芁玄

  • DigitalOcean は2022幎8月、Mailchimp のセキュリティむンシデントにより䞀郚の DigitalOcean 顧客のメヌルアドレスが挏掩した可胜性が高く、ごく少数の顧客がパスワヌドリセットによるアカりント䟵害を詊みられたず発衚した。
  • アカりンタビリティの論点は、マヌケティングメヌルベンダヌがクラりドコントロヌルプレヌンず同じかどうかではない。サヌドパヌティのメヌルアカりント、顧客メヌルリスト、パスワヌドリセット経路、フィッシングリスク通知、ベンダヌアクセスレビュヌ、クラりドコン゜ヌルの ID 保護に぀いお、誰が実質的な管理暩限を持っおいたかである。
  • 公開蚘録は、この件を DigitalOcean 顧客むンフラの䟵害が蚌明された事䟋ずしおではなく、顧客メヌル挏掩ず暙的型フィッシングリスクずしお扱うこずを支持しおいる。その区別は、事業者が顧客に安心感ではなく゚ビデンスを提䟛できる堎合にのみ有益である。
  • DigitalOcean がトランザクションメヌルに Mailchimp に䟝存しおいたこずで、本番環境以倖のベンダヌ関係が本番環境の信頌問題に転化した。アカりント確認、パスワヌドリセット、アラヌト、顧客通知は、クラりドナヌザヌが管理を維持する手段の䞀郚だからである。
  • 開発者、䞭小䌁業、代理店、むンフラ管理者、䞍正利甚察策チヌムは、メヌルリスト挏掩ずクラりドリ゜ヌス䟵害を区別し぀぀、アカりント所有者に察するより珟実的な暙的型フィッシングにも察応しなければならなかった。

゚ビデンス蚘録ずその甚途

本蚘事では、公開資料を階局的に䜿甚する。DigitalOcean 自䜓の投皿は、同瀟が発芋したずした内容、顧客圱響の特城付け、その埌のアカりント詊行の説明の䞭心的な蚘録ずしお扱う。Mailchimp の声明は、暗号通貚関連ナヌザヌに察するより広範な攻撃に぀いおのベンダヌ偎の説明ずしお䜿甚する。セキュリティおよびテクノロゞヌ系メディアの報道は、時系列、摩擊、倖郚解釈のために䜿甚し、報道ず䌁業が確認した事実ずの違いを保持する。DigitalOcean のドキュメントず公開セキュリティペヌゞは、挏掩埌に顧客やチヌムが䜿甚できる管理策の説明に䜿甚する。政府機関および暙準化団䜓の資料は、フィッシング、認蚌情報、ガバナンスの䞀般的な枠組みのために䜿甚する。

#公開蚘録本分析での䜿甚
1Mailchimp セキュリティむンシデントに察する DigitalOcean の察応トランザクションメヌル障害、アカりント停止、情報挏掩懞念、パスワヌドリセット詊行、顧客通知、重芁サヌビス向け Mailchimp からの移行に関する䞻芁䌁業の説明。
2Mailchimp による2022幎8月のセキュリティむンシデントに関する声明暗号通貚関連ナヌザヌに察するより広範な攻撃、アカりント停止、䞍審な掻動、セキュリティ匷化策に関するベンダヌ偎の声明。
3TechCrunch による DigitalOcean 顧客メヌル挏掩の報道公開された時系列ずクラりド事業者のアカりンタビリティの枠組みのための二次報道。
4BleepingComputer による DigitalOcean-Mailchimp 䟵害の報道䞍正なパスワヌドリセット詊行ず顧客圱響の文脈に関するセキュリティ報道。
5Cybersecurity Dive による Mailchimp むンシデントの報道ベンダヌ摩擊、トランザクションメヌルの途絶、サプラむチェヌン圱響に関する業界報道。
6SecurityWeek による DigitalOcean ず Mailchimp の報道正匏な通知時期、二芁玠認蚌の効果、サヌビス移行の文脈に関するセキュリティ報道。
7TechTarget による Mailchimp の2回目の暗号通貚暙的䟵害の報道8月の出来事を Mailchimp のより広範な暗号通貚ナヌザヌ攻撃パタヌンに䜍眮付ける二次報道。
8DigitalOcean アカりント二芁玠認蚌ドキュメント二芁玠認蚌ず新芏デバむスログむン保護に関する顧客管理のリファレンス。
9DigitalOcean チヌム向け安党なサむンむンチヌムメンバヌに匷力なサむンむン方匏を芁求するためのチヌム管理のリファレンス。
10DigitalOcean チヌムセキュリティ履歎ドキュメント䞍審な掻動埌のリ゜ヌスやトヌクン倉曎などのチヌムアクションを確認するための管理リファレンス。
11DigitalOcean パヌ゜ナルアクセストヌクンドキュメント暙的型アカりント詊行埌の API トヌクンのレビュヌず最小暩限に関する管理リファレンス。
12DigitalOcean OAuth API ドキュメント委任されたアプリケヌションアクセスずサヌドパヌティ認可境界に関する管理リファレンス。
13DigitalOcean セキュリティペヌゞ補品、プラットフォヌム、信頌、プラむバシヌ、むンフラストラクチャセキュリティの文脈に関する䌁業セキュリティペヌゞ。
14DigitalOcean 䞍正利甚報告ペヌゞプラットフォヌム䞊たたは関連する悪意のある掻動を報告するための䞍正利甚窓口のリファレンス。
15CISA フィッシングガむダンスフィッシングのサむクルず防埡通知の文脈に関する政府ガむダンス。
16MITRE ATT&CK フィッシングテクニックメヌルリスト挏掩埌の暙的型フィッシングに関するテクニックリファレンス。
17MITRE ATT&CK 有効なアカりントテクニック攻撃者が認蚌情報ワヌクフロヌをトリガヌたたは悪甚できるようになった堎合のアカりント乗っ取りリスクに関するテクニックリファレンス。
18NIST サむバヌセキュリティフレヌムワヌク識別、防埡、怜知、察応、埩旧に関する暙準リファレンス。
19CIS クリティカルセキュリティコントロヌルアカりント、アクセス、ログ、むンベントリ、サヌビスプロバむダヌガバナンスのテヌマに関する管理策リファレンス。

マヌケティングメヌルむンシデントがクラりドアカりントむンシデントになった理由

DigitalOcean の2022幎の Mailchimp の出来事は、「マヌケティングメヌル」ずいうラベルだけを芋るず過小評䟡されがちである。クラりド顧客のメヌルアドレスは、ルヌトパスワヌド、SSH 鍵、API トヌクン、デヌタベヌススナップショットではない。たた無害でもない。クラりドプラットフォヌムにずっお、メヌルアドレスは倚くの堎合、ログむン識別子、パスワヌドリセットの宛先、異垞ログむンのアラヌトチャネル、課金譊告が届く堎所であり、リ゜ヌス、トヌクン、Droplet、ドメむン、サポヌトチケットに泚意が必芁であるこずを小芏暡チヌムが知る方法である。そのアドレスが DigitalOcean 顧客であるずいう知識ず共に挏掩するず、攻撃者は広範なフィッシングキャンペヌンを必芁ずしない。攻撃者は DigitalOcean のパスワヌドリセットを詊み、プラットフォヌム通知を暡倣し、既知のクラりド管理者を暙的にし、匱い第二芁玠を探すこずができる。

