゲートウェイ上で永続性を維持することができます。これは、[運用技術] ネットワークや [産業用制御システム] ネットワークなどの高価値ネットワークへの横方向の移動に特に効果的な初期アクセス ポイントとなり得ます。」.「さらに、ルーターに感染することで、Mozi の背後にいる攻撃者は、OT ネットワークへの攻撃を含む、ランサムウェアの展開につながる中間者攻撃を実行する態勢を整えることができます。」

報告書によると、Mozi は「多数の監視カメラ」や他の同様のデバイスに感染し、「組織が物理的なセキュリティ活動を効果的に実施する能力」を低下させることも確認されています。

このような脅威により、ビデオ管理システムに組み込まれる IP カメラなどの IoT デバイスのセキュリティがさらに重要になります。たとえば、一部のメーカーは、自社製品に影響を与える可能性のある既知の脆弱性を監視し、問題を解決してエコシステム全体のセキュリティを強化するよう社内チームと顧客に警告するというアプローチを採用しています。

そして、グローバル オペレーションおよびテクニカル サポートのディレクターである Julie Gauthier 氏は、さらにそのチェーンを見据えて、Genetec はベンダーやパートナーと協力して、Genetec の目標とセキュリティ目標に確実に一致するように取り組んでいると述べています。

「当社の社長は、安全な製品を提供するために最善を尽くしていること、そしてサイバーセキュリティについて私たちと同じように懸念している強力なベンダーとのみ提携していることを強く主張しています。」と彼女は説明します。

74%

2021 年の IoT マルウェア活動のうち Mozi ボットネットによって実行された割合

---

たとえば、Genetec は、ベンダーがサイバー認定を取得しているかどうか、侵入テストを実施しているかどうか、結果を共有してテストで明らかになった問題に対処する意欲があるかどうかを評価しています。同社はサプライヤーへのアンケートを利用してサプライヤーのサイバー慣行と倫理を評価するとともに、サプライチェーンのサイバー側面を調査する担当者を雇用し、ゼネテックのサプライヤーを特定のプラットフォームに登録してリスクを追跡し、それぞれの経営幹部にリスクを受け入れてもらっています。

「社内では、リスク評価の一環として回答を検討し、不適合にフラグを立てています」とシュバリエ氏は言います。 「その後、私たちはそれらのリスクをリスク所有者に提示し、サプライヤーと協力します。サプライヤーと面談するときは、サプライヤーが適切な評価を受けているかどうか、また、他の軽減策があるかどうかを確認し、リスクを移転するか受け入れるかします。さもなければ、このサプライヤーとは取引をしません。」

これを行っているのはゼネテック社だけではありません。米国標準技術研究所 (NIST) が以前に発行した財務、場所、事業継続のリスクについてサプライヤーを精査するため。しかし最近では、全体的なサプライヤーのリスク管理の一部としてサイバー リスクの評価を組み込んでいます。

「物理的およびサイバーセキュリティのプロセスは、サプライヤーの審査プロセス中に評価されています」と NIST はベストプラクティスのファクトシートで述べています。 「多くの企業は、サプライヤー契約や契約言語にもプロセス要件を含めています。」

これらのプロセスには、製造および運用上のセキュリティ対策、資産管理、人的セキュリティの実践、ソフトウェア エンジニアリングおよびアーキテクチャなどが含まれる可能性があります。ベンダーとそのサプライ チェーンを精査することで企業をさらに支援するために、米国サイバーセキュリティおよびインフラストラクチャ セキュリティ庁 (CISA) はベンダーをリリースしました。情報通信技術 (ICT) サービス用。

「この評価テンプレートの目的は、ICT サプライヤー/プロバイダーの実装と業界標準とベスト プラクティスの適用に関する一連の質問を標準化することです。」とテンプレートによると。 「これにより、ベンダーと顧客の両方が、より一貫して理解され、予測可能で、実行可能な方法でコミュニケーションできるようになります。これらの質問により、企業の信頼と保証の実践に対する可視性と透明性が強化され、許容可能なリスクエクスポージャについて十分な情報に基づいた意思決定が可能になります。」

シュバリエ氏によると、ゼネテック社には、同社製品の正確なコンポーネントを可視化し、バージョンと公に知られている脆弱性を追跡する、BlackDuckと呼ばれる自動化ツールがあるという。脆弱性が発生した場合、Genetec はライブラリを更新して脆弱性にパッチを適用するようアラートを受け取ります。

同社はまた、クライアントと直接連絡を取り、Web サイト上の専用セキュリティ アラート ポータルに投稿することで、自社製品やエコシステム内のその他の製品に関するセキュリティ アラートと、セキュリティを強化するために講じるべき手順を共有しています。

「お客様には、『このカメラをお持ちで、このバージョンをお持ちで、自動的にダウンロードできる新しいバージョンがあります』と警告しています」とシュバリエ氏は言います。 「これはサプライチェーンの管理です。」

CISA は、あらゆる規模の官民組織間で一貫した方法で ICT サプライ チェーンのリスク姿勢を伝達するために、ベンダー サプライ チェーン リスク管理テンプレートをリリースしました。ここからテンプレートに無料でアクセスできます。

ミーガン・ゲイツはの上級編集者ですセキュリティ管理。彼女と連絡するには[email protected]。彼女を追ってください.