既報の通り、2023年3月30日、3CX デスクトップアプリにおいて、外部のセキュリティ機関より重大なセキュリティ問題の内在が指摘され、3CX社で調査したところセキュリティリスクの内在が確認されました。お客様に関しましては、本件に際しご不安とご心配をおかけしたことを深くお詫び申し上げます。
本件に関しては、セキュリティ会社のMandiant社により徹底的な調査が実施され、問題の発生原因と発生事象が明確になりました。以下に3CX社が発表している内容と対応についてご報告いたします。
【問題の影響範囲について】
本問題は、3CX V18 Update 7にサーバーをアップデート後、クライアントに配信されるWindows版 3CXデスクトップアプリ(対象バージョン参照)にて問題を確認しました。
※Mac版については、Update6以降
CCアーキテクトでホスティングを行っている3CXクラウドサービスは3か月ごとのメンテナンスリリース運用を行っているため、基本的に今回のUpdate7は適用されておらず、Mac版のデスクトップアプリの利用が確認されていないことから、本問題の影響は受けておりません。
3CXライセンスをご利用のお客様で、弊社にて監視サービスを提供させていただいているお客様につきましても、影響のあるお客様には個別にご連絡をさせていただきました。
本事象はDesktopApps 18.12.425 にて改修されておりますので、それ以降のバージョンでは本問題は発生したしません。また、本事象はDesktopAppsに内在していたことが明確になっておりますので、Webクライアント、PWAクライアント、モバイルアプリケーション、IP電話機をご利用の端末への影響はございません。
CCアーキテクトのお客様より、本件に伴う具体的な被害を受けた情報はございません。また、3CX社からもグローバルで具体的な被害は確認されていないとの報告を受けております。
【対象バージョン】
3CX Desktop Apps
Windows版 18.12.407 18.12.416
Mac版 18.11.1213 18.12.402 18.12.407 18.12.416
【障害概要】
Mandiant社の調査により、以下のことが判明しております。
Trading Technologies社が過去に配布していたセキュリティ問題を有するアプリケーションが3CX社内のNWにて実行されたことにより、該当端末を起因として、3CXアプリケーションのビルド環境が侵害されました。これにより3CX DesktopAppsの一部DLLがMicorosoft社の証明書を偽装し混入させたままリリースされました。マルウェアは一定期間後にGitHub上に配置された別ファイルをダウンロードすることによりさらなる浸食を行う構造となっていましたが、事象に気づいたセキュリティ研究者が迅速に該当のGitHubサイトのクローズを申請し受理されたことによりマルウェアの進行を停止することができています。
【対処について】
3CX社としては、今回の事態を受けMandiant社のアドバイスを元にセキュリティ体制を根本的に見直し、製品に対するセキュリティポリシーを強化することを決定しました。具体的にはEFTAと呼ばれるセキュリティ憲章7項目を公開し、それらのアクションを継続的に実行することをお客様にお約束する旨発表がありました。
1.社内ネットワークの多層化によるセキュリティ強化
- ビルド環境用のネットワークを再構築し、社内NWと分離しセキュリティチェックを強化する
- 次世代のEDR監視ツールの導入
- 24時間365日監視を行うスペシャリストの採用
- ゼロトラストに基づくアクセス制御ポリシーの適用
- Mandiant社による継続的なレビューと改善
2.ビルドセキュリティシステムの構築
- 静的コード分析、動的コード分析ツールの導入により、コミット前にコードが自動スキャンされ、プロジェクト全体でのコード品質、脆弱性のチェックが行われます。
- コード、ライブラリの署名が変更されていないことを監視するソリューションを導入します。
3.Mandiant社による継続的な製品セキュリティレビュー
Mandiant社による製品レビューを継続的に実施します。なお、今回の事態を受けて実施したMandiant社のレビュー結果については、後述のように製品に反映されリリースされています。
4.製品セキュリティ機能の強化
- 推奨されるオプションとしてのPWAの機能強化 ※PWAはブラウザプラットフォーム上で動作するApp
- BLFパネルをPWAアプリダイヤラに追加します
- Tel プロトコルのサポート (更新プログラム 8)
- パスワードのハッシュ化
- ようこそメールからのパスワードの削除
- IPによるWebクライアントのロックダウン - システム管理者又はユーザ
- その他指摘された脆弱性の可能性に対する対処
今後のロードマップとして、Microsoft Storeアプリケーションのリリース(これにより、Microsoft社によるセキュリティチェック、自動更新、自動検疫が追加されます)、SSO、MFA等の対応を予定しています。
5.継続的な侵入テストの実施
3CX社は、ペネトレーションテストを実施する会社と契約を行いました。今後継続的にネットワーク、Webサイト等オンラインに公開されているすべてのアプリケーションを対象としてペネトレーションテストを継続的に実行します。
6.危機管理対応、アラート対応の見直し
万一同様の問題が発生した際の危機対応について、コミュニティとの情報共有の方法、アラートの申告方法等の運用を確立します。
7.ネットワーク運用・セキュリティ部門の新設
3CX社は、セキュリティとネットワーク運用にフォーカスした専門の部門「Network Operations & Security」を新設します。本部門は20年以上セキュリティに関する経験を持つAgathocles Prodromouが統括し、CNO(最高ネットワーク責任者)としてCEOに直接報告できる体制として経営陣とセキュリティ部門の間に迅速なコミュニケーションラインを確立します。また、本部門は3CXのお客様と3CXを保護するためのセキュリティ予算と迅速に対応するための独自の権限を有します。
この度は、3CXクラウド並びに3CXをご利用のお客様にご不安を与えてしまいましたこと、3CX社ともども心よりお詫び申し上げます。
CCアーキテクトのお客様につきましては今回の問題に対する直接の影響を受けておらず、修正されたアプリケーションにて今回の問題が解決されたと認識していますが、弊社としては内容に関して重大な問題と受け止めております。一方、上記EFTAのアクションは一貫性がある信頼できるものであると認識しており、結果として3CXの製品品質向上により3CXをご利用のお客様に対してより安定した製品を提供できるとの受け止めをしています。
CCアーキテクトとしましては、継続して3CX社とコミュニケーションを行い対応についてウォッチしていくと同時に、ホスティング環境・お客様環境の設計時により高いレベルでサービスを提供できるよう努めてまいります。今後とも3CXクラウド並びに3CXをご活用いただきたくお願い申し上げます。
3CXからのブログ発表
Following thru on 3CX's security plans! What's happening next?
Updates on the 3CX Security Alert for Electron Windows App
3CX's Latest Security Incident Updates | Saturday 1 April 2023
The 'EFTA' Security Charter | A 7-Step Security Action Plan (3cx.com)
Mandiant Security Update – Initial Intrusion Vector | 3CX