それゆえ、アカりンタビリティの問いは、䞀般的なデヌタ䟵害の話よりも狭く、ベンダヌ管理の脚泚よりも広い。DigitalOcean は、Mailchimp の䟵害によっお攻撃者が DigitalOcean のむンフラにアクセスしたずは公衚しおいない。公開蚘録はより具䜓的な結論を支持しおいる顧客メヌルリストずトランザクションメヌルのチャネルは、アカりントセキュリティに十分近い䜍眮にあり、挏掩によっお実務䞊の顧客䜜業が発生した。䞀郚の顧客は䞍正なパスワヌドリセットの詊行を評䟡する必芁があり、他の顧客は正圓なセキュリティ通知ず新たなフィッシングリスクを区別する必芁があった。チヌムは、2FA が有効かどうか、チヌムメンバヌが安党なサむンむンをしおいるかどうか、API トヌクンをレビュヌすべきかどうか、むンシデント期間䞭にメヌルアラヌトを信頌できるかどうかを問わなければならなかった。

この区別は重芁である。この事䟋が蚌明されたクラりドリ゜ヌス䟵害ずしお誀っお説明されれば、事実を捏造し、顧客を誀った修埩に向かわせる可胜性がある。単なるマヌケティングリストの問題ずしお片付けられれば、クラりドアカりントが実際にどのように管理されおいるかを無芖するこずになる。正確な䞭間的立堎は、このむンシデントが暙的型アカりント攻撃ぞの信頌できる経路を生み出し、事業者にはその経路が拡倧しなかったこずを瀺す゚ビデンスの矩務があったずいうこずである。その゚ビデンス矩務は、郚分的には DigitalOcean、郚分的には Mailchimp、そしお自身のパスワヌド、認蚌芁玠、チヌム蚭定、API トヌクンを管理しおいた顧客に属する。

この゚ピ゜ヌドはたた、䞭小芏暡のナヌザヌがいかにクラりドセキュリティに察凊しおいるかを瀺しおいる。DigitalOcean の顧客の倚くは開発者、代理店、スタヌトアップ、個人事業䞻、䞭小䌁業であり、プラットフォヌムのデフォルト蚭定ず明確な通知に䟝存しおいる。専任の ID 管理チヌムやベンダヌリスク郚門を持たない堎合もある。混乱したベンダヌ停止、遅延した確認、あいたいなパスワヌドリセット通知は、過床な䜜業を生み出す可胜性がある。それゆえアカりンタビリティの基準は、成熟した䌁業が事埌分析を読んで掚枬できるこずだけでなく、実務的なナヌザヌが理解しお行動できるこずを問うべきである。

DigitalOcean が公衚した内容

DigitalOcean の公開説明はメヌル配信から始たる。2022幎8月8日東郚時間午埌3時30分、同瀟によれば、Mailchimp 経由で配信される DigitalOcean プラットフォヌムからのトランザクションメヌルが顧客の受信箱に届かなくなった。䟋ずしお挙げられたのは単なるプロモヌションキャンペヌンではなかった。アカりント確認、パスワヌドリセット、アラヌトメッセヌゞ、補品関連メヌルが含たれおいた。DigitalOcean は、サむンアップの健党性に関する゚ンゞニアリングチェックを通じお問題を発芋し、その時点ではベンダヌから有甚な詳现情報がなく、Mailchimp アカりントがアクセスできない状態で停止されおいるこずを確認したず述べた。

この起点が重芁なのは、それがサヌビスの䞭断であるず同時にセキュリティシグナルでもあったからである。パスワヌドリセットメヌルが届かなければ、顧客はアクセスを倱うか、埩旧を完了できなくなる可胜性がある。アカりント確認メヌルが届かなければ、新芏ナヌザヌは通垞のサヌビスを開始できないかもしれない。アラヌトが届かなければ、顧客はアカりントやリ゜ヌスのシグナルを芋逃す可胜性がある。コミュニケヌション経路はコンピュヌトプレヌンではないが、顧客がコンピュヌトプレヌンを管理するのに圹立぀。クラりド事業者にずっお、アカりントむベントに䜿甚されるメヌルシステムは信頌経路の䞀郚である。

DigitalOcean はその埌、第二のシグナルを説明した。同瀟は、ある顧客のセキュリティチヌムから、その顧客のパスワヌドが顧客自身の操䜜なしにリセットされたず連絡があったず述べた。DigitalOcean は調査を行い、ごく少数の顧客がパスワヌドリセットを通じたアカりント䟵害を詊みられたこずを発芋したずしおいる。公開説明によれば、䞀郚の詊行は成功せず、パスワヌドリセットが成功した堎合でも、二芁玠認蚌によっおアカりントアクセスがブロックされたケヌスがあったずいう。これが、この蚘録における挏掩ず䟵害の境界線であるメヌルアドレスずリセット詊行は DigitalOcean の説明における公開事実であり、広範な顧客むンフラの䟵害は公開蚘録によっお立蚌されおいない。

DigitalOcean によれば、Mailchimp からの正匏な通知は埌になっお届いた。DigitalOcean は、Mailchimp が8月10日に、カスタマヌサポヌトやアカりント管理に䜿甚される Mailchimp のツヌルを䟵害したず理解される攻撃者による、自瀟および他のアカりントぞの䞍正アクセスを正匏に通知したず述べた。DigitalOcean は既に重芁サヌビスを Mailchimp から移行し始めおいた。このタむミングは重芁である。なぜなら、ベンダヌコミュニケヌション自䜓が䞀぀の管理策であるこずを瀺しおいるからだ。顧客のパスワヌドワヌクフロヌやセキュリティ通知が圱響を受けおいる堎合、事業者はベンダヌの説明をただ埅぀こずはできない。事実がただ䞍完党な間も、顧客の信頌を維持しなければならない。

Mailchimp の発衚内容ず、ベンダヌ偎の枠組みがクラりド顧客にずっお䞍完党な理由

Mailchimp の声明は、暗号通貚関連ナヌザヌを暙的ずした攻撃を説明し、調査䞭に䞍審な掻動が怜出されたアカりントのアクセスを䞀時的に停止したず述べた。巧劙なフィッシングや゜ヌシャル゚ンゞニアリングの手口に蚀及し、圱響を受けた䞻芁連絡先に通知し぀぀、セキュリティ察策を匷化したずしおいる。この声明は、より広範なベンダヌ偎の文脈を提䟛するために関連性がある。しかし、クラりド顧客の刀断にずっおは䞍完党でもある。なぜなら、DigitalOcean 顧客は、Mailchimp がより倧きな暗号通貚関連のむンシデントに巻き蟌たれおいたこずだけを知ればよいのではなかったからである。圌らは、自身の DigitalOcean アカりントのリスクが倉化したかどうかを知る必芁があった。

このように䞡方の蚘録を甚いるこずに矛盟はない。Mailchimp は、ベンダヌプラットフォヌムぞの攻撃を、自ら認識したずおりに説明できた。DigitalOcean はそのベンダヌ事象を顧客アカりントぞの圱響に翻蚳しなければならなかった。これらは異なる責務である。マヌケティングオヌトメヌションプロバむダヌは、自瀟プラットフォヌム䞊の顧客アカりント、キャンペヌンデヌタ、サポヌトツヌル、メヌルオヌディ゚ンスぞの䞍審なアクセスずいう芳点で考えうる。クラりド事業者は、アカりント埩旧、2FA、コン゜ヌルサむンむン、リ゜ヌス倉曎、API トヌクン、チヌムメンバヌシップ、請求、サポヌト、䞍正利甚報告ずいう芳点で考えなければならない。同じ挏掩したメヌルアドレスでも、ロック解陀に圹立぀システムによっお意味が異なる。

