概要
大手コンサルティング企業のAccentureは、「888」を名乗るハッカーがハッキングフォーラム「PwnForums」上でおよそ35GB分のデータを盗んだと主張し、闇市場での販売を試みたことを受けて、セキュリティ侵害の発生を認めた。同社は声明で「この限定的な事案を認識しており、原因はすでに修復済みだ。Accentureの業務やサービス提供への影響はない」とコメントしているが、被害の具体的な範囲や漏えいしたデータの種類、顧客情報が含まれるかどうかについては明言を避けている。
窃取されたとされるデータ
攻撃者の主張によれば、窃取されたデータにはソースコード、RSA鍵、SSH鍵、Azureの個人アクセストークン(PAT)、Azureストレージのアクセスキー、各種設定ファイルなどが含まれるという。攻撃者はAccentureのドメインからクローンしたとみられるAzure DevOpsリポジトリのスクリーンショットも提示しているが、その内容が本物かどうかは第三者による独立した検証はできていない。データがどのように持ち出されたのか、個人情報が含まれているのか、そして攻撃者が最初にどうやって社内システムへの侵入経路を確保したのかといった点は、依然として明らかになっていない。
専門家の見方と過去の経緯
セキュリティ企業Corsica TechnologiesのCISOであるRoss Filipek氏は、Accentureのような大手コンサルティング企業は「大企業の基幹システムに近い場所に位置している」ため攻撃者にとって魅力的な標的になると指摘する。同氏によれば、こうした侵害が成功すると「エンタープライズシステムがどのように構築されているか、各チームがどう認証を行っているか、信頼された接続がどこにあるか」といった手がかりを攻撃者に与えかねないという。Accentureにとっては、2021年のLockBitによるランサムウェア攻撃、2024年に発生した従業員データに関わる第三者経由の情報漏えいに続き、今回で3度目となる重大なセキュリティインシデントであり、近年ではセキュリティ企業Dragosの買収や、クラウド製品のセキュリティ問題を隠蔽したとして元従業員が起訴された事案もあった。
今後の影響
漏えいしたとされる認証情報の中にはAzureの各種キーやトークンが含まれるため、仮に事実であれば影響はAccenture社内にとどまらず、同社が管理・支援する顧客企業のクラウド環境にまで波及する可能性がある。現時点でAccentureは侵入経路や被害の全容を公表しておらず、今後の調査の進展や追加の情報開示が注目される。