NordVPNがハッキングを受け、事業者との契約を解除

Data Center Cafe
2019.10.24
2,591 views

NordVPNは、昨年発生したセキュリティ侵害の影響を受け、フィンランドのデータセンター事業者との契約を解除しました。

10月20日に厄介なTwitter上での言い争いの中で侵害の事実が明らかにされた後、同社は攻撃の犠牲者であると公に認めました。

NordVPNの自慢：「いかなるハッカーもあなたのオンラインライフを盗むことはできません。（VPNを使用している場合）」

これに対して、ハッカーグループのKekSecは、別のグループがNordVPNにハッキングした事を明らかにし、証拠とするリンクを添付しました。

NordVPNはその後ツイートを削除しました。同社はこのハッキングの事実は何ヶ月も前から知っていたが、その情報を公開しなかった、と述べています。

広報担当者は、ウェブサイト上の声明で次のように述べています。「今後同様の問題が再発しないよう確認する必要があったため、今回の事実を直ちに公開しませんでした。

「サーバーの数が膨大で、インフラ環境も複雑であったため、対応を迅速に行うことはできませんでした。」

責任のなすり合い

侵害されたとされる施設を運営していたデータセンター事業者は、フィンランドのOy Creanova Hosting Solutions LtdであるとBloombergは報告しています。

ハッカーは、Creanovaのヘルシンキデータセンターにある身元不明のサーバーに組み込まれた、セキュリティが不十分なリモート管理システムを使用していました。そして攻撃は、そのリモート管理システムを介して3月に行われ、期限切れの秘密鍵（TLSキー）が取得されました。

TLSキーが盗まれたため、なりすましのNordVPNサーバーが作られ、アクセスしてくるトラフィックから個人情報を収集するために使用される恐れがありました。

NordVPNは、Creanovaのずさんなセキュリティを非難し、リモート管理システムに関連付けられたアカウントについては関知していないと言っていますが、一方データセンター事業者側は、Nordが責任転嫁しようとしているだけだとしています。

また、NordVPNは、Creanovaはこの事象に気付いていたにも関わらず、Nordへの通知を行わなかったと主張しています。それよりむしろ、Nord社は数ヶ月前にオープンアカウントによるサーバーへの不正アクセスを発見し、数千ものサーバーにわたるネットワーク全体の監査を促していました。

DCDはさらなるコメントを求めてCreanovaに連絡しましたが、公開時点では回答がありません。

同社の利用規約ページには次のように記載されています。「Oy Crea Nova Hosting Solutions LTDは、デフォルトアドミンのみしかアカウントがないサーバーは管理できません。従い、お客様はサーバーのコンテンツとセキュリティについて各自責任を負います。お客様は、ネットワーク、サーバー、サードパーティ・ソフトウェアおよびデータセキュリティ、整合性、可用性が確保されるよう、サーバーをセットアップおよび保守する義務を負い、Oy Crea Nova Hosting Solutions LTDはそのリスクを負いません。」

「また、お客様はセキュリティソフトウェアをインストールし、既知のセキュリティホールに関する情報を定期的に確認し、既知のセキュリティホールを塞ぐ義務があります。OyCrea Nova Hosting Solutions LTDがセキュリティまたはメンテナンスプログラムを提供した場合でも、顧客をその義務から解放するものではありません。」