ベンダヌ偎の枠組みはたた、サヌドパヌティツヌルをデヌタ分類ラベルだけで刀断できない理由を瀺しおいる。顧客メヌルリストはクラりド事業者の本番コントロヌルプレヌンの倖偎にあるかもしれないが、暙的を特定するため䟝然ずしおセキュリティ䞊機密である。攻撃者は倚くの堎合、認蚌情報よりも先に信頌できる暙的リストを必芁ずする。どのアドレスがクラりド管理者のものかが分かれば、パスワヌドリセット詊行、停の停止通知、課金譊告、䞍正利甚クレヌム、トヌクンロヌテヌションの逌を䜜成できる。したがっお、トランザクションメヌルのオヌディ゚ンスを保存するベンダヌ関係は、アカりント防埡面の䞀郚ずなる。

Mailchimp 自身の声明は、DigitalOcean ナヌザヌぞのすべおの二次的圱響を立蚌したわけではない。DigitalOcean の声明は、Mailchimp の環境に関するすべおの非公開詳现を立蚌したわけではない。真摯なアカりンタビリティの解釈は、それらのギャップを憶枬で埋めはしない。どの圓事者が䜕を知り埗る立堎にあったかを問うMailchimp はベンダヌアクセスログずサポヌトツヌルの蚌拠を管理し、DigitalOcean は自瀟のアカりントセキュリティテレメトリず顧客通知を管理し、顧客は認蚌芁玠、パスワヌド、チヌムメンバヌシップ、リ゜ヌスログを管理しおいた。蚌拠は、行動を支揎するのに十分な速さでそれらの境界を越えお移動しなければならなかった。

顧客メヌルリストは、クラりド管理者を特定する堎合、セキュリティ資産である

DigitalOcean の公開説明で挏掩したオブゞェクトは、顧客に関連付けられたメヌルアドレスであった。これは、より機密性の高い䟵害カテゎリに比べれば控えめに思えるかもしれない。しかしクラりド運甚においお、管理者のメヌルアドレスは攻撃者をより効率的にするのに十分でありうる。それにより暙的化コストが䞋がり、説埗力のある口実を支え、攻撃者にどのプラットフォヌムを暡倣すべきかを䌝える。Droplet、デヌタベヌス、オブゞェクトストレヌゞ、ドメむン、Kubernetes クラスタヌ、請求関係を持぀顧客を特定し、アカりントアクセスが埗られた堎合に悪甚や恐喝の察象になりうる。

経枈的なポむントは単玔であるアドレスリストは攻撃者の単䟡を倉える。広範なフィッシングキャンペヌンは誰がどのクラりドを䜿っおいるかを掚枬しなければならない。クラりド顧客リストがあれば、攻撃者はその掚枬を省略できる。攻撃者はプラットフォヌム固有のメッセヌゞを送信し、可胜な堎合はパスワヌドリセットをトリガヌし、挏掩したアドレスを他の無関係な䟵害からの認蚌情報ず組み合わせるこずができる。挏掩したリストは、リスクを高めるのにパスワヌドを含む必芁はない。䞀般的な脅嚁を暙的型のアカりント圧力に倉えうる。

これは特に小芏暡事業者に関係する。小芏暡な代理店はクラむアントサむトをホストしおいるかもしれない。開発者は耇数顧客の本番リ゜ヌスぞの認蚌情報を保持しおいるかもしれない。スタヌトアップの創業者は、請求、アカりント埩旧、API キヌ、ドメむンアラヌト、サポヌトのために1぀のメヌルアドレスを䜿甚しおいるかもしれない。個人管理者は䞻芁な通知チャネルずしおメヌルに䟝存しおいるかもしれない。アカりント所有者のセキュリティ䜓制は䞀様でない可胜性がある。アプリベヌスの2FA、チヌムの安党なサむンむン、請求連絡先の分離、良奜なログを備えおいる者もいれば、単䞀のパスワヌド、䜿い回されたメヌルアカりント、䜕幎も芋盎されおいない個人アクセストヌクンを持぀者もいる。

DigitalOcean の2FA ずチヌムサむンむンのドキュメントは、挏掩埌に差を生む管理策の皮類を瀺しおいる。第二芁玠はパスワヌドリセット埌のアクセスをブロックできる。チヌムに察する安党なサむンむン芁件はすべおのメンバヌの最䜎氎準を匕き䞊げる。セキュリティ履歎は、所有者がリ゜ヌスやトヌクンの倉曎などのアカりントアクションを確認するのに圹立぀。API トヌクンず OAuth の管理策が重芁なのは、アカりントアクセスだけがクラりド管理ぞの唯䞀の経路ではないからである。攻撃者が委任されたアクセスを取埗たたは悪甚した堎合、その被害は通垞のコン゜ヌルログむンのようには芋えないかもしれない。

したがっおアカりンタビリティの結論は、DigitalOcean 顧客がすべお䟵害されたずいうこずではない。結論は、挏掩したリストがセキュリティ資産であったずいうこずである。なぜなら、それによっお人物ずクラりドアカりントの攻撃面が玐付けられたからである。その資産は盞応に管理、監芖され、ベンダヌアクセスレビュヌでカバヌされるべきであった。

トランザクションメヌルは回埩経路の䞀郚である

圱響を受けたメヌル皮別に関する DigitalOcean 自身の䟋は極めお重芁である。アカりント確認、パスワヌドリセット、アラヌト、補品通知は、コミュニケヌションずコントロヌルの境界に䜍眮する。それらはむンフラの認蚌情報ではないが、ナヌザヌが認蚌情報を回埩し、アカりント倉曎を認識し、リ゜ヌス認識を維持するのに圹立぀。その経路が機胜しなくなれば、顧客は締め出され、誀った方向に導かれ、たたは遅延する可胜性がある。その経路が悪甚されれば、顧客は悪意のある回埩フロヌや停のアカりント操䜜に誘導される可胜性がある。

クラりド事業者にずっお、トランザクションメヌルの耐障害性はしたがっお継続性の問題である。顧客は正圓なメッセヌゞを受信する必芁があり、それらのメッセヌゞを悪意のあるものず区別できる必芁がある。事業者がむンシデント䞭にあるメヌルベンダヌから別のベンダヌに移行する堎合、認蚌、到達性、顧客の混乱、送信者の評刀、タむミングを考慮すべきである。以前の通知ず異なる倖芋の正圓な事業者通知は、それ自䜓がフィッシングの䞍確実性を生み出しうる。だからずいっお、事業者がリスクのあるベンダヌ関係を維持すべきずいうこずではない。移行ず通知の蚭蚈がむンシデント察応の䞀郚であるこずを意味する。

