リモートデスクトップソフト「AnyDesk」でデータ侵害発生、メーカーはパスワード変更を推奨

2024年2月2日、AnyDeskが「自社の本番システムが侵害された」と発表しました。発表時点ですでに対応済みで、エンドユーザーのデバイスが影響を受けた事例は確認されていないとのことです。

AnyDesk Incident Response 2-2-2024
https://anydesk.com/en/public-statement

AnyDesk says hackers breached its production servers, reset passwords
https://www.bleepingcomputer.com/news/security/anydesk-says-hackers-breached-its-production-servers-reset-passwords/

AnyDeskによると、一部のシステムでインシデントが発生したとの指摘を受けてセキュリティ監査を実施したところ、本番システムが侵害されている証拠を発見したとのこと。これによりAnyDeskは直ちにサイバーセキュリティ企業・CrowdStrikeが提供する修復・対応計画を開始し、成功裏に終了させました。AnyDeskは「関係当局に通知し、緊密に連携している」と述べ、今回の事件にランサムウェアは関与していないと付け加えました。

発表によると、セキュリティ関連の証明書はすべてAnyDeskにより失効させられていて、システムは必要に応じて修復または変更済み、バイナリの以前のコード署名証明書もまもなく失効させる予定で、すでに新しい証明書への置き換えを開始しているとのこと。

AnyDeskは侵害されたデータについての詳細情報を共有していませんが、テクノロジー系メディアのBleepingComputerは「公式発表前の2024年1月29日にリリースされたAnyDeskバージョン8.0.8で、新しい証明書が使用されていることが判明していた」と報じ、「証明書は通常、攻撃で盗まれたり、一般に公開されるなどの侵害がない限り、無効化されることはない」と述べ、証明書関連のデータが侵害を受けた可能性について言及しています。

発表時点でエンドユーザーのデバイスが影響を受けたという証拠は発見されていないと告げられており、AnyDeskは「新しいコード署名証明書を使用していること」および「最新バージョンを使用していること」を確認するようユーザーに呼びかけました。

AnyDeskは、自社システムは秘密鍵やセキュリティトークン、パスワードを保存しないように設計されていると前置きし、その上で「予防措置として当社のウェブポータルであるmy.anydesk.comのすべてのパスワードを失効させた」と発表。ユーザーに対し、同じパスワードを他の場所で使用している場合は変更するように推奨しています。