要約

  • DigitalOcean は2022年8月、Mailchimp のセキュリティインシデントにより一部の DigitalOcean 顧客のメールアドレスが漏洩した可能性が高く、ごく少数の顧客がパスワードリセットによるアカウント侵害を試みられたと発表した。
  • アカウンタビリティの論点は、マーケティングメールベンダーがクラウドコントロールプレーンと同じかどうかではない。サードパーティのメールアカウント、顧客メールリスト、パスワードリセット経路、フィッシングリスク通知、ベンダーアクセスレビュー、クラウドコンソールの ID 保護について、誰が実質的な管理権限を持っていたかである。
  • 公開記録は、この件を DigitalOcean 顧客インフラの侵害が証明された事例としてではなく、顧客メール漏洩と標的型フィッシングリスクとして扱うことを支持している。その区別は、事業者が顧客に安心感ではなくエビデンスを提供できる場合にのみ有益である。
  • DigitalOcean がトランザクションメールに Mailchimp に依存していたことで、本番環境以外のベンダー関係が本番環境の信頼問題に転化した。アカウント確認、パスワードリセット、アラート、顧客通知は、クラウドユーザーが管理を維持する手段の一部だからである。
  • 開発者、中小企業、代理店、インフラ管理者、不正利用対策チームは、メールリスト漏洩とクラウドリソース侵害を区別しつつ、アカウント所有者に対するより現実的な標的型フィッシングにも対応しなければならなかった。

エビデンス記録とその用途

本記事では、公開資料を階層的に使用する。DigitalOcean 自体の投稿は、同社が発見したとした内容、顧客影響の特徴付け、その後のアカウント試行の説明の中心的な記録として扱う。Mailchimp の声明は、暗号通貨関連ユーザーに対するより広範な攻撃についてのベンダー側の説明として使用する。セキュリティおよびテクノロジー系メディアの報道は、時系列、摩擦、外部解釈のために使用し、報道と企業が確認した事実との違いを保持する。DigitalOcean のドキュメントと公開セキュリティページは、漏洩後に顧客やチームが使用できる管理策の説明に使用する。政府機関および標準化団体の資料は、フィッシング、認証情報、ガバナンスの一般的な枠組みのために使用する。

#公開記録本分析での使用
1Mailchimp セキュリティインシデントに対する DigitalOcean の対応トランザクションメール障害、アカウント停止、情報漏洩懸念、パスワードリセット試行、顧客通知、重要サービス向け Mailchimp からの移行に関する主要企業の説明。
2Mailchimp による2022年8月のセキュリティインシデントに関する声明暗号通貨関連ユーザーに対するより広範な攻撃、アカウント停止、不審な活動、セキュリティ強化策に関するベンダー側の声明。
3TechCrunch による DigitalOcean 顧客メール漏洩の報道公開された時系列とクラウド事業者のアカウンタビリティの枠組みのための二次報道。
4BleepingComputer による DigitalOcean-Mailchimp 侵害の報道不正なパスワードリセット試行と顧客影響の文脈に関するセキュリティ報道。
5Cybersecurity Dive による Mailchimp インシデントの報道ベンダー摩擦、トランザクションメールの途絶、サプライチェーン影響に関する業界報道。
6SecurityWeek による DigitalOcean と Mailchimp の報道正式な通知時期、二要素認証の効果、サービス移行の文脈に関するセキュリティ報道。
7TechTarget による Mailchimp の2回目の暗号通貨標的侵害の報道8月の出来事を Mailchimp のより広範な暗号通貨ユーザー攻撃パターンに位置付ける二次報道。
8DigitalOcean アカウント二要素認証ドキュメント二要素認証と新規デバイスログイン保護に関する顧客管理のリファレンス。
9DigitalOcean チーム向け安全なサインインチームメンバーに強力なサインイン方式を要求するためのチーム管理のリファレンス。
10DigitalOcean チームセキュリティ履歴ドキュメント不審な活動後のリソースやトークン変更などのチームアクションを確認するための管理リファレンス。
11DigitalOcean パーソナルアクセストークンドキュメント標的型アカウント試行後の API トークンのレビューと最小権限に関する管理リファレンス。
12DigitalOcean OAuth API ドキュメント委任されたアプリケーションアクセスとサードパーティ認可境界に関する管理リファレンス。
13DigitalOcean セキュリティページ製品、プラットフォーム、信頼、プライバシー、インフラストラクチャセキュリティの文脈に関する企業セキュリティページ。
14DigitalOcean 不正利用報告ページプラットフォーム上または関連する悪意のある活動を報告するための不正利用窓口のリファレンス。
15CISA フィッシングガイダンスフィッシングのサイクルと防御通知の文脈に関する政府ガイダンス。
16MITRE ATT&CK フィッシングテクニックメールリスト漏洩後の標的型フィッシングに関するテクニックリファレンス。
17MITRE ATT&CK 有効なアカウントテクニック攻撃者が認証情報ワークフローをトリガーまたは悪用できるようになった場合のアカウント乗っ取りリスクに関するテクニックリファレンス。
18NIST サイバーセキュリティフレームワーク識別、防御、検知、対応、復旧に関する標準リファレンス。
19CIS クリティカルセキュリティコントロールアカウント、アクセス、ログ、インベントリ、サービスプロバイダーガバナンスのテーマに関する管理策リファレンス。

マーケティングメールインシデントがクラウドアカウントインシデントになった理由

DigitalOcean の2022年の Mailchimp の出来事は、「マーケティングメール」というラベルだけを見ると過小評価されがちである。クラウド顧客のメールアドレスは、ルートパスワード、SSH 鍵、API トークン、データベーススナップショットではない。また無害でもない。クラウドプラットフォームにとって、メールアドレスは多くの場合、ログイン識別子、パスワードリセットの宛先、異常ログインのアラートチャネル、課金警告が届く場所であり、リソース、トークン、Droplet、ドメイン、サポートチケットに注意が必要であることを小規模チームが知る方法である。そのアドレスが DigitalOcean 顧客であるという知識と共に漏洩すると、攻撃者は広範なフィッシングキャンペーンを必要としない。攻撃者は DigitalOcean のパスワードリセットを試み、プラットフォーム通知を模倣し、既知のクラウド管理者を標的にし、弱い第二要素を探すことができる。