この点で、この事䟋は狭いベンダヌチケットではなくアカりンタビリティの詊金石ずなる。DigitalOcean は、Mailchimp からの正匏な了承前に重芁サヌビスを Mailchimp から移行したず述べた。これは公開蚘録䞊、賢明な封じ蟌めステップに芋える。しかし顧客偎は䟝然ずしお䜕が倉わったのかを知る必芁があった。パスワヌドリセットメヌルが新しいプロバむダヌから届くようになった堎合、顧客は正圓な回埩メッセヌゞず攻撃者のメッセヌゞを区別しなければならなかった。アラヌトが遅延しおいた堎合、顧客はどの期間をレビュヌすべきかを知る必芁があった。通知を受け取らなかった顧客は、それが挏掩しおいないこずを意味するのか、単に暙的型のコミュニケヌションがなかっただけなのかを知る必芁があった。

より優れた゚ビデンスパッケヌゞは、それらの実務的な質問に答えるであろう。圱響を受けたメヌル配信の日付範囲、アドレスが挏掩した可胜性のある顧客グルヌプ、圱響を受けたトランザクションメッセヌゞのカテゎリ、DigitalOcean が確認したパスワヌドリセット詊行、アカりント䟵害が詊みられた顧客に察しお取られた措眮、そしお顧客が確認すべきアカりントセキュリティ管理策。DigitalOcean の公開投皿は、これらの枠組みの倚くを高いレベルでカバヌしおいた。残るアカりンタビリティの問いは、顧客固有の通知が均衡の取れた行動に十分な詳现を提䟛したかどうかである。

トランザクションメヌルはたた、取締圹䌚が芋萜ずしがちな䟝存関係である。それは蚈算胜力、ストレヌゞの耐久性、ネットワヌクの皌働時間ほど目に芋えない。しかしアカりント回埩ずアラヌトがそれに䟝存する堎合、それはサヌビス継続性の䞀郚ずなる。その局でのベンダヌむンシデントは、ナヌザヌアクセス、通知ぞの信頌、䞍正利甚察策チヌムの圱響を受けた圓事者ずのコミュニケヌション胜力に圱響を䞎えうる。

パスワヌドリセット詊行が挏掩を察応䜜業に倉えた

パスワヌドリセットの芁玠が、このむンシデントを運甚䞊深刻なものにした。顧客メヌルリストが挏掩しおもアカりントワヌクフロヌが觊られおいない堎合、適切な察応は泚意喚起、フィッシングぞの譊戒、ベンダヌレビュヌかもしれない。攻撃者がパスワヌドリセットを詊行する堎合、察応にはアカりントごずの゚ビデンスが含たれなければならない。DigitalOcean は、ごく少数の顧客がパスワヌドリセットによるアカりント䟵害の詊行を経隓したず述べた。この衚珟は慎重に読むべきである。それは倚数がアカりント制埡を倱ったずいう䞻匵ではない。それは、挏掩した情報がアカりントアクセス詊行に蓋然性をもっお䜿甚されたずいう䞻匵である。

圱響を受けた顧客にずっお、必芁な゚ビデンスは具䜓的である。リセットメヌルが芁求されたかパスワヌドは倉曎されたかリセット埌にアカりントにアクセスされたか2FA は有効だったかDroplet、デヌタベヌス、ドメむン、チヌムメンバヌ、SSH 鍵、OAuth アプリケヌション、API トヌクン、課金情報、サポヌトチケットは倉曎されたか掻動は単䞀の発生源からか、それずも耇数かDigitalOcean はそれらの顧客に察しお匷制的にリセットを行ったり、セッションを無効化したりしたか独自のむンシデント蚘録を必芁ずする顧客のために゚ビデンスを保存したか

DigitalOcean の公開声明は、察応チヌムがアカりントを保護し、それらの顧客ずは個別にコミュニケヌションを取ったず述べおいる。これは正しい区別であるメヌルリスト集団に察する広範な挏掩通知ず、アカりント詊行集団に察する個別のコミュニケヌション。単䞀の通知が䞡方のグルヌプに十分に圹立぀こずはできない。メヌルアドレスが挏掩した顧客は、実際にパスワヌドがリセットされた顧客ずは異なるアクションリストが必芁である。前者は防埡を匷化しお監芖すべきである。埌者ぱビデンスが別のこずを瀺さない限り、アカりントをアクティブなむンシデントずしお扱うべきである。

第二芁玠がここでは䞭心的な圹割を果たす。公開報道は、䞀郚のケヌスで二芁玠認蚌がパスワヌドリセット埌のアクセスを防いだこずに蚀及した。これは蚘録の䞭で最も明快なセキュリティの教蚓であるが、スロヌガンになっおはならない。2FA は、圱響を受けるナヌザヌによっお有効化され、バックアップ経路が匱くなく、メヌルアカりントが保護され、チヌムメンバヌがカバヌされ、API トヌクンや OAuth 暩限がナヌザヌログむン経路を迂回しない堎合にのみリスクを䜎枛する。この管理策は匷力であるが、より倧きなアカりントガバナンスシステムの䞭に䜍眮する。

アカりンタビリティのレンズはたた、むンシデント前に DigitalOcean が䜕を管理できたかを問う。高リスクアカりントに察しお2FA を芁求するか匷く掚奚し、チヌムの安党なサむンむンを容易にし、セキュリティ履歎レビュヌを提䟛し、トヌクンのスコヌプを制限し、䞍審な掻動に抵抗するようパスワヌドリセットフロヌを蚭蚈できたはずである。顧客はこれらの管理策を䜿甚するかどうかを管理しおいた。Mailchimp はアドレスを挏掩させたベンダヌプラットフォヌムを管理しおいた。責任は分散されおいるが、曖昧ではない。

ベンダヌアクセスレビュヌはクラりド事業者の管理策であり、賌買䞊の圢匏的なものでない

DigitalOcean の投皿は、Mailchimp をプラットフォヌムからのトランザクションメヌルに䜿甚されるベンダヌずしお説明した。その関係がアカりント確認、パスワヌドリセット、アラヌト、補品通知に圱響を䞎えるようになった時点で、ベンダヌレビュヌは到達性やマヌケティング機胜だけでなく、セキュリティ䞊の結果をカバヌしなければならなかった。関連する質問は具䜓的である。DigitalOcean のどの顧客デヌタが Mailchimp 内に存圚しおいたかどの Mailchimp の埓業員、コントラクタヌ、システム、サポヌトツヌルがそれにアクセスできたかそのアクセスを保護しおいた認蚌ず承認は䜕かアカりントがアクセス、゚クスポヌト、停止、倉曎された堎合、DigitalOcean はどのようなアラヌトを受け取るか契玄䞊の通知タむムラむンはどうなっおいたかDigitalOcean はどれだけ迅速に重芁なメッセヌゞを別のプロバむダヌに移行できたか

公開蚘録は、これらの質問の少なくずも1぀に痛みを瀺唆しおいる。DigitalOcean は、圓初 Mailchimp アカりントがアクセスできない状態で停止され、有甚な説明もなかったず述べた。これによりクラりド事業者は、ベンダヌアカりントが䜿甚できない䞭で顧客圱響を調査するこずになった。ベンダヌアカりントの停止は Mailchimp の芳点では防埡策かもしれないが、DigitalOcean にずっおは重芁なコミュニケヌションを䞭断し、明確さを遅らせた。ベンダヌ管理の蚭蚈は䞡方に察凊しなければならない攻撃者のアクセスを止めるず同時に、䞋流ナヌザヌを保護するのに十分な情報を顧客に提䟛するこず。

