サイバーセキュリティ対策

ownCloud 認証情報窃取インシデントを公表 プラットフォーム脆弱性は関与せず MFA未設定が原因

ownCloudは7日、脅威インテリジェンス企業Hudson Rockが2026年1月に発表したレポートで、同社のファイル共有プラットフォームを使用する組織で認証情報窃取インシデントが発生していたことを明らかにした。ただし、ownCloudプラットフォーム自体のハッキングやゼロデイ脆弱性の悪用はなかったと強調している。インシデントは、RedLine、Lumma、Vidarなどのインフォスティーラーマルウェアによって従業員の端末から認証情報が窃取され、多要素認証(MFA)が有効化されていないアカウントへの不正ログインが行われたという。同社は全ユーザーに対し、直ちにMFAを有効化するよう呼びかけている。

プラットフォームの脆弱性は関与せず

ownCloudは、Hudson Rockのレポートが「これらの壊滅的なセキュリティ障害は、プラットフォームアーキテクチャのゼロデイ脆弱性の結果ではなかった」と明確に確認していると説明した。ownCloudプラットフォーム自体がハッキングされたり侵害されたりした事実はないという。

つまり、今回のインシデントはownCloudのソフトウェアの脆弱性によるものではなく、利用者側のセキュリティ設定の不備が原因だったことになる。

インフォスティーラーマルウェアによる攻撃

Hudson Rockのレポートによると、インシデントは異なる攻撃チェーンを通じて発生した。攻撃者は、従業員の端末にインストールされたインフォスティーラーマルウェア(RedLine、Lumma、Vidarなど)を通じてユーザー認証情報を入手した。

インフォスティーラーマルウェアは、感染した端末からパスワード、クッキー、その他の認証情報を窃取するマルウェアだ。近年、サイバー犯罪者の間で広く利用されている手法で、フィッシングメールや悪意のあるダウンロードなどを通じて配布される。

MFA未設定が致命的な弱点に

窃取された認証情報は、多要素認証(MFA)が有効化されていないownCloudアカウントへのログインに使用された。レポートは「エクスプロイトもクッキーも不要、パスワードだけで済んだ」と記述しているという。

MFAは、パスワードに加えてスマートフォンアプリや SMS経由のワンタイムコードなど第2の認証要素を要求する仕組みだ。MFAが有効であれば、パスワードが漏洩しても不正ログインを防げる。今回のケースでは、このMFAが設定されていなかったことが致命的な弱点となった。

直ちにMFAを有効化せよ

ownCloudは、MFAを有効化していないユーザーに対し、直ちに設定するよう強く求めている。「MFAは、認証情報が侵害された場合でも不正アクセスを防ぐ重要な第2の検証レイヤーを追加する」としている。

推奨される対策は以下の通りだ。ownCloudの2要素認証アプリを使用して全ユーザーアカウントでMFAを有効化すること、全ユーザーのパスワードをリセットし、強力で一意の認証情報を要求すること、不審なログイン活動についてアクセスログを確認すること、MFAでの再認証を強制するためにアクティブセッションを無効化することだ。

自己管理型プラットフォームの課題

今回のインシデントは、自己管理型(セルフホスト型)のファイル共有プラットフォームにおけるセキュリティ管理の課題を浮き彫りにした。ownCloud Community Editionは、利用者が自らサーバーを構築・管理する形態だ。

この形態では、セキュリティ設定の適切な構成が利用者の責任となる。MFAの有効化、パスワードポリシーの設定、アクセスログの監視など、すべて利用者が実施する必要がある。設定の不備や管理の怠慢は、直接的なセキュリティリスクとなる。

企業向けKiteworksへの移行提案

ownCloudは、機密コンテンツに対して最高レベルの保護を求める組織向けに、Kiteworksへの移行パスを提案している。Kiteworksは、ownCloudを買収した企業が提供するエンタープライズグレードのプラットフォームだ。

適切な構成に依存する自己管理型デプロイメントとは異なり、Kiteworksは強化された仮想アプライアンスとして提供され、デフォルトで複数の保護レイヤーが組み込まれているという。無効化や誤構成ができない設計となっており、包括的なMFAオプション、組み込みのネットワークおよびWebアプリケーションファイアウォール、ゼロトラストアーキテクチャなどを備えるとしている。

認証情報窃取攻撃の増加

インフォスティーラーマルウェアによる認証情報窃取は、2024年から2025年にかけて急増している脅威だ。RedLine、Lumma、Vidarなどのマルウェアは、ダークウェブ上で広く取引されており、技術的な知識が乏しい攻撃者でも利用できる。

これらのマルウェアは、ブラウザに保存されたパスワード、クッキー、自動入力データなどを窃取する。感染した端末が企業ネットワークに接続されている場合、企業システムへのアクセス権も窃取される可能性がある。

MFAの重要性再確認

今回のインシデントは、MFAの重要性を改めて示した。MFAは、パスワードが漏洩した場合の最後の防御線となる。特にクラウドサービスやリモートアクセス可能なシステムでは、MFAの設定が必須と言える。

米国の国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)や各国のセキュリティ機関も、MFAの有効化を最優先のセキュリティ対策として推奨している。

Hudson Rockのレポート

Hudson Rockは、サイバー犯罪の脅威インテリジェンスを専門とする企業だ。同社は、ダークウェブ上で取引される窃取された認証情報を追跡・分析し、組織に警告を発している。

今回のレポートは、複数の自己ホスト型ファイル共有プラットフォームを使用する組織で認証情報窃取インシデントが発生していることを指摘した。ownCloud Community Editionもその対象に含まれていた。

ユーザーの対応

ownCloudを使用している組織は、直ちに以下の対応を取る必要がある。まず、全ユーザーアカウントでMFAを有効化すること。次に、全ユーザーにパスワードの変更を義務付け、強力で一意のパスワードを設定させること。また、過去のアクセスログを確認し、不審なログイン試行や成功を検出すること。さらに、現在アクティブなセッションを無効化し、MFAでの再認証を強制することだ。

加えて、従業員の端末に対するマルウェアスキャンを実施し、インフォスティーラーの感染を確認することも推奨される。感染が確認された場合、その端末からアクセスされた可能性のある全てのアカウントの認証情報を変更する必要がある。

エンドポイントセキュリティの強化

今回のインシデントは、エンドポイント(端末)のセキュリティの重要性も示している。インフォスティーラーマルウェアは、従業員の端末が感染することで機能する。

組織は、ウイルス対策ソフトの導入と更新、OSやアプリケーションのパッチ適用、従業員へのセキュリティ教育(フィッシングメールの識別など)、エンドポイント検出・応答(EDR)ソリューションの導入などを通じて、エンドポイントセキュリティを強化する必要がある。

自己ホスト型サービスのリスク

ownCloud Community Editionのような自己ホスト型サービスは、データの完全な管理権を提供する一方で、セキュリティ管理の全責任も利用者が負うことになる。

適切なセキュリティ設定、定期的なアップデート、ログの監視、インシデント対応体制の整備など、専門的な知識と継続的な労力が必要だ。リソースや専門知識が不足している組織では、セキュリティリスクが高まる可能性がある。

ownCloudについて

ownCloudは、オープンソースのファイル共有・同期プラットフォームだ。自己ホスト型のソリューションとして、企業や組織が自らのサーバー上でファイル共有サービスを構築できる。

Community Edition(コミュニティ版)は無料で利用できるが、サーバーの構築・管理は利用者の責任となる。Enterprise Edition(エンタープライズ版)は、サポートや追加機能を提供する有償版だ。2024年にKiteworksに買収されている。

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:,
タグ: