NordVPNがハッキングを受け、事業者との契約を解除

NordVPNは、昨年発生したセキュリティ侵害の影響を受け、フィンランドのデータセンター事業者との契約を解除しました。

10月20日に厄介なTwitter上での言い争いの中で侵害の事実が明らかにされた後、同社は攻撃の犠牲者であると公に認めました。

NordVPNの自慢:「いかなるハッカーもあなたのオンラインライフを盗むことはできません。(VPNを使用している場合)」

これに対して、ハッカーグループのKekSecは、別のグループがNordVPNにハッキングした事を明らかにし、証拠とするリンクを添付しました。

NordVPNはその後ツイートを削除しました。同社はこのハッキングの事実は何ヶ月も前から知っていたが、その情報を公開しなかった、と述べています。

広報担当者は、ウェブサイト上の声明で次のように述べています。「今後同様の問題が再発しないよう確認する必要があったため、今回の事実を直ちに公開しませんでした。

「サーバーの数が膨大で、インフラ環境も複雑であったため、対応を迅速に行うことはできませんでした。」

責任のなすり合い

侵害されたとされる施設を運営していたデータセンター事業者は、フィンランドのOy Creanova Hosting Solutions LtdであるとBloombergは報告しています。

ハッカーは、Creanovaのヘルシンキデータセンターにある身元不明のサーバーに組み込まれた、セキュリティが不十分なリモート管理システムを使用していました。 そして攻撃は、そのリモート管理システムを介して3月に行われ、期限切れの秘密鍵(TLSキー)が取得されました。

TLSキーが盗まれたため、なりすましのNordVPNサーバーが作られ、アクセスしてくるトラフィックから個人情報を収集するために使用される恐れがありました。

NordVPNは、Creanovaのずさんなセキュリティを非難し、リモート管理システムに関連付けられたアカウントについては関知していないと言っていますが、一方データセンター事業者側は、Nordが責任転嫁しようとしているだけだとしています。

– Twitter

また、NordVPNは、Creanovaはこの事象に気付いていたにも関わらず、Nordへの通知を行わなかったと主張しています。それよりむしろ、Nord社は数ヶ月前に オープン アカウントによるサーバーへの不正アクセスを発見し、数千ものサーバーにわたるネットワーク全体の監査を促していました。

DCDはさらなるコメントを求めてCreanovaに連絡しましたが、公開時点では回答がありません。

同社の利用規約ページには次のように記載されています。「Oy Crea Nova Hosting Solutions LTDは、デフォルトアドミンのみしかアカウントがないサーバーは管理できません。従い、お客様はサーバーのコンテンツとセキュリティについて各自責任を負います。お客様は、ネットワーク、サーバー、サードパーティ・ソフトウェアおよびデータセキュリティ、整合性、可用性が確保されるよう、サーバーをセットアップおよび保守する義務を負い、Oy Crea Nova Hosting Solutions LTDはそのリスクを負いません。」

「また、お客様はセキュリティソフトウェアをインストールし、既知のセキュリティホールに関する情報を定期的に確認し、既知のセキュリティホールを塞ぐ義務があります。OyCrea Nova Hosting Solutions LTDがセキュリティまたはメンテナンスプログラムを提供した場合でも、 顧客をその義務から解放するものではありません。」

学んだ教訓?

NordVPNには世界中で1,200万人のユーザーがいますが、同社はおよそ50〜200のユーザーのみが侵害されたサーバーを使用していたと推定しています。

同社はセキュリティへの脅威については軽視していないと述べています。

声明で、同社はいくつかの厳しい教訓について学習したと述べています。「我々が保有する3,000台以上のサーバーのうち、仮に1台だけが影響を受けた場合でも、問題の深刻さがこれほど悪化するとは考えていませんでした。」

「信頼性の低いサーバープロバイダーと契約することで失敗しました。お客様のセキュリティを確保するために、もっとうまくやるべきでした。」

「現在セキュリティを強化するために必要な全ての手段を講じています。」

これには、来年のインフラ設備へのセキュリティ監査と独立した外部監査が含まれます。

Data Center Dynamics

原文はこちら