ノキアの子会社、ランサムウェア「Conti」の攻撃を受けてデータ流出を公表:個人情報を含む250Gが流出か

Cell-towers-nokia

米国のNokia子会社であるSAC Wireless社は、Contiがネットワークへの侵入、データを盗み、システムの暗号化させられるランサムウェア攻撃を受けデータが流出したことを公表しました。

SAC Wireless社は、5G、4G LTE、スモールセル、FirstNetなどのセルラーネットワークの設計、構築、アップグレードを顧客に提供しています。

同社は、6月16日にContiランサムウェアによってネットワークが侵害されたことを発見しましたが、そのペイロードを展開してSAC Wirelessのシステムを暗号化した後に初めて侵入が発覚しました。

ノキアの子会社は、現在および過去の従業員(およびその健康保険の被扶養者または受益者)の個人情報も盗まれていたことも確認しており、8月13日には外部のサイバーセキュリティ専門家の協力を得て、フォレンジック調査を行った結果ランサムウェア攻撃の際に個人情報が盗まれていたことが判明しました。

「ContiはSAC社のシステムにアクセスし、彼らのクラウド・ストレージにSAC社のファイルをアップロードした後、6月16日にランサムウェアを展開してSAC社のシステム上のファイルを暗号化した」と、データ侵害通知書の中で報告しています。

https://www.documentcloud.org/documents/21047756-sac-wireless-data-breach-conti-ransomware-bc-notification-letter

SAC Wireless社に影響を与えたデータセキュリティ事件についてお知らせします。この事件の結果、お客様の個人情報の一部の安全性が損なわれた可能性があります。

フォレンジック調査の結果、盗まれたファイルには、以下のカテゴリーの個人情報が含まれていると考えてられています。

「氏名、生年月日、連絡先(自宅住所、電子メール、電話など)、政府機関のID番号(運転免許証、パスポート、軍人証など)、社会保障番号、市民権の有無、勤務先情報(役職、給与、評価など)、病歴、健康保険契約情報、ナンバープレート番号、デジタル署名、結婚証明書または出生証明書、確定申告書情報、扶養家族/受益者名」

ランサムウェアの攻撃を受け、SACは今後の侵害を防ぐために、以下のような複数の対策を講じました。

  • ファイアウォールのルールを変更
  • VPN接続を解除
  • 米国外からのアクセスを制限するために、条件付きアクセスのジオロケーション・ポリシーを有効にした
  • 従業員への追加トレーニングの実施
  • ネットワークおよびエンドポイント監視ツールの追加導入
  • 多要素認証の拡大
  • 脅威検知ツール、エンドポイント検知・対応ツールを追加導入

SAC社の広報担当者は「SAC社は事件を認識しており、現在調査を行っています。この事件の評価を継続しながら、適切な保護措置や予防措置を講じるよう関係者と連絡を取っています。」と述べています。

同社はランサムウェアの攻撃を認めず、被害の程度に関する詳細な情報を提供しませんでしたが、ランサムウェア「Conti」グループは250GB以上のデータを盗んだことをリークサイトで明らかにしています。

最近の更新情報によると、ノキアの子会社が要求した身代金を支払わない場合、ランサムウェアの一団は間もなく盗んだすべてのファイルをオンラインで公開するとのことです。

ランサムウェア「Conti」は、ロシアを拠点とするサイバー犯罪グループ「Wizard Spider」が管理していると思われるプライベートなRansomware-as-a-Service(RaaS)であり、有名なRyukランサムウェアとコードの一部を共有しており、Ryukが2020年7月頃に活動を縮小した後、TrickBotの配布チャネルを利用し始めたグループになります。

同グループは最近、アイルランドのHealth Service Executive(HSE)とDepartment of Health(DoH)に侵入し、システムを暗号化した上で2,000万ドルの身代金の支払いを求めていた事件を引き起こしています。

Leave a Reply

Your email address will not be published.