イングラム・マイクロ社、ランサムウェア攻撃後のシステム復旧を開始

News

2025.07.10

Ingram Micro社は、7月4日の連休直前に大規模なSafePayランサムウェア攻撃を受けた後、システムとビジネス・サービスの復旧を開始した。

先週の木曜日、ITディストリビューターおよびサービス大手のIngram Micro社は世界的な大停電に見舞われ、ウェブサイトと注文システムがオフラインになり、従業員は自宅勤務を命じられた。

土曜日の朝、この障害の背景にSafePayのランサムウェア攻撃があったと独占的に報道され、同社はその夜遅くにランサムウェア攻撃を確認した。

月曜日以降、Ingram Micro社は業務の一部を復旧し始め、多くの国で電話や電子メールによる注文の受付を再開したと発表した。火曜日には、米国、カナダ、その他の国にも拡大した。

「更新や変更を含むサブスクリプションの注文は世界中で利用可能であり、Ingram Micro社のサポート組織を通じて一元的に処理されている」とIngram Micro社は月曜日に発表した。

「さらに、英国、ドイツ、フランス、イタリア、ポルトガル、スペイン、ブラジル、インド、中国からの電話や電子メールによる注文も処理できるようになりました。ハードウェアやその他の技術的な注文については、まだいくつかの制限がありますが、注文が入るにつれて明らかになります。”

さらに、同社は全社的なパスワードと多要素認証（MFA）のリセットを実施し、従業員へのVPNアクセスの復旧を開始したことがわかった。

注文、物流、フルフィルメントに関連する数多くの社内システムやプラットフォームが昨日から今日にかけて復旧し、従業員は同社の注文システムにアクセスできるようになった。

Ingram Micro社は攻撃から迅速に回復しているが、復旧作業はまだ終わっておらず、従業員は徐々にオフィスでの仕事に戻っているという。

この攻撃でデータが盗まれたかどうかは不明で、SafePay は現時点では攻撃の責任を公には主張していません。

しかし、ランサムウェア一味は攻撃でデータを盗むことで知られているため、身代金が支払われない場合、今後数日から数週間のうちに何らかの兆候が見られるかもしれません。

データが盗まれたと考えられるかどうかについてIngram Micro社に問い合わせ、回答があれば記事を更新する。

.ia_ad { background-color：#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border：1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }：0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding：display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color：#line-height: 1.4; font-family：margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color：#border：1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding：10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding：15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}

2025年に共通する8つの脅威

クラウド攻撃はより巧妙になっているかもしれないが、攻撃者は驚くほど単純なテクニックで成功している。

本レポートでは、何千もの組織におけるWizの検知結果から、クラウドを駆使する脅威者が使用する8つの主要なテクニックを明らかにします。

GitHub Actionのハッキングがサプライチェーン攻撃の連鎖につながった可能性が高い、 reviewdog/action-setup@v1」GitHub Actionの侵害から始まった連鎖的なサプライチェーン攻撃は、CI/CDの秘密を流出させた「tj-actions/changed-files」の最近の侵害につながったと考えられている。先週、tj-actions/changed-filesGitHubActionに対するサプライチェーン攻撃によって、悪意のあるコードが23,000のリポジトリのワークフローログにCI/CDの秘密を書き込んだ。もしこれらのログが公開されていたら、攻撃者は秘密を盗むことができただろう。 tj-actionsの開発者は、攻撃者が悪意のあるコード変更を実行するためにボットが使用するGitHubパーソナル・アクセストークン（PAT）を侵害した方法を正確に特定することはできません。今日、Wizの研究者は、’reviewdog/action-setup’という名前の別のGitHubアクションから始まった連鎖的なサプライチェーン攻撃の形で答えを見つけたかもしれないと考えている。サイバーセキュリティ会社の報告によると、攻撃者はまずreviewdog/action-setup GitHubアクションのv1タグを侵害し、CI/CDの秘密をログファイルにダンプするために同様のコードを注入した。 tj-actions/eslint-changed-filesはreviewdog/action-setupアクションを利用しているため、侵害されたアクションはtj-actionの個人アクセストークンをダンプし、それを盗むために使用されたと考えられている。 “我々は、reviewdog/action-setupの侵害がtj-actions-bot PATの侵害の根本原因である可能性が高いと信じている。 “tj-actions/eslint-changed-filesはreviewdog/action-setup@v1を使用しており、tj-actions/changed-filesリポジトリはこのtj-actions/eslint-changed-files ActionをPersonal Access Tokenで実行している。” “reviewdogアクションは、tj-actions PATの侵害とほぼ同じ時間帯に侵害された。” 攻撃者は、install.shにbase64エンコードされたペイロードを挿入し、影響を受けたCIワークフローからのシークレットを暴露させた。 tj-actions の場合と同様に、公開されたシークレットは、ワークフローのログの一部として公開リポジトリで見ることができる。サプライチェーン攻撃の概要Source：ウィズ侵害が確認されたreviewdog/action-setup@v1タグとは別に、以下のアクションも影響を受ける可能性がある： reviewdog/action-shellcheck reviewdog/action-composite-template reviewdog/action-staticcheck reviewdog/action-ast-grep reviewdog/action-typos Wiz氏は、Reviewdogのセキュリティ侵害は偶発的に修復されたが、再発防止のためにチームとGitHubに報告したと説明している。侵入の正確な手口は特定されていないものの、Reviewdogは大規模な投稿者ベースを維持し、自動招待によって新しいメンバーを受け入れているため、当然リスクは高くなるとWiz氏はコメントしている。注目すべきは、もしアクションが侵害されたままであれば、tj-actions/changed-filesへの攻撃を繰り返し、成功させることは現実的に可能であり、ローテーションされたばかりのCI/CDの秘密が暴露される可能性があるということだ。推奨事項 Wizは、影響を受ける可能性のあるプロジェクトに対して、このGitHubクエリを実行して、リポジトリにreviewdog/action-setup@v1への参照がないかチェックすることを提案する。ワークフローのログに二重にエンコードされたbase64のペイロードが見つかった場合、これはそのシークレットが流出したことの確認とみなされます。開発者は直ちに、ブランチ全体にわたって影響を受けるアクションへの参照をすべて削除し、ワークフローのログを削除し、潜在的に暴露された秘密をローテーションすべきである。今後同様の漏洩を防ぐには、GitHubのアクションをバージョンタグではなくコミットハッシュに固定し、GitHubの許可リスト機能を使って許可されていないアクションを制限すること。これらのサプライチェーン攻撃や流出したCI/CDの秘密は、影響を受けたプロジェクトに永続的な影響を与えるに違いないので、リスクを軽減するために迅速な対応が必要だ。 3/19更新： Reviewdogチームはセキュリティ勧告を発表し、侵害を認め、影響を受ける可能性のあるユーザーへの指示を提供した。 .ia_ad { background-color：#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border：1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }：0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding：display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color：#line-height: 1.4; font-family：margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color：#border：1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding：10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding：15px; width: 100%; } .ia_button { width: 100%; } . 攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10 1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。レッドレポート2025を読む

2025年に共通する8つの脅威

Comments