GoAnywhere、Aspera、そしてセルフホスティングファイル転送の問題点

| 最終更新日:2023年6月6日

遠大なトリオ 主要なファイル転送プラットフォームであるGoAnywhere、IBM Aspera、MOVEitの情報漏えい事件 は、自社サーバーと大容量ファイル転送サービスを組み合わせることの重大なリスクを露呈しています。

以下では、これらのインシデントの性質、影響を受けた人、および自社のサーバーと大容量ファイル転送サービスの組み合わせが、データ侵害の脆弱性を高めることにつながりやすいこと、さらにもっと悪い結果を招く可能性があることについて説明します。

目次

セキュアなクラウドファイル転送

MASV is an ISO 27001, SOC 2, and TPN-compliant (Gold Shield status) secure file transfer service.

これらのデータ侵害は何ですか?そして、それらは自前のファイル転送とどう関係するのか?

の両方に重大な脆弱性が発見されました。 IBM Aspera, ゴーエニウェアを、今年はMOVEitソフトを発売します。

Asperaの脆弱性について

. IBM Asperaの脆弱性CVE-2022-47986 として追跡されているこの脆弱性は、認証されていないユーザーが IBM Aspera を実行しているサーバー上で悪意のあるコードをリモートで実行することを可能にします。この脆弱性は しんどさ10点満点中9.8点 - とか、「これでもかというくらいひどいセキュリティホール」と言われています。 新しいスタック.

のセキュリティ研究者。 センチネル・ワン と言うCVE-2022-47986は、犯罪的なハッキング集団であるIceFireによって、様々な企業のサーバーにランサムウェアやその他のマルウェアをインストールするために使用されていました。

IBMは1月下旬にこの脆弱性を警告し、同時に欠陥に対するパッチをリリースしています。

GoAnywhereの脆弱性

Fortra(旧HelpSystems)が所有するGoAnywhereも、最近同様の問題を経験しました。

CVE-2023-0669で追跡されているGoAnywhereのプラットフォームの脆弱性がCl0pに利用された。 ランサムウェアギャング は、GoAnywhereユーザーのサーバーに侵入し、ランサムウェアをインストールすることを目的としています。身代金が支払われない場合は、収集した機密データを公開すると脅迫した。

メディアの報道では、約 130以上の団体 は、日立エネルギー、サックス・フィフス・アベニュー、トロント市、ガルデルマなど、影響を受けたが 一部の組織が影響を受け、まだ認識していない可能性があります。.

しかし、IBM Asperaの情報漏洩とは異なり、GoAnywhereの情報漏洩の詳細は、セキュリティ研究者まで公表されませんでした。 ブライアン・クレブス は、2月2日、GoAnywhereのログインページの背後にある警告に気づいた後、この問題の詳細を報告しました。

フォートラは当初、発売されたものの ワークアラウンドミティゲーション (コード内の特定のサーブレットマッピング設定を見つけ、削除することを含む)、管理者にインストールを監査することを推奨し、同社は5日後にパッチをリリースしました。

MOVEitの脆弱性

3つの事件のうち、最も新しい事件である マネージドファイル転送サービス「MOVEit」の脆弱性 (CVE-2023-34362)は、悪意ある者に特権の昇格と不正なユーザー環境へのアクセスを提供する可能性のある弱点を悪用しています。この脆弱性は、オンプレミスおよびクラウドベースのシステムの両方に影響し、悪用されデータが流出する証拠がすでに観察されています。

Ipswitch(MOVEitの開発元)の親会社であるProgress Softwareは、この問題を発見した後、MOVEit環境へのインターネットトラフィックを直ちに停止するようユーザーに要請しました。

パッチは 既発売 プログレスによるものです。これらは、MOVEitの全ユーザーが直ちに適用し、不正アクセスの指標となるものをシステムで積極的に監視する必要があります(特に過去90日間に)。

すぐにソフトウェアのアップデートが必要

IBMが、フォートラ、 と進歩 のパッチをリリースしました。 此れ等 のバグを比較的短時間で解消することができます、 三拍子揃った ブリーチは ゼロデイ脆弱性 発見されるまで何ヶ月もかかったかもしれません。

"だから、システムを守るために、すぐにソフトウェアを最新のパッチレベルに更新する必要がある "と、先に紹介したThe New Stackの記事は説明しています。"以上、子供たちよ"

簡単でしょう?しかし、企業はソフトウェアに手動でパッチを適用するのに数週間(あるいは数ヶ月)かかることがよくあります、 しいていえば.その一方で、このような状況では、彼らのデータは深く傷つくことになる。

