セキュリティ

Cloudflare社内の全監視カメラがハッキングされた事件についてCloudflare自身が解説

by Marco Verch Professional Photographer

Cloudflareやテスラなどの大企業や病院、警察、学校などの公的機関に設置された監視カメラの運用を手がけるスタートアップVerkadaがハッキングを受け、同社が運営する全監視カメラの映像が流出するという事件が発生しました。この事件の経緯や被害状況について、被害を受けたCloudflare自身が解説しています。

About the March 8 & 9, 2021 Verkada camera hack
https://blog.cloudflare.com/about-the-march-8-9-2021-verkada-camera-hack/

2020年3月8日、監視カメラのクラウド管理サービスを手がけるスタートアップVerkadaがハッキングされ、Coudflareやテスラ、病院、刑務所、学校などの監視カメラの映像が流出するという事件が発生。犯人グループの1人は全監視カメラのリアルタイム映像だけでなく、完全な録画データにまでアクセスできたと主張しました。

テスラやCloudflareなどの監視カメラ15万台がハッキングされ映像が流出、企業だけでなく学校や病院なども被害に - GIGAZINE


この事件について、Cloudflareは2021年3月11日、自社のブログ上で事件の経緯や被害状況に関する報告を掲載しました。

一部の報道では顧客データやデータベースなども流出したと報じられたものの、ハッカーがアクセスできたのはあくまで「監視カメラ関連」の部分にとどまり、Cloudflareの顧客データやデータベースには一切影響がなかったとCloudflareは明言。また、「CloudflareはVerkada製監視カメラの顔認識機能を利用している」という報道については、「一切利用していない」とのこと。


Cloudflareは自社セキュリティに関し、毎アクセスごとに認証・認可を行い信頼性の確認を必須とする「ゼロトラスト」によって内部システムが守られたと強調。Cloudflareは顧客に対してもゼロトラストを採用したサービスを提供しているため、ゼロトラストの有用性を強く主張した形です。

また、Cloudflareは犯人グループの主張に対する「反論」も行いました。記事作成時点では当該アカウントが凍結されたため問題のツイートが確認できない状況ですが、犯行グループに属するTillie Kottmannは事件発生直後にTwitter上で「Cloudflareのマシュー・プリンスCEOのノートPCにアクセスした」と主張していました。


しかし、Cloudflareによると、この主張はウソだと考えられるとのこと。第一の理由としては、プリンスCEOは新型コロナウイルス感染症対策の一環としてサンフランシスコのオフィスに出勤していないため、サンフランシスコオフィスに対する今回の攻撃でプリンスCEOのノートPCにアクセスができるわけがないということ。第二の理由としては、ハッカーがノートPCにアクセスできたとしても、ゼロトラストによってデータ保護を行うCloudflare Accessを突破した上で、ハードキーで保護されたアクセスコントロール権を奪取するというのは不可能だということです。

また、Kottmannは「Cloudflareのネットワーク内にルートシェルを得た」とも述べていました。


これについて、Cloudflareは「恐ろしいことのように聞こえますが、我々は企業内ネットワークを信じていません。Cloudflare Accessなどの製品を使用して、リソースへのアクセスを制御しています。ネットワークは重要ではなく、アクセスコントロールが重要です」と述べ、仮にネットワーク内にルートシェルを得たとしても、ゼロトラストを採用している以上、大勢に影響はないという見方を示しました。

Cloudflareが流出した映像についても解説しています。Cloudflareによると、ハッカーはVerkadaへの攻撃によって、Cloudflareのサンフランシスコオフィスのロビーに設置された監視カメラ2台の映像記録をダウンロードしたとのこと。ダウンロードされた映像記録は2020年7月13日までのもので、静止画にすると以下のような映像でした。


なお、Verkada事件によって被害を受けた大企業として、Cloudflareとともに挙げられていたテスラは、「中国で被害を受けたのは、契約しているサプライヤーが所有する河南省の工場1カ所だけで、上海のギガファクトリーやショールームは無関係」とコメントしています。

一連の事件に対して、Bloombergは「Verkadaは営業部の社員やインターンの学生すらも特権管理者アカウントにアクセスできた」という元従業員の証言を報道。同社のセキュリティ意識について疑問を投げかけています。

この記事のタイトルとURLをコピーする

・関連記事
テスラやCloudflareなどの監視カメラ15万台がハッキングされ映像が流出、企業だけでなく学校や病院なども被害に - GIGAZINE

アメリカが中国の監視カメラや顔認証技術企業を根こそぎブラックリストに追加、その理由とは? - GIGAZINE

最新鋭のサイバー攻撃「SAD DNS」についてCloudflareが解説、その巧妙な手口とは? - GIGAZINE

Cloudflareが和解金目的で訴訟を行うパテント・トロールを徹底的にたたきのめした方法を詳しく解説 - GIGAZINE

in ネットサービス,   セキュリティ, Posted by darkhorse_log

You can read the machine translated English article here.