CCアーキテクト株式会社は6月16日、同社が提供する「3CXクラウドサービス」への不正アクセスについて発表した。
これは5月17日に、「3CXクラウドサービス」に第三者からの不正アクセスが発生したというもの。調査の結果、同サービスの監視業務に利用していた海外の外部システム監視サービスに登録されていたアカウント情報が漏えいし、第三者が同情報を用いて海外サーバから「3CXクラウドサービス」の管理画面に不正アクセスしたことが判明している。
同社によると、一部の顧客環境にて、管理画面上で閲覧可能であったSIPトランク認証情報が第三者に閲覧された可能性があるという。また、当該認証情報が不正に利用され、外部サーバから国際電話等への不正発信が行われた事象を確認している。
なお、「3CXクラウドサービス」上のユーザ認証情報の閲覧やデータエクスポート機能の利用、システム設定の大規模な変更その他の情報漏えいにつながる行為が行われた痕跡は確認されていない。
同社では、関係する管理アカウントおよびSIPトランク認証情報の変更、管理画面へのアクセス制限、多要素認証の適用、監査ログの確認、各環境の設定点検を実施するとともに、影響が確認された顧客環境については個別に対応を行い、必要な是正措置を完了している。
同社では対象となる顧客に、個別に詳細を案内している。
同社では今後、外部委託先を含む管理体制の見直し、監視用アカウントの権限最適化、多要素認証の適用徹底、認証情報管理の強化と監査体制の充実を進め、再発防止に努めるとのこと。