それゆえ、アカウンタビリティの問いは、一般的なデータ侵害の話よりも狭く、ベンダー管理の脚注よりも広い。DigitalOcean は、Mailchimp の侵害によって攻撃者が DigitalOcean のインフラにアクセスしたとは公表していない。公開記録はより具体的な結論を支持している:顧客メールリストとトランザクションメールのチャネルは、アカウントセキュリティに十分近い位置にあり、漏洩によって実務上の顧客作業が発生した。一部の顧客は不正なパスワードリセットの試行を評価する必要があり、他の顧客は正当なセキュリティ通知と新たなフィッシングリスクを区別する必要があった。チームは、2FA が有効かどうか、チームメンバーが安全なサインインをしているかどうか、API トークンをレビューすべきかどうか、インシデント期間中にメールアラートを信頼できるかどうかを問わなければならなかった。

この区別は重要である。この事例が証明されたクラウドリソース侵害として誤って説明されれば、事実を捏造し、顧客を誤った修復に向かわせる可能性がある。単なるマーケティングリストの問題として片付けられれば、クラウドアカウントが実際にどのように管理されているかを無視することになる。正確な中間的立場は、このインシデントが標的型アカウント攻撃への信頼できる経路を生み出し、事業者にはその経路が拡大しなかったことを示すエビデンスの義務があったということである。そのエビデンス義務は、部分的には DigitalOcean、部分的には Mailchimp、そして自身のパスワード、認証要素、チーム設定、API トークンを管理していた顧客に属する。

このエピソードはまた、中小規模のユーザーがいかにクラウドセキュリティに対処しているかを示している。DigitalOcean の顧客の多くは開発者、代理店、スタートアップ、個人事業主、中小企業であり、プラットフォームのデフォルト設定と明確な通知に依存している。専任の ID 管理チームやベンダーリスク部門を持たない場合もある。混乱したベンダー停止、遅延した確認、あいまいなパスワードリセット通知は、過度な作業を生み出す可能性がある。それゆえアカウンタビリティの基準は、成熟した企業が事後分析を読んで推測できることだけでなく、実務的なユーザーが理解して行動できることを問うべきである。

DigitalOcean が公表した内容

DigitalOcean の公開説明はメール配信から始まる。2022年8月8日東部時間午後3時30分、同社によれば、Mailchimp 経由で配信される DigitalOcean プラットフォームからのトランザクションメールが顧客の受信箱に届かなくなった。例として挙げられたのは単なるプロモーションキャンペーンではなかった。アカウント確認、パスワードリセット、アラートメッセージ、製品関連メールが含まれていた。DigitalOcean は、サインアップの健全性に関するエンジニアリングチェックを通じて問題を発見し、その時点ではベンダーから有用な詳細情報がなく、Mailchimp アカウントがアクセスできない状態で停止されていることを確認したと述べた。

この起点が重要なのは、それがサービスの中断であると同時にセキュリティシグナルでもあったからである。パスワードリセットメールが届かなければ、顧客はアクセスを失うか、復旧を完了できなくなる可能性がある。アカウント確認メールが届かなければ、新規ユーザーは通常のサービスを開始できないかもしれない。アラートが届かなければ、顧客はアカウントやリソースのシグナルを見逃す可能性がある。コミュニケーション経路はコンピュートプレーンではないが、顧客がコンピュートプレーンを管理するのに役立つ。クラウド事業者にとって、アカウントイベントに使用されるメールシステムは信頼経路の一部である。

DigitalOcean はその後、第二のシグナルを説明した。同社は、ある顧客のセキュリティチームから、その顧客のパスワードが顧客自身の操作なしにリセットされたと連絡があったと述べた。DigitalOcean は調査を行い、ごく少数の顧客がパスワードリセットを通じたアカウント侵害を試みられたことを発見したとしている。公開説明によれば、一部の試行は成功せず、パスワードリセットが成功した場合でも、二要素認証によってアカウントアクセスがブロックされたケースがあったという。これが、この記録における漏洩と侵害の境界線である:メールアドレスとリセット試行は DigitalOcean の説明における公開事実であり、広範な顧客インフラの侵害は公開記録によって立証されていない。

DigitalOcean によれば、Mailchimp からの正式な通知は後になって届いた。DigitalOcean は、Mailchimp が8月10日に、カスタマーサポートやアカウント管理に使用される Mailchimp のツールを侵害したと理解される攻撃者による、自社および他のアカウントへの不正アクセスを正式に通知したと述べた。DigitalOcean は既に重要サービスを Mailchimp から移行し始めていた。このタイミングは重要である。なぜなら、ベンダーコミュニケーション自体が一つの管理策であることを示しているからだ。顧客のパスワードワークフローやセキュリティ通知が影響を受けている場合、事業者はベンダーの説明をただ待つことはできない。事実がまだ不完全な間も、顧客の信頼を維持しなければならない。

Mailchimp の発表内容と、ベンダー側の枠組みがクラウド顧客にとって不完全な理由

Mailchimp の声明は、暗号通貨関連ユーザーを標的とした攻撃を説明し、調査中に不審な活動が検出されたアカウントのアクセスを一時的に停止したと述べた。巧妙なフィッシングやソーシャルエンジニアリングの手口に言及し、影響を受けた主要連絡先に通知しつつ、セキュリティ対策を強化したとしている。この声明は、より広範なベンダー側の文脈を提供するために関連性がある。しかし、クラウド顧客の判断にとっては不完全でもある。なぜなら、DigitalOcean 顧客は、Mailchimp がより大きな暗号通貨関連のインシデントに巻き込まれていたことだけを知ればよいのではなかったからである。彼らは、自身の DigitalOcean アカウントのリスクが変化したかどうかを知る必要があった。

このように両方の記録を用いることに矛盾はない。Mailchimp は、ベンダープラットフォームへの攻撃を、自ら認識したとおりに説明できた。DigitalOcean はそのベンダー事象を顧客アカウントへの影響に翻訳しなければならなかった。これらは異なる責務である。マーケティングオートメーションプロバイダーは、自社プラットフォーム上の顧客アカウント、キャンペーンデータ、サポートツール、メールオーディエンスへの不審なアクセスという観点で考えうる。クラウド事業者は、アカウント復旧、2FA、コンソールサインイン、リソース変更、API トークン、チームメンバーシップ、請求、サポート、不正利用報告という観点で考えなければならない。同じ漏洩したメールアドレスでも、ロック解除に役立つシステムによって意味が異なる。