強化されたセキュリティコントロール

MASVの転送はすべて飛行中と静止中に暗号化され、カスタムパスワード、ダウンロード制限、ファイルの有効期限を設定することができます。

ファイル転送の自前化で信頼問題が解決しない理由

を使用する組織もあります。 大容量ファイル転送 のサービスでは、転送データを自社サーバーに置くことを好んでいます。これは通常、次のいずれかの理由からです:

  • 成熟したメディア・エンターテインメント(M&E)企業の多くは、すでにオンプレミスのデータサーバーに投資しています。サンクコストなしでクラウドを採用する旅に出ることは、ビジネスケースとして成り立たないと考えているのです。
  • 厳しいデータ主権やその他の規制要件がある。
  • ファイル転送サービスが自分たちのデータを責任を持って管理してくれるとは思っていないのです(この点については、日本経済新聞の記事も参考にしてください)。 データ漏洩件数 外)

後者は、データを自社のインフラに置いておくことに安心感を覚える企業の共通した考えです。しかし、残念ながら、 データのセルフホスティングは、セキュリティの幻想に過ぎない.

それは、GoAnywhereやAsperaなど、さまざまなソフトウェアをシステムに差し込むことで、その効果を発揮するからです、 他の人のコードを自動的に自分のインフラに招待してしまうそのため、セルフホスティングの信頼性とセキュリティの利点は、本質的に無意味なものとなっています。また、GoAnywhereのようなプラットフォームは、メディアファイルをサーバーに保存するだけではありません:認証情報やユーザー記録などの重要なデータも保存されます。

問題ない、と言われるかもしれませんが...。

...セキュリティは、自分とプロバイダーとの共有責任です。自分のセキュリティは自分で強化すればいい。

しかし、仮想プライベートネットワーク(VPN)のようなサーバー側のセキュリティ対策を強化すると、通常は劇的に速度が低下してしまいます。 ファイル転送速度.

つまり、セルフホスト型のファイル転送ソリューションのほとんどのユーザーは、特別な保護をまったく加えていないことになります。脆弱性が生じた場合(そしてその時)、彼らは完全にさらされており、侵害の影響を受けやすいのです。 サプライチェーンアタック サプライヤーからの侵害されたソフトウェアによって駆動される。

もしこれが悪いことだと思うなら、もっと悪いことがある

自営のファイル転送の設定における違反は、必然的に、そうでなかった場合よりもはるかに高価で、ストレスが多く、破壊的である。

セルフホスト型ファイル転送を利用している組織で、情報漏えいが発覚した場合、いくつかの対応策があります。

  1. 例えば、システムをシャットダウンすることで、ITチームがダメージを軽減しながらパッチを適用する時間を確保することができます。しかし、何百人ものユーザーやパートナー、従業員がいる場合、それは非常に大きな障害となります。
  2. また、実稼働中のシステムで脆弱性のパッチを適用することもできますが、その場合、さまざまな問題が発生します。しかし、アップデートを実行する前に、パッチを適用したソフトウェアの検証、テスト、認証など、他の多くのタスクを実行する必要があります。このようなアップデートは通常、高価であり、小規模なIT部門にはない時間が必要です。

どちらも食欲をそそる選択肢ではありませんね。しかし、良いこともあります。大容量ファイル転送サービスを利用すれば、このような事態を回避することができます。

プレミアムクラウドセキュリティ

MASVは、プレミアムでセキュアなAWSのクラウド基盤上で動作します。

クラウドホスティングによる大容量ファイル転送の優位性

企業や個人は、脆弱性、サイバー攻撃、データ漏洩の影響を受けないわけではありません。これらの潜在的な問題は、あらゆるソフトウェアに適用される可能性があります。

違いは、クラウドホスティングの大容量ファイル転送サービス内の脆弱性を改善することは通常 苦痛が少なく、すべてをシャットダウンすることもない。或いは、ユーザーが問題に気付き、手動でパッチを適用することに依存します。

その代わりに、独自のインフラを管理するクラウドホスティング型の大容量ファイル転送サービス - 例えば、次のようなものです。 MASV - は、すべてのユーザーに対して数分以内に脆弱性のパッチを適用することができ、最小限の混乱で済みます。すべてのお客様は、お客様側の努力なしに、自動的に最新のアップデートを受け取ることができます。

MASVとAWS:より安全なファイル転送ソリューション

セキュアなファイル共有のために、ノートPCを目立たないように使用する。

MASVで簡単にできるようになったが 主要なクラウドストレージプラットフォームに統合可能AWSは、当社の主要なクラウドサービスプロバイダーです。

私たちは率直に言います:AWSで同様の侵害が起きた場合、MASVの顧客に影響を与えることになります。

しかし、重要な違いは、オンプレミスのランダムなサーバーよりもAWSを突破する方がずっとずっと難しいということです。AWSでは、大量の 機密データまた、米国国防総省をはじめ、顧客を保護するために大規模なセキュリティ投資を定期的に行っています。

