KELAサイバーインテリジェンスセンター
2023年12月6日、ランサムウェアグループ「LockBit」は自らのブログで、靴小売企業「Aldo」社を侵害したとの犯行声明を出しました。この犯行声明で同グループは、2023年12月25日までに身代金支払いを支払うようAldo社に指示し、身代金が支払われない場合は同社から窃取したデータを公開すると脅迫していました。
しかし、その後Aldo社の広報担当者が発表した内容には、LockBitの攻撃を受けたのは同社とフランチャイズ契約している事業者のシステムであり、「Aldo Groupが所有または運営するシステムについては、このインシデントの影響はなかった」こと、そして「影響を受けたデータは、フランチャイズ事業者が海外の特定地域で展開している業務に関するものに限定されている」ことが記載されていました。さらに、顧客の財務情報や決済にかかわるカード情報に影響はなかったことなども記載されていました。そこで、LockBitが公開した本インシデントのサンプルデータをKELAにて検証したところ、攻撃を受けたのはイスラエルに拠点を置く(Aldo社の)フランチャイズ事業者であると思われることが判明しました。
図1:LockBitがAldo社を被害組織として公開している画面(LockBitのブログより)
このインシデントは、企業や組織が自らに対する攻撃だけでなく、サードパーティに対する攻撃についても警戒する必要があることを示唆しています。サードパーティは、取引先となる企業や組織の機密情報を保有している可能性があるうえに、(企業や組織の)システムそのものへのアクセスを許可されている場合があるからです。2023年11月も、ランサムウェアグループやデータリークグループがサードパーティに対する攻撃を足掛かりにし、本命となる企業を攻撃した事例が確認されました。
ここで具体的な事例を挙げてみましょう。2023年11月、ランサムウェアグループ「Alphv」が「Dragos」社を自らのブログで被害組織として公表しました。犯行声明の中で同グループは、サードパーティを侵害してからDragos社を攻撃したと説明し、24時間以内に連絡をとるようDragos社に要求していました。そして同社から連絡がなければ「幹部社員に関する事実とデータを公開するぞ」と脅迫していたのです。ただしDragos社のインシデントには不可解な部分もあり、Alphvがこの犯行声明を出した数日後、同社は「Alphvから連絡は来ておらず、また我々のシステムが不正アクセスを受けた証拠も確認されなかった」とコメントしていました。そしてその一方でAlphvも、ブログからDragos社の名を削除しました。そのため、Dragos社が本当に攻撃を受けたのかは不明ですが、同社が攻撃を受けた可能性もあり、またサードパーティが足掛かりと言及されていた事例でもあります。
もう1つの事例としては、データリークグループ「Snatch」の攻撃が挙げられます、同グループは自らが行った攻撃の最新情報をTelegramチャンネルで公開しており、その投稿の中で「まず、標的企業のサードパーティとなる金融サービス企業を攻撃し、その後(標的企業の)初期アクセスとデータを入手した」と説明していました。さらに同グループは、「(サードパーティにあたる)金融サービス企業で『データを保有されている顧客企業すべて』が、いま攻撃にさらされているぞ」ともコメントしていました。
図2:AlphvがDragos社を被害組織として公開している画面(Alphvのブログより)
これらの事例から、組織においては包括的なサイバーセキュリティ戦略の一環として、サードパーティから生じるリスクを低減することが重要であることがわかります。サードパーティを利用する前には必ず綿密なリスク評価を実施し、すでに利用しているサードパーティについては、サイバー犯罪ソースでの露出状況をはじめ、関連する潜在的リスクを継続的に監視する必要があります。