FortiMail を侵入経路としたインシデント事例解説 | ScanNetSecurity
2024.04.24(水)

FortiMail を侵入経路としたインシデント事例解説

 NTTセキュリティ・ジャパン株式会社は4月21日、FortiMailを侵入経路としたインシデント事例を同社ブログで発表した。同社インシデントレスポンスチームの戸祭隆行氏が執筆している。

脆弱性と脅威 セキュリティホール・脆弱性

 NTTセキュリティ・ジャパン株式会社は4月21日、FortiMailを侵入経路としたインシデント事例を同社ブログで発表した。同社インシデントレスポンスチームの戸祭隆行氏が執筆している。

 同社では2022年3~4月に対応したインシデントにおいて、インターネットに公開されているFortimailが侵入口であると強く考えられる不正アクセスを確認しており、特筆すべき点として、PoCが公開されていない、認証無しでSQLインジェクションが可能な脆弱性(CVE-2021-24007)が利用された可能性があることを挙げている。

 一部の脆弱性管理プロセスでは、PoCが公開されていない脆弱性は危険度が低いと判断され、パッチ適用が後回しにされることがあるため、一般的な注意喚起も兼ねて紹介している。

 インシデント発覚の発端は、環境内部のDomain Controller(DC)でのEDR検知で、その内容は攻撃者が資格情報の窃取を試みたものであった。インシデントレスポンスチームでは、侵入元を特定するためにフォレンジック調査を行ったところ、DMZにあるFortiMailの仮想アプライアンスのIPアドレスからの不審なRDP接続を確認している。

 インシデントレスポンスチームにて、FortiMailにRDP接続を発信する機能があるか確認したところ、ビルトインのRDPクライアント機能はないことが判明した一方で、FortiMailのPOCが公開されている悪用しやすい脆弱性を調査したが存在は確認できなかったため、不正なプログラムによりRDP接続が行われた可能性も低いと判断している。

 インシデントレスポンスチームでは、FortiMailを侵入経路にした手口のを明らかするために、当該FortiMailのフォレンジックを実施し、侵害の流れを推測した上で、対策を紹介している。

《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×