ベンダー側の枠組みはまた、サードパーティツールをデータ分類ラベルだけで判断できない理由を示している。顧客メールリストはクラウド事業者の本番コントロールプレーンの外側にあるかもしれないが、標的を特定するため依然としてセキュリティ上機密である。攻撃者は多くの場合、認証情報よりも先に信頼できる標的リストを必要とする。どのアドレスがクラウド管理者のものかが分かれば、パスワードリセット試行、偽の停止通知、課金警告、不正利用クレーム、トークンローテーションの餌を作成できる。したがって、トランザクションメールのオーディエンスを保存するベンダー関係は、アカウント防御面の一部となる。

Mailchimp 自身の声明は、DigitalOcean ユーザーへのすべての二次的影響を立証したわけではない。DigitalOcean の声明は、Mailchimp の環境に関するすべての非公開詳細を立証したわけではない。真摯なアカウンタビリティの解釈は、それらのギャップを憶測で埋めはしない。どの当事者が何を知り得る立場にあったかを問う:Mailchimp はベンダーアクセスログとサポートツールの証拠を管理し、DigitalOcean は自社のアカウントセキュリティテレメトリと顧客通知を管理し、顧客は認証要素、パスワード、チームメンバーシップ、リソースログを管理していた。証拠は、行動を支援するのに十分な速さでそれらの境界を越えて移動しなければならなかった。

顧客メールリストは、クラウド管理者を特定する場合、セキュリティ資産である

DigitalOcean の公開説明で漏洩したオブジェクトは、顧客に関連付けられたメールアドレスであった。これは、より機密性の高い侵害カテゴリに比べれば控えめに思えるかもしれない。しかしクラウド運用において、管理者のメールアドレスは攻撃者をより効率的にするのに十分でありうる。それにより標的化コストが下がり、説得力のある口実を支え、攻撃者にどのプラットフォームを模倣すべきかを伝える。Droplet、データベース、オブジェクトストレージ、ドメイン、Kubernetes クラスター、請求関係を持つ顧客を特定し、アカウントアクセスが得られた場合に悪用や恐喝の対象になりうる。

経済的なポイントは単純である:アドレスリストは攻撃者の単価を変える。広範なフィッシングキャンペーンは誰がどのクラウドを使っているかを推測しなければならない。クラウド顧客リストがあれば、攻撃者はその推測を省略できる。攻撃者はプラットフォーム固有のメッセージを送信し、可能な場合はパスワードリセットをトリガーし、漏洩したアドレスを他の無関係な侵害からの認証情報と組み合わせることができる。漏洩したリストは、リスクを高めるのにパスワードを含む必要はない。一般的な脅威を標的型のアカウント圧力に変えうる。

これは特に小規模事業者に関係する。小規模な代理店はクライアントサイトをホストしているかもしれない。開発者は複数顧客の本番リソースへの認証情報を保持しているかもしれない。スタートアップの創業者は、請求、アカウント復旧、API キー、ドメインアラート、サポートのために1つのメールアドレスを使用しているかもしれない。個人管理者は主要な通知チャネルとしてメールに依存しているかもしれない。アカウント所有者のセキュリティ体制は一様でない可能性がある。アプリベースの2FA、チームの安全なサインイン、請求連絡先の分離、良好なログを備えている者もいれば、単一のパスワード、使い回されたメールアカウント、何年も見直されていない個人アクセストークンを持つ者もいる。

DigitalOcean の2FA とチームサインインのドキュメントは、漏洩後に差を生む管理策の種類を示している。第二要素はパスワードリセット後のアクセスをブロックできる。チームに対する安全なサインイン要件はすべてのメンバーの最低水準を引き上げる。セキュリティ履歴は、所有者がリソースやトークンの変更などのアカウントアクションを確認するのに役立つ。API トークンと OAuth の管理策が重要なのは、アカウントアクセスだけがクラウド管理への唯一の経路ではないからである。攻撃者が委任されたアクセスを取得または悪用した場合、その被害は通常のコンソールログインのようには見えないかもしれない。

したがってアカウンタビリティの結論は、DigitalOcean 顧客がすべて侵害されたということではない。結論は、漏洩したリストがセキュリティ資産であったということである。なぜなら、それによって人物とクラウドアカウントの攻撃面が紐付けられたからである。その資産は相応に管理、監視され、ベンダーアクセスレビューでカバーされるべきであった。

トランザクションメールは回復経路の一部である

影響を受けたメール種別に関する DigitalOcean 自身の例は極めて重要である。アカウント確認、パスワードリセット、アラート、製品通知は、コミュニケーションとコントロールの境界に位置する。それらはインフラの認証情報ではないが、ユーザーが認証情報を回復し、アカウント変更を認識し、リソース認識を維持するのに役立つ。その経路が機能しなくなれば、顧客は締め出され、誤った方向に導かれ、または遅延する可能性がある。その経路が悪用されれば、顧客は悪意のある回復フローや偽のアカウント操作に誘導される可能性がある。

クラウド事業者にとって、トランザクションメールの耐障害性はしたがって継続性の問題である。顧客は正当なメッセージを受信する必要があり、それらのメッセージを悪意のあるものと区別できる必要がある。事業者がインシデント中にあるメールベンダーから別のベンダーに移行する場合、認証、到達性、顧客の混乱、送信者の評判、タイミングを考慮すべきである。以前の通知と異なる外見の正当な事業者通知は、それ自体がフィッシングの不確実性を生み出しうる。だからといって、事業者がリスクのあるベンダー関係を維持すべきということではない。移行と通知の設計がインシデント対応の一部であることを意味する。

