Europol

更新:5 月 13 日 12:09 EDT: 欧州刑事警察機構(Europol)は、攻撃者が盗んだ認証情報を使用して EPE ウェブポータルに侵入した可能性が高いとする続報を発表した。

欧州連合(EU)の法執行機関である欧州刑事警察機構(Europol)は、同社の専門家のための欧州刑事警察プラットフォーム(EPE)ポータルが侵害されたことを確認し、機密データを含むFOUO(For Official Use Only)文書を盗んだという脅威行為者の主張を受け、現在この事件を調査している。

EPEは、法執行機関の専門家が「犯罪に関する知識、ベストプラクティス、非個人データを共有する」ために使用するオンラインプラットフォームである。

「欧州刑事警察機構(Europol)はこの事件を認識しており、状況を評価している。すでに初期対応がとられている。この事件は、欧州刑事警察機構(Europol)の専門家向けプラットフォーム(EPE)のクローズド・ユーザー・グループに関するものです。

「この EPE アプリケーションでは、いかなる業務情報も処理されていない。欧州刑事警察機構の基幹システムは影響を受けておらず、したがって、欧州刑事警察機構の業務データが漏洩した事実はありません。

また、侵害がいつ発生したのか、脅威の主体が主張するようにFOUOと機密文書が盗まれたのは事実かどうかも尋ねたが、回答はすぐには得られなかった。

3月にPoliticoが報じたように、ユーロポールのカトリーヌ・デ・ボーレ事務局長や他の高官のハードコピーの人事記録も2023年9月以前に流出していた。

「2023年9月6日、欧州刑事警察機構(Europol)事務局は、複数の欧州刑事警察機構(Europol)職員の個人的なペーパーファイルが消失したことを知らされた。

「ユーロポールの法執行機関としての役割を考えると、職員の個人ファイルが消失したことは、重大なセキュリティおよび個人情報漏洩事件である。

発表時点では、EPEのウェブサイトはオフラインで、メンテナンス中のためサービスを利用できないというメッセージが表示されていた。

Europol EPE under maintenance
メンテナンス中のユーロポールEPE

このデータ流出事件の背後にいる脅威行為者であるIntelBrokerは、ファイルはFOUOであり、機密データが含まれていると説明している。

同脅威行為者によると、盗まれたとされるデータには、アライアンスの従業員に関する情報、FOUOのソースコード、PDF、リコンやガイドラインの文書などが含まれているという。

彼らはまた、EPEポータル上のコミュニティの1つであるEC3 SPACE(Secure Platform for Accredited Cybercrime Experts)にアクセスしたとも主張している。EC3 SPACEは、何百ものサイバー犯罪関連資料をホストしており、以下のような世界中の6,000人以上の公認サイバー犯罪専門家が利用している:

  • EU加盟国および非加盟国の法執行機関
  • 司法当局、学術機関、民間企業、非政府組織、国際機関
  • ユーロポールのスタッフ

インテルブローカーはまた、EU加盟国、英国、ユーロジャストと協力協定を結んでいる国、欧州検察庁(EPPO)を含む47カ国の司法当局および法執行当局が使用するSIRIUSプラットフォームを侵害したとしている。

SIRIUSは、犯罪捜査や訴訟手続きにおいて、国境を越えた電子証拠にアクセスするために使用される。

EPEのオンライン・ユーザー・インターフェースのスクリーンショットが流出したほか、IntelBrokerは、9,128件のレコードを含むとされるEC3 SPACEデータベースの小さなサンプルも流出させた。このサンプルには、EC3 SPACEコミュニティにアクセスできる法執行機関やサイバー犯罪の専門家の個人情報のようなものが含まれている。

「価格設定:オファーを送る。XMRのみ。連絡先はフォーラムで私にメッセージを。資金証明が必要です。私は評判の良いメンバーにのみ販売します “と、脅迫者は金曜日のハッキングフォーラムへの投稿で述べている。

Alleged Europol breach
欧州刑事警察機構(Europol)違反の疑い

IntelBrokerとは何者か?

12月以降、この脅威行為者は、ICEやUSCIS、国防総省、米軍など、さまざまな政府機関から盗んだとされるデータを流出させている。

これらの事件が2024年4月のファイブ・アイズのデータ流出疑惑とも関連しているかどうかは不明だが、ICE/USCISフォーラムの投稿に投棄されたデータの一部はファイブ・アイズの投稿と重なっている。

インテルブローカーは、米下院議員や職員、家族の医療プランを管理するDCヘルスリンクに侵入したことで知られるようになった。

この侵害により、米下院議員や職員を含む17万人の個人情報が流出し、議会公聴会が開かれた。

この脅威行為者に関連する他のサイバーセキュリティ事件としては、ヒューレット・パッカード・エンタープライズ(HPE)ホーム・デポ食料品サービス「ウィー!」ゼネラル・エレクトリック航空(GE)の侵害疑惑がある。

今週初め、IntelBrokerはまた、クラウド・セキュリティ企業Zscalerのネットワークへのアクセス情報(すなわち、「認証情報、SMTPアクセス、PAuth Pointer Authアクセス、SSLパスキーおよびSSL証明書が詰まったログ」)の販売を開始した。

Zscalerは後に、オンラインで公開された「孤立したテスト環境」を発見したことを確認し、会社、顧客、本番環境には影響がなかったにもかかわらず、フォレンジック分析のためにオフラインにした。Zscalerはまた、独立した調査を行うためにインシデントレスポンス会社を雇いました。

5月13日12:09 EDT更新:欧州刑事警察機構(Europol)は、更新された声明の中で、ポータルは脆弱性や設定ミスによってハッキングされたのではなく、攻撃者が盗んだ認証情報を使用してデータにアクセスしたと述べている。

この試みは最近行われ、すぐに発覚した。ユーロポールの基幹システムや業務システムはハッキングされておらず、ユーロポールの業務データが漏洩したわけではない。

ユーロポール・エキスパート・プラットフォーム(EPE)もハッキングされていない。システムに不正アクセスする唯一の方法は、電子メールまたはパスワードの漏洩であった。不正アクセスによってアクセスできたのは、EPEのごく限られた部分(クローズド・ユーザー・グループ)のみであった。

ユーロポール・エキスパート・プラットフォーム(EPE)は、業務データも機密データも個人データも保有しておらず、EPE上で業務情報が処理されることはない。むしろ、法執行のさまざまな分野の専門家が意見を交換するための共同ウェブ・プラットフォームである。EPEには、ブログやインスタント・メッセージ・フォーラム、カレンダー、ウィキなど、コンテンツ管理のためのツールが多数用意されている。このプラットフォームには2万人以上のユーザーがいる。- ユーロポール