Optimizely、内部ビジネスシステムへのサイバー攻撃を確認 – 第三者リスクの高まりを浮き彫りに

Optimizely、内部ビジネスシステムへのサイバー攻撃を公表

デジタルエクスペリエンスプラットフォーム（DXP）プロバイダーのOptimizelyは、内部ビジネスシステムを標的としたサイバー攻撃を受けたことを確認した。このインシデントは、サードパーティと統合された企業環境におけるリスクの高まりを浮き彫りにしている。

主要な詳細

• 誰が： デジタルエクスペリエンスプラットフォームのリーディングプロバイダー、Optimizely。
• 何が： 内部ビジネスシステム、特にZendesk（カスタマーサポート）およびSalesforce（CRM）への不正アクセス。
• いつ： タイムラインの詳細は未公表だが、確認情報はSecurityWeek（2024年8月）にて公開された。
• なぜ： 攻撃の動機や手法（フィッシング、クレデンシャルスタッフィング、ソフトウェア脆弱性など）は公表されていない。

技術的背景

Optimizelyの声明では、初期の攻撃経路や、脆弱性の悪用（例：未修正のソフトウェア、設定ミス）やソーシャルエンジニアリングが関与したかどうかは明らかにされていない。しかし、ZendeskおよびSalesforceの侵害は、以下のリスクを示唆している：

• Zendesk： カスタマーサポートチケット、内部コミュニケーション、添付ファイル（機密文書など）の露出。
• Salesforce： CRMデータ（顧客記録、営業パイプライン、他のエンタープライズツールとの連携）へのアクセス。

セキュリティ専門家は、SaaSプラットフォームであるZendeskやSalesforceが、ビジネスクリティカルなデータのリポジトリとして頻繁に攻撃対象となる点に注意すべきである。攻撃者は、盗まれた認証情報やAPIの悪用を通じて、組織のクラウドエコシステム内で横方向に移動する可能性がある。

影響分析

Optimizelyは、データ流出や顧客向けサービスの障害は報告していないが、このインシデントは以下の点を強調している：

• サプライチェーンリスク： Optimizelyのような広告テクノロジー企業は、出版社やEコマースなどの高プロファイルクライアントを抱えており、スパイ活動やさらなる攻撃の標的となりやすい。
• サードパーティの露出リスク： ZendeskやSalesforceなどの統合システムでの侵害は、アクセストークンや共有認証情報が侵害された場合、パートナーや顧客に波及する可能性がある。
• 規制上の監視： アクセスされたデータの内容によっては、OptimizelyはGDPR、CCPA、または業界固有のフレームワーク（例：PCI DSS支払いデータ）に基づくコンプライアンス義務に直面する可能性がある。

推奨対策

1. Optimizelyの顧客向け：

   • 不審な活動（不正ログイン、データ変更など）がないかアカウントを監視。
   • Optimizelyとの連携に使用する認証情報やAPIキーをローテーション。
   • ZendeskおよびSalesforceの監査ログで異常がないか確認。

2. SaaSプラットフォームを利用する企業向け：

   • すべてのクラウドサービスで**多要素認証（MFA）**を強制。
   • 重要システムに対して最小権限アクセスおよびセッションタイムアウトを実装。
   • SaaSセキュリティ態勢評価（例：Netskope、Palo Alto Prisma Cloudなどのツールを使用）を実施。

3. セキュリティチーム向け：

   • 認証情報の侵害を前提に、**アイデンティティおよびアクセス管理（IAM）**ポリシーを監査。
   • 行動分析を導入し、異常なSaaS活動（例：不審なデータダウンロード）を検出。

Optimizelyは、修復作業の詳細や法執行機関の関与については公表していない。SecurityWeekは調査の進展に応じて更新情報を提供する。

---

出典: SecurityWeek | 著者: Ionut Arghire