この点で、この事例は狭いベンダーチケットではなくアカウンタビリティの試金石となる。DigitalOcean は、Mailchimp からの正式な了承前に重要サービスを Mailchimp から移行したと述べた。これは公開記録上、賢明な封じ込めステップに見える。しかし顧客側は依然として何が変わったのかを知る必要があった。パスワードリセットメールが新しいプロバイダーから届くようになった場合、顧客は正当な回復メッセージと攻撃者のメッセージを区別しなければならなかった。アラートが遅延していた場合、顧客はどの期間をレビューすべきかを知る必要があった。通知を受け取らなかった顧客は、それが漏洩していないことを意味するのか、単に標的型のコミュニケーションがなかっただけなのかを知る必要があった。

より優れたエビデンスパッケージは、それらの実務的な質問に答えるであろう。影響を受けたメール配信の日付範囲、アドレスが漏洩した可能性のある顧客グループ、影響を受けたトランザクションメッセージのカテゴリ、DigitalOcean が確認したパスワードリセット試行、アカウント侵害が試みられた顧客に対して取られた措置、そして顧客が確認すべきアカウントセキュリティ管理策。DigitalOcean の公開投稿は、これらの枠組みの多くを高いレベルでカバーしていた。残るアカウンタビリティの問いは、顧客固有の通知が均衡の取れた行動に十分な詳細を提供したかどうかである。

トランザクションメールはまた、取締役会が見落としがちな依存関係である。それは計算能力、ストレージの耐久性、ネットワークの稼働時間ほど目に見えない。しかしアカウント回復とアラートがそれに依存する場合、それはサービス継続性の一部となる。その層でのベンダーインシデントは、ユーザーアクセス、通知への信頼、不正利用対策チームの影響を受けた当事者とのコミュニケーション能力に影響を与えうる。

パスワードリセット試行が漏洩を対応作業に変えた

パスワードリセットの要素が、このインシデントを運用上深刻なものにした。顧客メールリストが漏洩してもアカウントワークフローが触られていない場合、適切な対応は注意喚起、フィッシングへの警戒、ベンダーレビューかもしれない。攻撃者がパスワードリセットを試行する場合、対応にはアカウントごとのエビデンスが含まれなければならない。DigitalOcean は、ごく少数の顧客がパスワードリセットによるアカウント侵害の試行を経験したと述べた。この表現は慎重に読むべきである。それは多数がアカウント制御を失ったという主張ではない。それは、漏洩した情報がアカウントアクセス試行に蓋然性をもって使用されたという主張である。

影響を受けた顧客にとって、必要なエビデンスは具体的である。リセットメールが要求されたか?パスワードは変更されたか?リセット後にアカウントにアクセスされたか?2FA は有効だったか?Droplet、データベース、ドメイン、チームメンバー、SSH 鍵、OAuth アプリケーション、API トークン、課金情報、サポートチケットは変更されたか?活動は単一の発生源からか、それとも複数か?DigitalOcean はそれらの顧客に対して強制的にリセットを行ったり、セッションを無効化したりしたか?独自のインシデント記録を必要とする顧客のためにエビデンスを保存したか?

DigitalOcean の公開声明は、対応チームがアカウントを保護し、それらの顧客とは個別にコミュニケーションを取ったと述べている。これは正しい区別である:メールリスト集団に対する広範な漏洩通知と、アカウント試行集団に対する個別のコミュニケーション。単一の通知が両方のグループに十分に役立つことはできない。メールアドレスが漏洩した顧客は、実際にパスワードがリセットされた顧客とは異なるアクションリストが必要である。前者は防御を強化して監視すべきである。後者はエビデンスが別のことを示さない限り、アカウントをアクティブなインシデントとして扱うべきである。

第二要素がここでは中心的な役割を果たす。公開報道は、一部のケースで二要素認証がパスワードリセット後のアクセスを防いだことに言及した。これは記録の中で最も明快なセキュリティの教訓であるが、スローガンになってはならない。2FA は、影響を受けるユーザーによって有効化され、バックアップ経路が弱くなく、メールアカウントが保護され、チームメンバーがカバーされ、API トークンや OAuth 権限がユーザーログイン経路を迂回しない場合にのみリスクを低減する。この管理策は強力であるが、より大きなアカウントガバナンスシステムの中に位置する。

アカウンタビリティのレンズはまた、インシデント前に DigitalOcean が何を管理できたかを問う。高リスクアカウントに対して2FA を要求するか強く推奨し、チームの安全なサインインを容易にし、セキュリティ履歴レビューを提供し、トークンのスコープを制限し、不審な活動に抵抗するようパスワードリセットフローを設計できたはずである。顧客はこれらの管理策を使用するかどうかを管理していた。Mailchimp はアドレスを漏洩させたベンダープラットフォームを管理していた。責任は分散されているが、曖昧ではない。

ベンダーアクセスレビューはクラウド事業者の管理策であり、購買上の形式的なものでない

DigitalOcean の投稿は、Mailchimp をプラットフォームからのトランザクションメールに使用されるベンダーとして説明した。その関係がアカウント確認、パスワードリセット、アラート、製品通知に影響を与えるようになった時点で、ベンダーレビューは到達性やマーケティング機能だけでなく、セキュリティ上の結果をカバーしなければならなかった。関連する質問は具体的である。DigitalOcean のどの顧客データが Mailchimp 内に存在していたか?どの Mailchimp の従業員、コントラクター、システム、サポートツールがそれにアクセスできたか?そのアクセスを保護していた認証と承認は何か?アカウントがアクセス、エクスポート、停止、変更された場合、DigitalOcean はどのようなアラートを受け取るか?契約上の通知タイムラインはどうなっていたか?DigitalOcean はどれだけ迅速に重要なメッセージを別のプロバイダーに移行できたか?