ベンダヌアクセスレビュヌはたた、サポヌト/管理ツヌルを高リスクずしお扱うべきである。ベンダヌがオヌディ゚ンスを閲芧たたぱクスポヌトし、アカりントを停止し、顧客コミュニケヌションを倉曎できるツヌルを持っおいる堎合、それらのツヌルはバックオフィスの䟿利なものではない。それらは特暩的なシステムである。同じこずがクラりド事業者自身のサポヌトツヌルにも圓おはたる。攻撃者はサポヌトやアカりント管理経路を暙的ずする。なぜなら、それらの経路は通垞の顧客認蚌情報を迂回したり、暙的デヌタを露呈させたりできるからである。ベンダヌのサポヌト/管理局に䟝存するクラりド事業者は、そのリスクの䞀郚を継承する。

したがっお、DigitalOcean が重芁サヌビスに぀いお Mailchimp から離れたこずは、単なるベンダヌ倉曎以䞊のものであった。それは、コミュニケヌションシステムず顧客アカりントの信頌の間の境界に関する管理䞊の決定であった。公開蚘録は代替アヌキテクチャのすべおを䌝えおいるわけではない。それはアカりンタビリティの原則を瀺しおいるセキュリティ関連メッセヌゞに䜿甚されるサヌドパヌティのメヌルサヌビスには、その圹割に芋合ったむンシデント通知、アクセスログ、゚クスポヌト管理、移行の期埅が必芁である。

これは、すべおのクラりド事業者がすべおのツヌルを自前で構築すべきずいう芁求ではない。サヌドパヌティのメヌルプロバむダヌは信頌性が高く、専門的で、適切でありうる。芁件は、䟝存関係を正盎に分類するこずである。ベンダヌがパスワヌドリセットやセキュリティアラヌトに関わる堎合、それはアカりントセキュリティシステムの䞀郚ずしお管理されなければならない。

フィッシングリスクは䜜業負荷であり、意識向䞊のスロヌガンではない

CISA のフィッシングガむダンスや MITRE のフィッシングテクニックはいずれも、暙的型メヌルが運甚䞊なぜ重芁なのかを説明しおいる。フィッシングは単なるメッセヌゞではなく、連鎖である。攻撃者は暙的を特定し、もっずもらしいルアヌを䜜成し、暙的が信頌するチャネルを通じお送信し、認蚌情報、トヌクン、承認、たたは行動を取埗しようずする。メヌルアドレスが挏掩した DigitalOcean 顧客が皆同じリスクに盎面したわけではない。しかし、挏掩した各アドレスは、プラットフォヌム固有のルアヌを容易にした。

圓面の顧客の䜜業負荷は、泚意深く信頌するこずだった。顧客は正圓な DigitalOcean の通知、攻撃者が生成したパスワヌドリセットメッセヌゞ、たたは停のプラットフォヌムアラヌトを受け取る可胜性があった。手動で URL を確認し、迷惑メッセヌゞ内のリンクを避け、コントロヌルパネルに盎接移動し、セキュリティ履歎をレビュヌし、2FA を有効化し、チヌムの安党なサむンむンを芁求し、API トヌクンをチェックし、サポヌトチケットやリ゜ヌス倉曎が発生したかを確認する必芁があったかもしれない。それはむンフラ運甚から時間を奪うものである。

その䜜業は䞍正利甚報告やサポヌトチャネルにも及ぶ。攻撃者が DigitalOcean をテヌマにしたルアヌを䜿甚したり、クラりドリ゜ヌス䞊にフィッシングむンフラをホストした堎合、被害者や第䞉者は䞍正利甚を報告するだろう。DigitalOcean の䞍正利甚報告ペヌゞはその皮の受付のために存圚する。倧芏暡プラットフォヌムは倚くの苊情を受け取るが、すべおが同じ品質ではないため、䞍正利甚窓口の経枈性は重芁である。顧客リスト挏掩埌は、トリアヌゞによっおルヌチンのフィッシング報告ずむンシデントに関連した詊行を区別できるべきである。良奜な報告経路、迅速な゚ビデンス取埗、顧客固有の゚スカレヌションは、混乱のコストを䜎枛できる。

フィッシングリスクはたた、コミュニケヌションのパラドックスを生み出す。顧客は譊告を必芁ずするが、譊告自䜓がメヌルで届く。それは攻撃者が暡倣できるたさにそのチャネルである。぀たり、事業者の通知は䞍必芁なリンクを避け、どのような行動が必芁かを明確に述べ、既知のブックマヌクや盎接入力した URL を通じおサむンむンするようナヌザヌに指瀺し、DigitalOcean が決しお芁求しないこずを説明すべきである。公開投皿はその䜜業の䞀郚を行えるが、個別の通知やサポヌトむンタラクションが実務䞊の負荷の倚くを担う。

アカりンタビリティのポむントは、2022幎8月以降のすべおのフィッシング詊行が DigitalOcean の責任であるずいうこずではない。ポむントは、暙的型の顧客リスト挏掩を認識しおいる事業者には、顧客の行動を容易にし、攻撃者の欺きを困難にする矩務があるずいうこずである。その矩務には、内容、タむミング、送信者アむデンティティ、サポヌトの準備、アカりント管理の゚ビデンスが含たれる。

通知埌に顧客が管理しおいたこず

この蚘録においお、顧客は受動的ではなかった。顧客は、自身の DigitalOcean アカりントに2FA があるかどうか、チヌムの安党なサむンむンが芁求されおいるかどうか、チヌムメンバヌシップが最新かどうか、API トヌクンのスコヌプが蚭定されレビュヌされおいるかどうか、OAuth 暩限が信頌されおいるかどうか、メヌルアカりントが保護されおいるかどうか、リ゜ヌス倉曎ログが監芖されおいるかどうかを管理しおいた。クラりド事業者は管理策を提䟛できるが、倚くの管理策は顧客の採甚を必芁ずする。

この共有責任は、事業者によっお盟ずしお䜿われるべきではない。それは地図ずしお䜿われるべきである。DigitalOcean はプラットフォヌム管理策ずむンシデント゚ビデンスを管理しおいた。顧客は蚭定ずフォロヌスルヌを管理しおいた。Mailchimp はデヌタを挏掩させたベンダヌ環境を管理しおいた。良奜なむンシデント察応は、各圓事者が自分にしかできない郚分を実行するのを助ける。事業者は蚀うこずができるこれが挏掩カテゎリ、これが時間枠、あなたのアカりントがパスワヌドリセット詊行にあったかどうか、これが確認すべき管理策、我々が既に行った措眮はこれである。顧客は掚枬するこずなく行動できる。

チヌムにずっお、安党なサむンむンのドキュメントは特に重芁である。1぀の十分に保護された所有者アカりントでは、他のチヌムメンバヌがより匱いサむンむンでリ゜ヌスにアクセスできる堎合には䞍十分である。顧客はチヌムメンバヌ、圹割、サむンむン方法、最近のセキュリティ履歎をレビュヌすべきである。契玄瀟員や元埓業員が䟝然ずしおアクセス暩を持っおいる堎合、チヌムが DigitalOcean を䜿甚しおいるこずを知っおいる攻撃者は、所有者ではなく最も匱いメンバヌを暙的にするかもしれない。チヌムセキュリティは、メヌルリスト挏掩をメンバヌシップの衛生チェックに倉える。

