クラウドサーバーを提供するDigitalOceanが、DigitalOceanを利用する顧客のアカウントの一部で、パスワードが勝手にリセットされてアクセス不可能になっている問題が生じていたと発表しました。DigitalOceanは、この障害の原因はメール配信ツールであるMailchimpで不正アクセスがあったことだと報告しています。

DigitalOcean Status - Email Notifications

https://status.digitalocean.com/incidents/x0gvb39624ct

Impact to DigitalOcean customers resulting from Mailchimp security incident

https://www.digitalocean.com/blog/digitalocean-response-to-mailchimp-security-incident

DigitalOceanによれば、DigitalOceanのエンジニアリングチームによる内部テストがきっかけで、Mailchimpを通じて配信された取引メールが顧客に届かなくなったことが2022年8月8日15時30分(東部標準時)に発覚したとのこと。

調査の結果、DigitalOceanのMailchimpアカウントそのものが停止されていたため、顧客へのメールを送信できていないことが判明。MailChimpが停止してしまったことで、DigitalOceanのメールによる確認やパスワードリセットに関するメール、クラウドサーバーの状態を送るアラートメールなどが送れなくなってしまったとのこと。

DigitalOcean側がMailchimpに問い合わせたところ、「あなたのMailchimpアカウントは利用不可となっています。『DigitalOcean』というユーザーネームのアカウントはサービス違反によって現在停止中です」というメールが送られてきたそうです。

一方、8月8日の同じタイミングでDigitalOceanのセキュリティオペレーションチームが、顧客から「何の連絡もなくパスワードが勝手にリセットされた」という連絡があったと報告。このパスワードのリセットとMailchimpのアカウント停止に関連性があると考えたDigitalOceanは調査を開始。

すると、8月7日にMailchimpから送られてきたメールに、DigitalOceanのものとは別のメールアドレスが表示されていたことが判明。このメールアドレスは8月6日以前のメールには含まれていなかったため、DigitalOceanはこのメールからMailchimpアカウントが侵害されたと確信。すぐにMailchimpと連絡を取り、さらなる調査を行ったところ、Mailchimpの内部ツールを侵害した攻撃者によって、DigitalOceanのものを含む複数のアカウントに不正アクセスがあったことが正式に通知されました。

その後、攻撃者と思われるIPアドレスをたどることで、勝手にパスワードをリセットされた顧客のDigitalOceanアカウントが確認されました。なお、問題のIPアドレスは2要素認証が求められると素直に諦めていた模様。

その後、DigitalOceanはMailchimpから別のメールサービスプロバイダーに移行し、問題はひとまずの解決をみたそうです。DigitalOceanは、今回の騒動から以下の3点を学べたと述べています。

・エコシステムは脆弱であり、信頼のつながりが崩壊すると、システムの下流に重大な影響を与える可能性があります。DigitalOceanの脅威モデルとセキュリティの可視性は、サードパーティのSoftware as a Service(SaaS)およびPlatform as a Service(PaaS)環境で改善する必要があります。

・事業継続計画ではサードパーティによるダウンタイムをより適切に考慮する必要があり、サードパーティーのサービスに依存することによる損失を改善することは可能です。

・攻撃者の標的になっても、2要素認証を設定していればアカウントが完全に侵害されることはなかったことから、2要素認証の設定を顧客に訴えていきます。

なお、Mailchimpは2022年8月12日付けで、「Mailchimpの仮想通貨関連のユーザーを標的とした攻撃があり、疑わしいアクティビティを検出したアカウントを一時的に停止するという予防措置を講じました」と発表していますが、具体的にどのようなセキュリティ障害があったのかは明らかにしていません。

Information About a Recent Security Incident Targeting Crypto Companies | Mailchimp

https://mailchimp.com/august-2022-security-incident/