公開記録は、これらの質問の少なくとも1つに痛みを示唆している。DigitalOcean は、当初 Mailchimp アカウントがアクセスできない状態で停止され、有用な説明もなかったと述べた。これによりクラウド事業者は、ベンダーアカウントが使用できない中で顧客影響を調査することになった。ベンダーアカウントの停止は Mailchimp の観点では防御策かもしれないが、DigitalOcean にとっては重要なコミュニケーションを中断し、明確さを遅らせた。ベンダー管理の設計は両方に対処しなければならない:攻撃者のアクセスを止めると同時に、下流ユーザーを保護するのに十分な情報を顧客に提供すること。

ベンダーアクセスレビューはまた、サポート/管理ツールを高リスクとして扱うべきである。ベンダーがオーディエンスを閲覧またはエクスポートし、アカウントを停止し、顧客コミュニケーションを変更できるツールを持っている場合、それらのツールはバックオフィスの便利なものではない。それらは特権的なシステムである。同じことがクラウド事業者自身のサポートツールにも当てはまる。攻撃者はサポートやアカウント管理経路を標的とする。なぜなら、それらの経路は通常の顧客認証情報を迂回したり、標的データを露呈させたりできるからである。ベンダーのサポート/管理層に依存するクラウド事業者は、そのリスクの一部を継承する。

したがって、DigitalOcean が重要サービスについて Mailchimp から離れたことは、単なるベンダー変更以上のものであった。それは、コミュニケーションシステムと顧客アカウントの信頼の間の境界に関する管理上の決定であった。公開記録は代替アーキテクチャのすべてを伝えているわけではない。それはアカウンタビリティの原則を示している:セキュリティ関連メッセージに使用されるサードパーティのメールサービスには、その役割に見合ったインシデント通知、アクセスログ、エクスポート管理、移行の期待が必要である。

これは、すべてのクラウド事業者がすべてのツールを自前で構築すべきという要求ではない。サードパーティのメールプロバイダーは信頼性が高く、専門的で、適切でありうる。要件は、依存関係を正直に分類することである。ベンダーがパスワードリセットやセキュリティアラートに関わる場合、それはアカウントセキュリティシステムの一部として管理されなければならない。

フィッシングリスクは作業負荷であり、意識向上のスローガンではない

CISA のフィッシングガイダンスや MITRE のフィッシングテクニックはいずれも、標的型メールが運用上なぜ重要なのかを説明している。フィッシングは単なるメッセージではなく、連鎖である。攻撃者は標的を特定し、もっともらしいルアーを作成し、標的が信頼するチャネルを通じて送信し、認証情報、トークン、承認、または行動を取得しようとする。メールアドレスが漏洩した DigitalOcean 顧客が皆同じリスクに直面したわけではない。しかし、漏洩した各アドレスは、プラットフォーム固有のルアーを容易にした。

当面の顧客の作業負荷は、注意深く信頼することだった。顧客は正当な DigitalOcean の通知、攻撃者が生成したパスワードリセットメッセージ、または偽のプラットフォームアラートを受け取る可能性があった。手動で URL を確認し、迷惑メッセージ内のリンクを避け、コントロールパネルに直接移動し、セキュリティ履歴をレビューし、2FA を有効化し、チームの安全なサインインを要求し、API トークンをチェックし、サポートチケットやリソース変更が発生したかを確認する必要があったかもしれない。それはインフラ運用から時間を奪うものである。

その作業は不正利用報告やサポートチャネルにも及ぶ。攻撃者が DigitalOcean をテーマにしたルアーを使用したり、クラウドリソース上にフィッシングインフラをホストした場合、被害者や第三者は不正利用を報告するだろう。DigitalOcean の不正利用報告ページはその種の受付のために存在する。大規模プラットフォームは多くの苦情を受け取るが、すべてが同じ品質ではないため、不正利用窓口の経済性は重要である。顧客リスト漏洩後は、トリアージによってルーチンのフィッシング報告とインシデントに関連した試行を区別できるべきである。良好な報告経路、迅速なエビデンス取得、顧客固有のエスカレーションは、混乱のコストを低減できる。

フィッシングリスクはまた、コミュニケーションのパラドックスを生み出す。顧客は警告を必要とするが、警告自体がメールで届く。それは攻撃者が模倣できるまさにそのチャネルである。つまり、事業者の通知は不必要なリンクを避け、どのような行動が必要かを明確に述べ、既知のブックマークや直接入力した URL を通じてサインインするようユーザーに指示し、DigitalOcean が決して要求しないことを説明すべきである。公開投稿はその作業の一部を行えるが、個別の通知やサポートインタラクションが実務上の負荷の多くを担う。

アカウンタビリティのポイントは、2022年8月以降のすべてのフィッシング試行が DigitalOcean の責任であるということではない。ポイントは、標的型の顧客リスト漏洩を認識している事業者には、顧客の行動を容易にし、攻撃者の欺きを困難にする義務があるということである。その義務には、内容、タイミング、送信者アイデンティティ、サポートの準備、アカウント管理のエビデンスが含まれる。

通知後に顧客が管理していたこと

この記録において、顧客は受動的ではなかった。顧客は、自身の DigitalOcean アカウントに2FA があるかどうか、チームの安全なサインインが要求されているかどうか、チームメンバーシップが最新かどうか、API トークンのスコープが設定されレビューされているかどうか、OAuth 権限が信頼されているかどうか、メールアカウントが保護されているかどうか、リソース変更ログが監視されているかどうかを管理していた。クラウド事業者は管理策を提供できるが、多くの管理策は顧客の採用を必要とする。

この共有責任は、事業者によって盾として使われるべきではない。それは地図として使われるべきである。DigitalOcean はプラットフォーム管理策とインシデントエビデンスを管理していた。顧客は設定とフォロースルーを管理していた。Mailchimp はデータを漏洩させたベンダー環境を管理していた。良好なインシデント対応は、各当事者が自分にしかできない部分を実行するのを助ける。事業者は言うことができる:これが漏洩カテゴリ、これが時間枠、あなたのアカウントがパスワードリセット試行にあったかどうか、これが確認すべき管理策、我々が既に行った措置はこれである。顧客は推測することなく行動できる。

チームにとって、安全なサインインのドキュメントは特に重要である。1つの十分に保護された所有者アカウントでは、他のチームメンバーがより弱いサインインでリソースにアクセスできる場合には不十分である。顧客はチームメンバー、役割、サインイン方法、最近のセキュリティ履歴をレビューすべきである。契約社員や元従業員が依然としてアクセス権を持っている場合、チームが DigitalOcean を使用していることを知っている攻撃者は、所有者ではなく最も弱いメンバーを標的にするかもしれない。チームセキュリティは、メールリスト漏洩をメンバーシップの衛生チェックに変える。

