ご注意!サイバー攻撃者が請負業者が使用する財団会計ソフトウェアを標的に
建設業界にとって、サイバーセキュリティの脅威は懸念すべき事態に発展しています。新たなサイバー攻撃の波は、請負業者に広く使用されているアプリケーションである Foundation Accounting Software を特に標的としており、配管、HVAC、コンクリートなどの業界全体で警戒が高まっています。サイバーセキュリティ会社 Huntress は、脅威アクターがブルートフォース攻撃とデフォルトの認証情報を使用してこのソフトウェアを悪用し、脆弱なシステムに侵入していることを明らかにしました。
Table of Contents
請負業者に対する脅威の増大
9 月 14 日に初めて検出されたこのサイバー攻撃では、ハッカーがインターネット上で公開されている Foundation ソフトウェアのインスタンスを利用しています。通常、会計ソフトウェアはファイアウォールまたは VPN の背後に保持する必要がありますが、モバイル アプリの機能のため、一部の組織では TCP ポート 4243 を公開したままにしており、Microsoft SQL Server (MSSQL) データベースに直接アクセスすることができます。このポートの公開は、攻撃者の侵入口となることが判明しています。
侵入すると、ハッカーは MSSQL インスタンスのデフォルトのシステム管理者アカウントをターゲットにし、データベース サーバーに対する完全な管理権限を取得します。懸念されるのは、一部のシステムでは、デフォルトの認証情報のまま、高い権限を持つ 2 番目のアカウントが存在することも判明しており、状況はさらに危険になっていることです。
攻撃の仕組み
これらのデフォルト アカウントを使用することで、攻撃者は MSSQL 内の拡張ストアド プロシージャを悪用できるようになります。これにより、攻撃者は OS コマンドを直接制御できるようになり、完全なシステム アクセス権を持っているかのようにシェル コマンドやスクリプトを実行できるようになります。基本的に、これにより攻撃者はサーバー上で直接アクションを実行できるようになり、請負業者のデータと運用の整合性に重大なリスクをもたらします。
Huntress による最も気がかりな発見の 1 つは、これらの攻撃にどの程度自動化が行われているのかという点です。場合によっては、ハッカーはさまざまな組織の複数のシステムで数分以内にスクリプトを実行できました。たとえば、ある攻撃では、ハッカーがシステムへのアクセスに成功するまでに 35,000 回ものブルート フォース ログイン試行が行われ、サイバー犯罪者の執拗さが浮き彫りになりました。
ビジネスを守るためにできること
Huntress は、デフォルトの認証情報で実行されている、公開されている Foundation ソフトウェア ホストを 33 個特定しました。この数は少ないように思えるかもしれませんが、侵害の結果は悲惨なものになる可能性があります。Foundation 会計ソフトウェアを使用している建設請負業者は、次の手順を実行して直ちに行動する必要があります。
- デフォルトの資格情報の変更:ソフトウェアのすべての資格情報、特にシステム管理者と高い権限を持つアカウントをローテーションします。
- インターネットへの露出を制限する:ソフトウェアの不要なインスタンスをインターネットから切断し、ファイアウォールや VPN などの適切なセキュリティ対策が講じられていることを確認します。
- 脆弱なプロシージャを無効にする:攻撃者が OS レベルのコマンドを実行できないように、MSSQL 内の悪用された拡張ストアド プロシージャを無効にします。
脅威に先手を打つ
サイバー攻撃はますます巧妙化しているため、組織は警戒を怠らず、サイバーセキュリティをあまり重視しない業界では特に注意が必要です。建設請負業者は日常業務に重点を置くことが多く、会計ソフトウェアの脆弱性を見逃す可能性がありますが、最近の一連の攻撃は、強力なサイバーセキュリティ対策の重要性をはっきりと思い出させるものです。
Foundation ソフトウェアを保護し、最新の脅威に関する情報を常に把握しておくことで、次の標的となることからビジネスを守ることができます。