API トヌクンには別の泚意が必芁である。パスワヌドリセットによっお API トヌクンが明らかになるこずはないかもしれないが、攻撃者がアカりントアクセスを取埗した堎合、トヌクンや委任されたアプリケヌションが氞続的な管理経路になりうる。顧客はトヌクン名、スコヌプ、䜜成日、可胜であれば最終䜿甚日をレビュヌし、より狭い暩限で自動化を再発行できるかどうかを確認すべきである。OAuth 暩限も同様の疑問を生じさせうる。アカりントログむンむベントは単なる1぀の入り口に過ぎず、プラットフォヌム自動化の方がより持続的な力を持぀かもしれない。

顧客はたた、自身のメヌルアカりントのセキュリティを管理しおいた。DigitalOcean に䜿甚されおいる同じメヌルアドレスが十分に保護されおいない堎合、パスワヌドリセット経路はより危険になる。DigitalOcean の2FA ドキュメントは、メヌルに送信される新しい堎所からのログむンコヌドは、完党な2FA よりも保護効果が䜎いこずを説明しおいる。この事䟋では、挏掩したオブゞェクトがメヌルアドレスそのものであったため、この点が重芁である。メヌルアカりントず第二芁玠が匷固であるほど、挏掩したアドレスの䟡倀は䜎くなる。

通知埌に DigitalOcean が管理しおいたこず

DigitalOcean はプラットフォヌム察応を管理した。それには、パスワヌドリセット詊行の調査、圱響を受けたアカりントの保護、顧客ずのコミュニケヌション、重芁メヌル配信の Mailchimp からの倉曎、既知の情報の説明が含たれた。たた、アカりント防埡機胜、セキュリティ履歎の可芖性、API トヌクンドキュメント、チヌムサむンむン管理策、䞍正利甚受付も管理しおいた。これらの管理策はすべおがむンシデント固有ではないが、むンシデントを゚ビデンスず共に封じ蟌められるかどうかを芏定する。

事業者の最も重芁な矩務は範囲の特定であった。顧客は、広範なメヌル挏掩グルヌプ、狭いパスワヌドリセット詊行グルヌプ、たたはどちらでもないのかを知る必芁があった。各カテゎリには異なる行動が必芁である。過床に広範な譊告はパニックずアラヌト疲れを生み出しうる。䞍十分な通知は顧客を露呈させたたたにしうる。DigitalOcean の公開投皿は、より広範な通知が圱響を受けたメヌル挏掩顧客に察しお行われ、パスワヌド関連の詊行に関わった顧客には個別のコミュニケヌションが行われたず述べた。基瀎デヌタが正確か぀タむムリヌであれば、これは正しい構造である。

DigitalOcean はたた、アカりント攻撃ずむンフラ䟵害を区別できる゚ビデンスを管理しおいた。ログむン蚘録、パスワヌドリセット掻動、2FA チャレンゞ、セッション倉曎、トヌクン䜜成、チヌムメンバヌシップ倉曎、リ゜ヌスアクション、課金むベント、サポヌトチケット掻動、䞍審な IP アドレスをレビュヌできた。顧客は倖郚からこれらすべおを再構築できなかった。自分たちの偎はレビュヌできたが、プラットフォヌムレベルの範囲特定には事業者ログが決定的である。「我々はこれらのアカりントを保護した」ずいう衚珟は、そのようなレビュヌによっお裏付けられお初めお意味を持぀。

事業者のもう䞀぀の矩務は信頌の回埩であった。重芁サヌビスに぀いお Mailchimp から離れるこずは、圓面のベンダヌリスクを䜎枛するかもしれないが、顧客は将来のコミュニケヌションぞの信頌も必芁ずする。それには、明確な送信者情報の公開、セキュリティ通知におけるリンク䟝存の䜎枛、ベンダヌ通知の契玄条件の改善、バックアップコミュニケヌション経路のテストが求められうる。事業者は、通垞のメヌルベンダヌが利甚䞍胜たたは信頌できない堎合に、アカりントセキュリティむベントをどのように䌝達するかを知っおおくべきである。

最埌に、DigitalOcean はどの教蚓を持続的なものにするかを管理した。䞀床限りのむンシデント察応は、ベンダヌ分類、モニタリング、顧客通知の蚭蚈、アカりントセキュリティのデフォルトの倉曎よりも䟡倀が䜎い。公開蚘録はその埌のすべおの倉曎を明らかにしおいるわけではない。アカりンタビリティの詊金石は、この出来事が、顧客セキュリティワヌクフロヌに関わるコミュニケヌションベンダヌに察するプラットフォヌムの取り扱いを倉化させたかどうかである。

Mailchimp が管理しおいたこず

Mailchimp は、DigitalOcean が䟝存しおいたベンダヌ環境を管理しおいた。それには、Mailchimp アカりントアクセス、䞍審な掻動の怜出、カスタマヌサポヌトたたはアカりント管理ツヌル、アカりント停止、圱響を受けた顧客ぞの通知、どの顧客オヌディ゚ンスが挏掩したかを刀断するのに必芁な゚ビデンスが含たれた。DigitalOcean の芳点からは、明確な説明なしに Mailchimp がアカりントを最初に停止したこずが実際的な問題を生み出した重芁な顧客メッセヌゞが停止し、クラりド事業者はベンダヌアカりントから遮断されたたた調査しなければならなかった。

ここでのベンダヌの矩務は、単にすべおの攻撃を防ぐこずではない。特暩的なツヌルず顧客コミュニケヌションを蚭蚈しお、ベンダヌむンシデントが䞋流組織にずっお死角にならないようにするこずである。ベンダヌが防埡䞊の理由で顧客アカりントを無効化した堎合、むンシデント情報のための安党な経路を提䟛できるべきである。アカりントデヌタがアクセスされた可胜性がある堎合、範囲、時間枠、圱響を受けたデヌタカテゎリ、掚奚される顧客行動を提䟛すべきである。カスタマヌサポヌトやアカりント管理ツヌルが関䞎する堎合、それらのツヌルを匷力な認蚌、監芖、゚クスポヌト管理を必芁ずする特暩システムずしお扱うべきである。

Mailchimp の公開声明は、攻撃が暗号通貚関連ナヌザヌを暙的ずしたものであり、圱響を受けた連絡先に通知したず述べた。DigitalOcean の説明は、䞋流ではそれだけでは䞍十分な理由を瀺しおいる。クラりドナヌザヌが暙的ずされる可胜性のあるプラットフォヌム顧客は、広範なベンダヌの投皿が提䟛できる以䞊の、より粒床の高い゚ビデンスを必芁ずする。ベンダヌは、顧客自身の顧客通知矩務をサポヌトしなければならない。぀たり、ベンダヌのむンシデント察応は二次的な圱響を考慮する必芁があるMailchimp の顧客は、独自のナヌザヌ、アカりント回埩フロヌ、芏制䞊の矩務を持っおいる可胜性がある。

この事䟋はたた、コミュニケヌションサヌビスにおけるベンダヌ集䞭の問題を瀺しおいる。倚くの䌁業が、マヌケティングメヌル、補品メヌル、アラヌト、アカりントフロヌに1぀のプラットフォヌムを䜿甚しおいる。なぜなら効率的だからである。その効率性が重芁床を曖昧にしうる。同じベンダヌアカりントがオヌディ゚ンスを保存し、セキュリティ関連メッセヌゞを送信する堎合、ベンダヌ䟵害は暙的を露呈させ、それらに譊告するために䜿甚されるチャネルを劚害しうる。高リスクのトランザクションフロヌを分離し、より匷力なベンダヌアクセス管理策を䜿甚し、代替通知経路を維持するこずで、その結合を䜎枛できる。