API トークンには別の注意が必要である。パスワードリセットによって API トークンが明らかになることはないかもしれないが、攻撃者がアカウントアクセスを取得した場合、トークンや委任されたアプリケーションが永続的な管理経路になりうる。顧客はトークン名、スコープ、作成日、可能であれば最終使用日をレビューし、より狭い権限で自動化を再発行できるかどうかを確認すべきである。OAuth 権限も同様の疑問を生じさせうる。アカウントログインイベントは単なる1つの入り口に過ぎず、プラットフォーム自動化の方がより持続的な力を持つかもしれない。

顧客はまた、自身のメールアカウントのセキュリティを管理していた。DigitalOcean に使用されている同じメールアドレスが十分に保護されていない場合、パスワードリセット経路はより危険になる。DigitalOcean の2FA ドキュメントは、メールに送信される新しい場所からのログインコードは、完全な2FA よりも保護効果が低いことを説明している。この事例では、漏洩したオブジェクトがメールアドレスそのものであったため、この点が重要である。メールアカウントと第二要素が強固であるほど、漏洩したアドレスの価値は低くなる。

通知後に DigitalOcean が管理していたこと

DigitalOcean はプラットフォーム対応を管理した。それには、パスワードリセット試行の調査、影響を受けたアカウントの保護、顧客とのコミュニケーション、重要メール配信の Mailchimp からの変更、既知の情報の説明が含まれた。また、アカウント防御機能、セキュリティ履歴の可視性、API トークンドキュメント、チームサインイン管理策、不正利用受付も管理していた。これらの管理策はすべてがインシデント固有ではないが、インシデントをエビデンスと共に封じ込められるかどうかを規定する。

事業者の最も重要な義務は範囲の特定であった。顧客は、広範なメール漏洩グループ、狭いパスワードリセット試行グループ、またはどちらでもないのかを知る必要があった。各カテゴリには異なる行動が必要である。過度に広範な警告はパニックとアラート疲れを生み出しうる。不十分な通知は顧客を露呈させたままにしうる。DigitalOcean の公開投稿は、より広範な通知が影響を受けたメール漏洩顧客に対して行われ、パスワード関連の試行に関わった顧客には個別のコミュニケーションが行われたと述べた。基礎データが正確かつタイムリーであれば、これは正しい構造である。

DigitalOcean はまた、アカウント攻撃とインフラ侵害を区別できるエビデンスを管理していた。ログイン記録、パスワードリセット活動、2FA チャレンジ、セッション変更、トークン作成、チームメンバーシップ変更、リソースアクション、課金イベント、サポートチケット活動、不審な IP アドレスをレビューできた。顧客は外部からこれらすべてを再構築できなかった。自分たちの側はレビューできたが、プラットフォームレベルの範囲特定には事業者ログが決定的である。「我々はこれらのアカウントを保護した」という表現は、そのようなレビューによって裏付けられて初めて意味を持つ。

事業者のもう一つの義務は信頼の回復であった。重要サービスについて Mailchimp から離れることは、当面のベンダーリスクを低減するかもしれないが、顧客は将来のコミュニケーションへの信頼も必要とする。それには、明確な送信者情報の公開、セキュリティ通知におけるリンク依存の低減、ベンダー通知の契約条件の改善、バックアップコミュニケーション経路のテストが求められうる。事業者は、通常のメールベンダーが利用不能または信頼できない場合に、アカウントセキュリティイベントをどのように伝達するかを知っておくべきである。

最後に、DigitalOcean はどの教訓を持続的なものにするかを管理した。一度限りのインシデント対応は、ベンダー分類、モニタリング、顧客通知の設計、アカウントセキュリティのデフォルトの変更よりも価値が低い。公開記録はその後のすべての変更を明らかにしているわけではない。アカウンタビリティの試金石は、この出来事が、顧客セキュリティワークフローに関わるコミュニケーションベンダーに対するプラットフォームの取り扱いを変化させたかどうかである。

Mailchimp が管理していたこと

Mailchimp は、DigitalOcean が依存していたベンダー環境を管理していた。それには、Mailchimp アカウントアクセス、不審な活動の検出、カスタマーサポートまたはアカウント管理ツール、アカウント停止、影響を受けた顧客への通知、どの顧客オーディエンスが漏洩したかを判断するのに必要なエビデンスが含まれた。DigitalOcean の観点からは、明確な説明なしに Mailchimp がアカウントを最初に停止したことが実際的な問題を生み出した:重要な顧客メッセージが停止し、クラウド事業者はベンダーアカウントから遮断されたまま調査しなければならなかった。

ここでのベンダーの義務は、単にすべての攻撃を防ぐことではない。特権的なツールと顧客コミュニケーションを設計して、ベンダーインシデントが下流組織にとって死角にならないようにすることである。ベンダーが防御上の理由で顧客アカウントを無効化した場合、インシデント情報のための安全な経路を提供できるべきである。アカウントデータがアクセスされた可能性がある場合、範囲、時間枠、影響を受けたデータカテゴリ、推奨される顧客行動を提供すべきである。カスタマーサポートやアカウント管理ツールが関与する場合、それらのツールを強力な認証、監視、エクスポート管理を必要とする特権システムとして扱うべきである。

Mailchimp の公開声明は、攻撃が暗号通貨関連ユーザーを標的としたものであり、影響を受けた連絡先に通知したと述べた。DigitalOcean の説明は、下流ではそれだけでは不十分な理由を示している。クラウドユーザーが標的とされる可能性のあるプラットフォーム顧客は、広範なベンダーの投稿が提供できる以上の、より粒度の高いエビデンスを必要とする。ベンダーは、顧客自身の顧客通知義務をサポートしなければならない。つまり、ベンダーのインシデント対応は二次的な影響を考慮する必要がある:Mailchimp の顧客は、独自のユーザー、アカウント回復フロー、規制上の義務を持っている可能性がある。

この事例はまた、コミュニケーションサービスにおけるベンダー集中の問題を示している。多くの企業が、マーケティングメール、製品メール、アラート、アカウントフローに1つのプラットフォームを使用している。なぜなら効率的だからである。その効率性が重要度を曖昧にしうる。同じベンダーアカウントがオーディエンスを保存し、セキュリティ関連メッセージを送信する場合、ベンダー侵害は標的を露呈させ、それらに警告するために使用されるチャネルを妨害しうる。高リスクのトランザクションフローを分離し、より強力なベンダーアクセス管理策を使用し、代替通知経路を維持することで、その結合を低減できる。