また、クラウドセキュリティのベストプラクティスの専門家ではない、もっと重要な仕事を抱えているであろう社内のITチームよりも、お客様の大容量ファイル転送データを保護できる立場にある可能性が高いのです。

MASVでは クラウドセキュリティの専門家と、レベル分けされたセキュリティの方法論を前面に出してソフトウェアを構築しています:

1.コンプライアンス&サーティフィケーション

また、第三者によるセキュリティ監査や主要機関の認定を受けることで、当社のセキュリティ態勢を検証しています。

  • MASVは、情報セキュリティのベストプラクティスと原則を尊重する情報セキュリティの国際規格であるISO27001の認証を取得しています。
  • また、米国公認会計士協会(AICPA)に準拠したSOC 2 Type IIの準拠を実現しています。SOC 2は、第三者サービスプロバイダーが顧客データを安全な方法で保存・処理することを保証するものです。
  • MASV is also a member of the Trusted Partner Network (TPN) vendor roster after undergoing a rigorous third-party security assessment to ensure compliance with TPN standards. We have recently graduated from Blue Shield status to Gold Shield status. TPN is a global film and television content protection initiative owned and managed by the Motion Picture Association (MPA).

さらに、EUの一般データ保護規則(GDPR)、カナダの個人情報保護・電子文書法(PIPEDA)にも対応しています。

2.ソフトウェアサプライチェーンセキュリティ

MASVは、自社製コード、サードパーティ製コード、オープンソースコードを問わず、常に厳格な変更管理プロセスを通じて、適切なコード保護を維持しています。MASVの開発者には、コード変更を一方的に展開する権限はなく、すべてのコード変更は、シニアレベルの開発者が関与する、十分に文書化された承認プロセスを経なければなりません。さらに、すべてのコード変更は、脆弱性やリグレッションの有無を自動的にレビューされます。

3.従業員のセーフガード

MASVでは、定期的なセキュリティ教育、最小権限アクセス制御、エンドポイント監視など、厳格な従業員保護策を採用しています。

4.顧客データの保護

MASV provides both internal and external guardrails to protect customer data. Internally, we deploy multiple safeguards to prevent access without proper authorization, like least privileged access in addition to periodic access reviews and audits. All elevated internal access requests generate automated alerts requiring mandatory justification.

Our global cloud infrastructure is built on AWS and includes built-in enforcements to prevent deploying publicly open resources, such as leaky S3 buckets. And, just in case, our external monitoring ensures these enforcements are never disabled.

At the product level we provide multiple security controls that allow our customers to further protect their data from unauthorized access, like automatic file transfer expiry, access limits, and user access controls such as password protection and シングルサインオン(SSO). MASV supports SSO with SAML-based authentication, which strengthens your security posture by reducing the number of required login attempts. Afterall, each login attempt to any application is a potential opportunity for hackers to gain access.

また、MASVは multi-factor authorization (MFA) using authenticator apps such as Authy and Google Authenticator. We will soon expand our MFA options to also include hardware security key logins.

MFA guards against account takeover attacks by verifying the identity of a user attempting to log in to your account. It achieves this by asking for additional credentials beyond a login and password.

自前でファイル転送:その実態

という冷徹な現実。 自前のファイル転送は、見た目ほど安全ではないということです.

というのも セルフホストサーバーは、その上で動作するアプリケーションと同じだけの安全性があります。.また、ファイル転送アプリのようなソフトウェアアプリケーションをシステムに接続することで、サードパーティのコード(とリスク)を自動的にインフラに招き入れることになります。

万が一、重大な脆弱性が表面化した場合、まずその問題に気づき、パッチを見つけ、手動でパッチを当ててバージョンを更新する必要があります(通常はその間、システムをシャットダウンする必要があります)。

などのクラウドホスティング型ファイル転送ソリューション。 MASV一方、クラウドホスティングサービスは、このような問題はありません。サイバーセキュリティの問題から完全に免れることはできませんが、クラウドホスティングサービスは独自のインフラを管理し、すべてのユーザーに対して数分のうちに脆弱性のパッチを適用することができ、ほとんど混乱することはないでしょう。

サインアップ MASVのセキュアでコンプライアンスに準拠した大容量ファイル転送をぜひお試しください。

MASVファイル転送

最速で安全な大容量ファイル転送サービス「MASV」で、20GBを無料でご利用いただけます。