Mailchimp はクラりド事業者ではなかった。DigitalOcean のコン゜ヌルセキュリティを管理しおいなかった。しかし、アカりントの境界で DigitalOcean 顧客に接觊するシステムを管理しおいた。それは共有された゚ビデンス矩務を生み出すのに十分である。

䞍正利甚窓口の経枈性ず暙的リストの隠れたコスト

「䞍正利甚窓口の経枈性」ずいうテヌマは、挏掩したクラりド顧客のメヌルが報告チャネルぞの負荷を増倧させるため、この事䟋に適合する。攻撃者はどのナヌザヌがクラりドプラットフォヌムに属しおいるかを知るず、より優れたルアヌを䜜成できる。䞀郚のルアヌは䟵害されたむンフラから送信されるかもしれない。䞀郚はクラりド事業者を装うかもしれない。䞀郚は被害者、ブランド保護ベンダヌ、たたは他の事業者からのクレヌムを匕き起こすかもしれない。䞍正利甚察策チヌムは、どの報告が察応可胜で、どれが重耇であり、どれがホストされたコンテンツに関わり、どれがアカりントセキュリティ報告が䞍正利甚受付に誀っお向けられたものかを決定しなければならない。

DigitalOcean の公開䞍正利甚報告経路は、DigitalOcean リ゜ヌスでホストされたフィッシングやその他の有害コンテンツなど、プラットフォヌムが関䞎する悪意のある掻動向けに蚭蚈されおいる。顧客アドレスを露呈させるベンダヌむンシデントの埌、䞍正利甚機胜は関連するが異なる圹割を持぀。それは、DigitalOcean ブランドのフィッシングペヌゞ、悪意のある Droplet、停の通知の報告を受け取る可胜性がある。たた、報告が DigitalOcean ホストの゜ヌスではなく DigitalOcean 顧客の暙的を含む堎合、アカりントセキュリティチヌムずの調敎が必芁になるかもしれない。受付カテゎリが明確であるほど、報告者ず察応者の摩擊は䜎枛する。

䞍十分な䞍正利甚トリアヌゞのコストは珟実的である。報告が無芖たたは遅延されれば、フィッシングむンフラがより長く存続しうる。報告が過床に広範であれば、正圓な顧客が䞭断されうる。被害者がどこに報告すべきか分からなければ、シグナルはサポヌトチケット、゜ヌシャルメディア、レゞストラ連絡先、法執行機関チャネルに散圚する。暙的型の顧客リスト挏掩は、攻撃者が既知の集団に集䞭できるため、迅速で正確な受付の䟡倀を高める。

クラりド事業者はたた逆の問題にも備えなければならない攻撃者は停の䞍正利甚クレヌムをルアヌずしお䜿甚しうる。自分の Droplet がフィッシングコンテンツをホストしおいるず䞻匵する緊急メッセヌゞを受け取った顧客は、停のリンクをクリックしたり、停のポヌタルに認蚌情報を入力したりするかもしれない。このむンシデントの埌、DigitalOcean 顧客は停止、䞍正利甚、課金、たたはパスワヌドリセットを喚起するいかなるメヌルに察しおも慎重になる合理的な理由があった。その慎重さは健党であるが、正圓な通知が容易に怜蚌できない堎合、より倚くのサポヌト䜜業を生み出す。

したがっお、䞍正利甚窓口の経枈性は枝葉の問題ではない。それは信頌回埩の䞀郚である。事業者は、攻撃䞋でも機胜する報告チャネル、欺きを䜎枛する通知、そしお顧客が実際に䜕が起こったかを怜蚌できるアカりント管理策を必芁ずする。

メヌル挏掩ずクラりドリ゜ヌス䟵害を区別する゚ビデンス

この事䟋で最も䟡倀のある゚ビデンスは、劇的な技術的開瀺ではない。それは明確な境界マップである。圱響を受けた各顧客カテゎリに぀いお、DigitalOcean は顧客メヌルが挏掩したかどうか、パスワヌドリセットが芁求されたかどうか、リセットが成功したかどうか、セッションが確立されたかどうか、2FA がアクセスをブロックしたかどうか、チヌム、トヌクン、OAuth、課金、サポヌト、リ゜ヌスの倉曎がその埌にあったかどうか、どのような修埩が完了したかを瀺すこずができたはずである。そのすべおが公開ブログ投皿に属するわけではない。その倚くは顧客固有の通知や保持されたむンシデント蚘録に属する。

同様のマップはベンダヌ偎にも存圚すべきである。Mailchimp は、どの DigitalOcean アカりントデヌタがアクセスされたか、どのクラスのツヌルを通じお、どの時間枠で、どのような䞍正アクセスパタヌンで、オヌディ゚ンスの゚クスポヌトやキャンペヌン倉曎があったかどうかを蚀えるべきである。公開声明は機密詳现を芁玄するかもしれないが、䞋流顧客は行動するのに十分な具䜓性を必芁ずする。ベンダヌ偎の゚ビデンスなしには、DigitalOcean は自瀟のアカりントテレメトリず顧客報告から掚論しなければならない。

゚ビデンス基準はたた吊定的蚌明を含むべきである。むンフラ䟵害の゚ビデンスがないず蚀うこずは、事業者がどの゚ビデンスをレビュヌしたかを説明する堎合により匷力になる。ログむン蚘録、パスワヌドリセットログ、倱敗した2FA チャレンゞ、トヌクン䜜成、リ゜ヌス倉曎、セキュリティ履歎むベントはその結論を裏付けるこずができる。公開蚘録は、これが広範なむンフラ䟵害ずしお公に確立されたものではないずいう高い信頌性の結論を蚱容する。それは郚倖者がすべおの非公開ログを怜査するこずを蚱さない。その限界を指摘するこずで、読者を誀った確実性から保護する。

顧客は同じ゚ビデンスロゞックを䜿甚すべきである。メヌルアドレスが挏掩したずいうだけの理由で䟵害を前提ずしおはいけない。目に芋えるリ゜ヌスの砎損がないずいうだけの理由で安党を前提ずしおはいけない。関連する期間に぀いお、アカりントのセキュリティ履歎、チヌムメンバヌシップ、トヌクン、OAuth 暩限、課金連絡先、ドメむン蚭定、SSH 鍵、サポヌトチケット、むンフラログを確認すべきである。䜕も倉わっおおらず、2FA が有効だった堎合、察応は均衡のずれたものになりうる。リセットが成功したりトヌクンが倉曎されたりした堎合、察応ぱスカレヌションする必芁がある。

ここで暙準の蚀葉が圹立぀。NIST の識別、防埡、怜知、察応、埩旧の機胜は装食的なラベルではない。それらぱビデンスの連鎖を蚘述するどの資産ずサヌドパヌティが重芁かを知り、アカりントずコミュニケヌション経路を保護し、䞍審なリセットずログむン掻動を怜知し、範囲を定めた通知ず封じ蟌めで察応し、コミュニケヌションずアカりント管理策ぞの信頌を回埩する。CIS 管理策は、むンベントリ、アカりント、アクセス、ログに関しお同様の実践的なクラスを䞎える。DigitalOcean-Mailchimp の事䟋は、それらのクラスが機胜する堎合にのみ小さなむンシデントである。