Mailchimp はクラウド事業者ではなかった。DigitalOcean のコンソールセキュリティを管理していなかった。しかし、アカウントの境界で DigitalOcean 顧客に接触するシステムを管理していた。それは共有されたエビデンス義務を生み出すのに十分である。

不正利用窓口の経済性と標的リストの隠れたコスト

「不正利用窓口の経済性」というテーマは、漏洩したクラウド顧客のメールが報告チャネルへの負荷を増大させるため、この事例に適合する。攻撃者はどのユーザーがクラウドプラットフォームに属しているかを知ると、より優れたルアーを作成できる。一部のルアーは侵害されたインフラから送信されるかもしれない。一部はクラウド事業者を装うかもしれない。一部は被害者、ブランド保護ベンダー、または他の事業者からのクレームを引き起こすかもしれない。不正利用対策チームは、どの報告が対応可能で、どれが重複であり、どれがホストされたコンテンツに関わり、どれがアカウントセキュリティ報告が不正利用受付に誤って向けられたものかを決定しなければならない。

DigitalOcean の公開不正利用報告経路は、DigitalOcean リソースでホストされたフィッシングやその他の有害コンテンツなど、プラットフォームが関与する悪意のある活動向けに設計されている。顧客アドレスを露呈させるベンダーインシデントの後、不正利用機能は関連するが異なる役割を持つ。それは、DigitalOcean ブランドのフィッシングページ、悪意のある Droplet、偽の通知の報告を受け取る可能性がある。また、報告が DigitalOcean ホストのソースではなく DigitalOcean 顧客の標的を含む場合、アカウントセキュリティチームとの調整が必要になるかもしれない。受付カテゴリが明確であるほど、報告者と対応者の摩擦は低減する。

不十分な不正利用トリアージのコストは現実的である。報告が無視または遅延されれば、フィッシングインフラがより長く存続しうる。報告が過度に広範であれば、正当な顧客が中断されうる。被害者がどこに報告すべきか分からなければ、シグナルはサポートチケット、ソーシャルメディア、レジストラ連絡先、法執行機関チャネルに散在する。標的型の顧客リスト漏洩は、攻撃者が既知の集団に集中できるため、迅速で正確な受付の価値を高める。

クラウド事業者はまた逆の問題にも備えなければならない:攻撃者は偽の不正利用クレームをルアーとして使用しうる。自分の Droplet がフィッシングコンテンツをホストしていると主張する緊急メッセージを受け取った顧客は、偽のリンクをクリックしたり、偽のポータルに認証情報を入力したりするかもしれない。このインシデントの後、DigitalOcean 顧客は停止、不正利用、課金、またはパスワードリセットを喚起するいかなるメールに対しても慎重になる合理的な理由があった。その慎重さは健全であるが、正当な通知が容易に検証できない場合、より多くのサポート作業を生み出す。

したがって、不正利用窓口の経済性は枝葉の問題ではない。それは信頼回復の一部である。事業者は、攻撃下でも機能する報告チャネル、欺きを低減する通知、そして顧客が実際に何が起こったかを検証できるアカウント管理策を必要とする。

メール漏洩とクラウドリソース侵害を区別するエビデンス

この事例で最も価値のあるエビデンスは、劇的な技術的開示ではない。それは明確な境界マップである。影響を受けた各顧客カテゴリについて、DigitalOcean は顧客メールが漏洩したかどうか、パスワードリセットが要求されたかどうか、リセットが成功したかどうか、セッションが確立されたかどうか、2FA がアクセスをブロックしたかどうか、チーム、トークン、OAuth、課金、サポート、リソースの変更がその後にあったかどうか、どのような修復が完了したかを示すことができたはずである。そのすべてが公開ブログ投稿に属するわけではない。その多くは顧客固有の通知や保持されたインシデント記録に属する。

同様のマップはベンダー側にも存在すべきである。Mailchimp は、どの DigitalOcean アカウントデータがアクセスされたか、どのクラスのツールを通じて、どの時間枠で、どのような不正アクセスパターンで、オーディエンスのエクスポートやキャンペーン変更があったかどうかを言えるべきである。公開声明は機密詳細を要約するかもしれないが、下流顧客は行動するのに十分な具体性を必要とする。ベンダー側のエビデンスなしには、DigitalOcean は自社のアカウントテレメトリと顧客報告から推論しなければならない。

エビデンス基準はまた否定的証明を含むべきである。インフラ侵害のエビデンスがないと言うことは、事業者がどのエビデンスをレビューしたかを説明する場合により強力になる。ログイン記録、パスワードリセットログ、失敗した2FA チャレンジ、トークン作成、リソース変更、セキュリティ履歴イベントはその結論を裏付けることができる。公開記録は、これが広範なインフラ侵害として公に確立されたものではないという高い信頼性の結論を許容する。それは部外者がすべての非公開ログを検査することを許さない。その限界を指摘することで、読者を誤った確実性から保護する。

顧客は同じエビデンスロジックを使用すべきである。メールアドレスが漏洩したというだけの理由で侵害を前提としてはいけない。目に見えるリソースの破損がないというだけの理由で安全を前提としてはいけない。関連する期間について、アカウントのセキュリティ履歴、チームメンバーシップ、トークン、OAuth 権限、課金連絡先、ドメイン設定、SSH 鍵、サポートチケット、インフラログを確認すべきである。何も変わっておらず、2FA が有効だった場合、対応は均衡のとれたものになりうる。リセットが成功したりトークンが変更されたりした場合、対応はエスカレーションする必要がある。

ここで標準の言葉が役立つ。NIST の識別、防御、検知、対応、復旧の機能は装飾的なラベルではない。それらはエビデンスの連鎖を記述する:どの資産とサードパーティが重要かを知り、アカウントとコミュニケーション経路を保護し、不審なリセットとログイン活動を検知し、範囲を定めた通知と封じ込めで対応し、コミュニケーションとアカウント管理策への信頼を回復する。CIS 管理策は、インベントリ、アカウント、アクセス、ログに関して同様の実践的なクラスを与える。DigitalOcean-Mailchimp の事例は、それらのクラスが機能する場合にのみ小さなインシデントである。

