2023年の感謝祭の日、Cloudflareは自社でホスティングしているAtlassianサーバー上で脅威アクター(Threat Actor)を検知した。同社のセキュリティチームは対応のため、アクセス削除と、調査を開始した。CrowdStrikeのフォレンジック※チームが独立した分析に招聘され、その分析は2024年2月初旬に完了した。その結果、アクセス制御、ファイアウォールルール、ゼロトラストツールなどのセキュリティ対策により、Cloudflareの顧客データやシステムに不正アクセスは無かったと判明した。
※訳者補足:フォレンジック(Forensics)とはアクセスログ等から法的証拠を調査・解析すること。
Cloudflareは ブログ投稿で、攻撃のタイムラインと調査の詳細について詳しく述べている。脅威アクターは11月14日から17日まで情報収集に従事し、社内のWikiやバグ・データベースにアクセスした。そして11月22日に再びアトラシアンのサーバーに対する永続的アクセスを取得し、ソースコード管理システムへのアクセスを試みた。
彼らは、2023年10月のOkta不正アクセスの後に取得され、変更されずに放置された1つのアクセストークンと3つのサービスアカウントの資格情報を利用してこれを達成した。すべての不正アクセスは11月24日までに停止され、その日のうちに脅威アクティビティの最後の証拠が検出された。
Cloudflareのセキュリティチームは、11月24日に脅威アクターを環境から排除した後、違反行為を徹底的に調査するため、社内のさまざまな部署から人員を集めた。その目的は、脅威アクターによるCloudflareシステムへの完全なアクセス拒否を確認し、不正アクセスの範囲を包括的に評価することだった。
11月27日からは、セキュリティチーム内外を問わず、Cloudflareの技術スタッフの大部分が「Code Red」と名付けられた統一プロジェクトに重点を移した。この新たな取り組みは、Cloudflare環境内のあらゆる脆弱性を強化、検証、対処し、将来の侵入に対するレジリエンスを確保することを目的としていた。同時に、脅威アクターによる永続的アクセスがないことを確認し、計画的なアクセスを含め攻撃者とCloudflareシステムとのやり取りについて理解を深めるため、あらゆるシステム、アカウント、ログを入念に調査し続けた。
脅威アクターは主にCloudflareのアトラシアン環境を標的とし、グローバルネットワークのアーキテクチャ、セキュリティ、管理に関する機密情報を求めていた。将来の潜在的な侵害を防ぎ、見過ごされていた脆弱性を緩和するために、包括的なセキュリティプロトコルのオーバーホールが開始された。これには、5,000を超える本番用の資格情報のローテーション、テストシステムとステージングシステムの分割、約4,900のシステムに対するフォレンジック分析の実施、全世界の全マシンの再起動などが含まれた。
さらに、サンパウロデータセンターのシステムの安全性を確保するため、検査用の機器をメーカーに返却するなど、積極的な対策がとられた。さらなる処置として、ソフトウェアパッケージの更新、使用されていないアカウントの特定と削除、潜在的なセキュリティリスクがないかどうかデータを精査した。社内のさまざまなチームが協力した「Code Red」の取り組みは1月5日に終了したが、資格情報管理、ソフトウェアセキュリティ、脆弱性管理、追加のセキュリティ対策の実施など、これらを継続的に強化する努力は続いている。
インシデントの詳細を記したブログ記事には、Hacker Newsでの議論に参加するためのリンクが含まれていた。Hacker News上のディスカッションスレッドでは、技術コミュニティのメンバーがCloudflareの信頼性を称賛した。また幾人かからは、CloudflareがOktaとの提携を維持する姿勢についても問い合わせがあった。
このブログ記事には、Indicators of Compromise(IOCs)と呼ばれる詳細も記載されている。これらのIOCsは、Oktaの侵害の影響を受けた組織がログを確認し、同じ脅威アクターがシステムにアクセスしていないことを確認するのに役立つ。
Cloudflareは、最初の分析を実施し、脅威アクターによるさらなるアクセスを防止するために感謝祭の休暇中に行われた総力戦を評価した。さらにCloudflareは、CrowdStrikeが独立した評価を迅速に実施してくれたことに感謝の意を表明した。