クラりド事業者ず賌入者にずっおのガバナンスの問い

クラりド事業者にずっお、取締圹䌚レベルの問いは、コミュニケヌションベンダヌが顧客管理ぞの圱響に基づいお分類されおいるかどうかである。ベンダヌがアカりント確認、パスワヌドリセット、セキュリティアラヌト、補品通知、たたは䞍正利甚メッセヌゞを送信たたは保存する堎合、それは通垞のマヌケティングむンフラずしおレビュヌされるべきではない。より匷力なアクセス管理、゚クスポヌト監芖、むンシデント通知条件、代替配信蚈画、リハヌサルされた顧客コミュニケヌションのプレむブックを備えるべきである。事業者は、顧客の信頌を倱うこずなく、どれだけ迅速にベンダヌを無効化、移行、たたは眮き換えられるかを知っおおくべきである。

第二の事業者の問いは、アカりントセキュリティのデフォルトがクラりドリ゜ヌスの䟡倀を反映しおいるかどうかである。プラットフォヌムは、チヌム、所有者、高リスク行動に察しおより匷力な認蚌を芁求するか顧客はセキュリティ履歎を明確に芋るこずができるかAPI トヌクンはスコヌプが蚭定され、レビュヌ可胜かOAuth 暩限は可芖的で取り消し可胜かパスワヌドリセットの異垞は迅速に怜出されるかサポヌトチヌムは暙的型フィッシングを恐れる顧客に察応する準備ができおいるかMailchimp むンシデントは、それらの管理策をテストするためにクラりドコントロヌルプレヌンを䟵害する必芁はなかった。

賌入者にずっお、問いは同様に実践的である。どのメヌルアドレスがクラりドアカりントを管理しおいるかそれらは共有メヌルボックスか、個人アドレスか、管理されたアむデンティティかすべおのチヌムメンバヌに2FA が芁求されおいるか組織はすべおの DigitalOcean チヌム、トヌクン、OAuth 暩限を把握しおいるかベンダヌたたはコントラクタヌのアクセスを迅速に無効化できるか事業者通知埌にリ゜ヌス倉曎をレビュヌするのに十分なログを保持しおいるか緊急メヌルのリンクをクリックするのではなく、コントロヌルパネルに盎接移動するよう管理者を蚓緎しおいるか

小芏暡組織が゚ンタヌプラむズレベルのベンダヌリスクプログラムを実行するこずは期埅されるべきではない。しかし、短い管理ルヌチンを採甚するこずはできるアプリベヌスの2FA を有効化し、チヌムに安党なサむンむンを芁求し、䜿われなくなったメンバヌを削陀し、トヌクンをレビュヌし、可胜な堎合は請求ずセキュリティの連絡先を分離し、メヌルアカりント自䜓を保護し、䞍審なメッセヌゞを既知のチャネルを通じお怜蚌する。そのルヌチンの䟡倀は、挠然ずしたベンダヌむンシデントを具䜓的な行動に倉えるこずである。

芏制圓局や監査人もこの事䟋から孊ぶこずができる。「メヌルアドレス」のようなデヌタカテゎリは文脈の䞭で評䟡されるべきである。クラりド管理者に結び぀いたメヌルアドレスは、アカりント攻撃を支揎しうるため、通垞のニュヌスレタヌアドレスよりも機密性が高い。セキュリティレビュヌでは、そのアドレスが䜕を識別し、どのようなワヌクフロヌをトリガヌしうるかを問うべきである。フィヌルド名だけによる分類はリスクを芋逃す。

アカりンタビリティの結論

DigitalOcean の Mailchimp むンシデントは、公開蚘録䞊、攻撃者が倧芏暡に顧客むンフラを乗っ取ったずいう話ではなかった。それは、挏掩した顧客メヌルず途絶したトランザクションメッセヌゞがいかにしおリスクをクラりドアカりントぞず近づけるかに぀いおの話であった。だからそれは有甚なアカりンタビリティテストずなる。リスクは Mailchimp の環境だけに、DigitalOcean のコントロヌルパネルだけに、あるいは顧客の衛生状態だけに存圚したのではない。それらの間の぀ながりに存圚した。

DigitalOcean は顧客コミュニケヌション、アカりントテレメトリ、セキュリティ機胜、むンシデント範囲特定、顧客通知に察しお実質的な管理暩限を持っおいた。Mailchimp はベンダヌプラットフォヌム、アカりント管理アクセス、䞍審な掻動の怜出、顧客アカりント停止、ベンダヌ偎゚ビデンスに察しお実質的な管理暩限を持っおいた。顧客は第二芁玠、メヌルセキュリティ、チヌムメンバヌシップ、トヌクン衛生、察応行動に察しお実質的な管理暩限を持っおいた。アカりンタビリティはそれらの管理暩限に続く。

最も匷力な公の教蚓は、クラりド事業者のコミュニケヌションスタックは、アカりント埩旧、アラヌト、顧客セキュリティ通知を運ぶ堎合には垞に、本番環境の信頌の䞀郚であるずいうこずである。それはワヌクロヌドを実行しないかもしれないが、ナヌザヌがワヌクロヌドの管理を維持できるかどうかを圢䜜る。それらのメッセヌゞのオヌディ゚ンスを露呈させるベンダヌは、単に連絡先リストを挏掩したのではない。暙的化マップを露呈したのである。それらのメッセヌゞを劚害するベンダヌは、単にマヌケティングを䞭断したのではない。埩旧ず通知を匱䜓化させたのである。

正しい察応は、すべおのメヌル挏掩を壊滅的な䟵害ずしお扱うこずではない。それは、挏掩したリスト、詊行されたリセット、成功したアカりントアクセス、リ゜ヌス倉曎を区別する゚ビデンスを芁求するこずである。それらのカテゎリによっお、顧客は均衡のずれた行動をずるこずができる。たた事業者は事実を捏造するこずなく管理策を改善できる。

DigitalOcean の公開投皿は、タむムラむンを提䟛し、Mailchimp を名指しし、顧客メヌル挏掩を説明し、パスワヌドリセット詊行を認め、より広範な顧客通知ずより狭い通知を分け、重芁サヌビスの移行を説明した点で䟡倀がある。未解決の公開質問は、セキュリティむンシデントにしばしば残るものである正確な圱響を受けた人口、個別顧客゚ビデンス、ベンダヌ偎のアクセス詳现、長期的な管理倉曎。それらのギャップが教蚓を消し去るこずはない。それらは、非本番環境のベンダヌむンシデントが本番環境の信頌問題になったこずを発芋する次の事業者のためのアカりンタビリティ基準を芏定する。

タむポグラフィ

タむポグラフィは、曞き蚀葉を読みやすく、理解しやすく、芖芚的に魅力的にするために掻字を配眮する芞術および技術である。曞䜓、ポむントサむズ、行長、行間、文字間隔の遞択を含む。

  • タむポグラフィは、15䞖玀にペハネス・グヌテンベルクが掻版印刷を発明したこずに端を発する。
  • 䞻芁な芁玠には、フォント遞択、カヌニング、トラッキング、行送りが含たれる。
  • 優れたタむポグラフィは可読性を高め、デザむンに雰囲気やトヌンを䞎える。