クラウド事業者と購入者にとってのガバナンスの問い

クラウド事業者にとって、取締役会レベルの問いは、コミュニケーションベンダーが顧客管理への影響に基づいて分類されているかどうかである。ベンダーがアカウント確認、パスワードリセット、セキュリティアラート、製品通知、または不正利用メッセージを送信または保存する場合、それは通常のマーケティングインフラとしてレビューされるべきではない。より強力なアクセス管理、エクスポート監視、インシデント通知条件、代替配信計画、リハーサルされた顧客コミュニケーションのプレイブックを備えるべきである。事業者は、顧客の信頼を失うことなく、どれだけ迅速にベンダーを無効化、移行、または置き換えられるかを知っておくべきである。

第二の事業者の問いは、アカウントセキュリティのデフォルトがクラウドリソースの価値を反映しているかどうかである。プラットフォームは、チーム、所有者、高リスク行動に対してより強力な認証を要求するか?顧客はセキュリティ履歴を明確に見ることができるか?API トークンはスコープが設定され、レビュー可能か?OAuth 権限は可視的で取り消し可能か?パスワードリセットの異常は迅速に検出されるか?サポートチームは標的型フィッシングを恐れる顧客に対応する準備ができているか?Mailchimp インシデントは、それらの管理策をテストするためにクラウドコントロールプレーンを侵害する必要はなかった。

購入者にとって、問いは同様に実践的である。どのメールアドレスがクラウドアカウントを管理しているか?それらは共有メールボックスか、個人アドレスか、管理されたアイデンティティか?すべてのチームメンバーに2FA が要求されているか?組織はすべての DigitalOcean チーム、トークン、OAuth 権限を把握しているか?ベンダーまたはコントラクターのアクセスを迅速に無効化できるか?事業者通知後にリソース変更をレビューするのに十分なログを保持しているか?緊急メールのリンクをクリックするのではなく、コントロールパネルに直接移動するよう管理者を訓練しているか?

小規模組織がエンタープライズレベルのベンダーリスクプログラムを実行することは期待されるべきではない。しかし、短い管理ルーチンを採用することはできる:アプリベースの2FA を有効化し、チームに安全なサインインを要求し、使われなくなったメンバーを削除し、トークンをレビューし、可能な場合は請求とセキュリティの連絡先を分離し、メールアカウント自体を保護し、不審なメッセージを既知のチャネルを通じて検証する。そのルーチンの価値は、漠然としたベンダーインシデントを具体的な行動に変えることである。

規制当局や監査人もこの事例から学ぶことができる。「メールアドレス」のようなデータカテゴリは文脈の中で評価されるべきである。クラウド管理者に結びついたメールアドレスは、アカウント攻撃を支援しうるため、通常のニュースレターアドレスよりも機密性が高い。セキュリティレビューでは、そのアドレスが何を識別し、どのようなワークフローをトリガーしうるかを問うべきである。フィールド名だけによる分類はリスクを見逃す。

アカウンタビリティの結論

DigitalOcean の Mailchimp インシデントは、公開記録上、攻撃者が大規模に顧客インフラを乗っ取ったという話ではなかった。それは、漏洩した顧客メールと途絶したトランザクションメッセージがいかにしてリスクをクラウドアカウントへと近づけるかについての話であった。だからそれは有用なアカウンタビリティテストとなる。リスクは Mailchimp の環境だけに、DigitalOcean のコントロールパネルだけに、あるいは顧客の衛生状態だけに存在したのではない。それらの間のつながりに存在した。

DigitalOcean は顧客コミュニケーション、アカウントテレメトリ、セキュリティ機能、インシデント範囲特定、顧客通知に対して実質的な管理権限を持っていた。Mailchimp はベンダープラットフォーム、アカウント管理アクセス、不審な活動の検出、顧客アカウント停止、ベンダー側エビデンスに対して実質的な管理権限を持っていた。顧客は第二要素、メールセキュリティ、チームメンバーシップ、トークン衛生、対応行動に対して実質的な管理権限を持っていた。アカウンタビリティはそれらの管理権限に続く。

最も強力な公の教訓は、クラウド事業者のコミュニケーションスタックは、アカウント復旧、アラート、顧客セキュリティ通知を運ぶ場合には常に、本番環境の信頼の一部であるということである。それはワークロードを実行しないかもしれないが、ユーザーがワークロードの管理を維持できるかどうかを形作る。それらのメッセージのオーディエンスを露呈させるベンダーは、単に連絡先リストを漏洩したのではない。標的化マップを露呈したのである。それらのメッセージを妨害するベンダーは、単にマーケティングを中断したのではない。復旧と通知を弱体化させたのである。

正しい対応は、すべてのメール漏洩を壊滅的な侵害として扱うことではない。それは、漏洩したリスト、試行されたリセット、成功したアカウントアクセス、リソース変更を区別するエビデンスを要求することである。それらのカテゴリによって、顧客は均衡のとれた行動をとることができる。また事業者は事実を捏造することなく管理策を改善できる。

DigitalOcean の公開投稿は、タイムラインを提供し、Mailchimp を名指しし、顧客メール漏洩を説明し、パスワードリセット試行を認め、より広範な顧客通知とより狭い通知を分け、重要サービスの移行を説明した点で価値がある。未解決の公開質問は、セキュリティインシデントにしばしば残るものである:正確な影響を受けた人口、個別顧客エビデンス、ベンダー側のアクセス詳細、長期的な管理変更。それらのギャップが教訓を消し去ることはない。それらは、非本番環境のベンダーインシデントが本番環境の信頼問題になったことを発見する次の事業者のためのアカウンタビリティ基準を規定する。

タイポグラフィ

タイポグラフィは、書き言葉を読みやすく、理解しやすく、視覚的に魅力的にするために活字を配置する芸術および技術である。書体、ポイントサイズ、行長、行間、文字間隔の選択を含む。

  • タイポグラフィは、15世紀にヨハネス・グーテンベルクが活版印刷を発明したことに端を発する。
  • 主要な要素には、フォント選択、カーニング、トラッキング、行送りが含まれる。
  • 優れたタイポグラフィは可読性を高め、デザインに雰囲気やトーンを与える。