M&Sは本日、同小売店のネットワークが「巧妙ななりすまし攻撃」によって侵入され、最終的にDragonForceランサムウェア攻撃を受けたことを確認した。
M&Sのアーチー・ノーマン会長は、英国議会の経済安全保障に関するビジネス・貿易小委員会の公聴会で、同国の小売業に対する最近の攻撃について明らかにした。
ノーマン氏は詳細には触れなかったが、脅威の主体が同社で働く5万人の従業員の一人になりすまし、第三者機関を騙して従業員のパスワードをリセットさせたと述べた。
「当社の場合、最初の侵入は4月17日で、現在ソーシャル・エンジニアリングと呼ばれているものでした。私の知る限り、それはなりすましの婉曲表現です」とノーマンは国会議員に説明した。
「しかも巧妙ななりすましだった。しかも、巧妙ななりすましだった。彼らは自分の詳細情報を持った人物として現れたのです。そして、侵入経路の一部には第三者も関与していた」。
5月にFTが報じたように、ITアウトソーシング会社であるタタ・コンサルタンシー・サービシズは、M&Sへの攻撃に不注意にも関与していたかどうかの調査を始めていた。タタはM&Sにヘルプデスクのサポートを提供しており、脅威行為者にだまされて従業員のパスワードをリセットさせられ、それがM&Sのネットワーク侵入に使われたと見られている。
M&Sは初めて、潜在的な攻撃者としてDragonForceランサムウェアの操作に言及し、アジアから操作されていると考えられると述べた。
“この攻撃の仕掛け人はDragonForceであると考えられており、彼らはアジアを拠点とするランサムウェアの運営者であると我々は考えている”
この攻撃以来、多くのメディアが “DragonForce Malaysia “として知られるハクティビスト・グループとDragonForceランサムウェア・ギャングを誤って結びつけている。このハクティビストは、マレーシアで活動する親パレスチナ派グループであり、DragonForceランサムウェアの活動はロシアにあると考えられている。
によって最初に報告されたように、M&Sへの攻撃はScattered Spiderに関連する脅威行為者によって行われ、彼らはネットワーク上にDragonForceランサムウェアを展開した。
このためM&Sは、攻撃の拡大を防ぐために意図的にすべてのシステムをシャットダウンした。
しかし、その時にはすでに手遅れで、多数のVMware ESXiサーバーが暗号化され、情報筋によると約150GBのデータが盗まれたと見られている。
このランサムウェア作戦は、デバイスを暗号化するだけでなく、データを盗み出し、身代金を支払わなければ公開すると脅すという二重の恐喝戦術をとっている。
この攻撃でデータが盗まれたと言われているが、DragonForceはM&Sのデータ流出サイトには書き込みをしていない。これは、小売チェーンが盗まれたデータの流出を防ぐために身代金を支払ったことを示している可能性がある。
公聴会で身代金要求について質問されたノーマン氏は、脅威行為者に対処する際には手を出さないアプローチを取ったと述べた。
「私たちは、M&Sでは誰も脅威行為者と直接取引しないという決断を早い段階で下しました。M&Sでは、この問題に精通した専門家に任せるのが正しいと考えたのです」とノーマンは説明した。
ノーマンが言っているのは、おそらくランサムウェアの交渉会社のことで、企業が脅威行為者と交渉し、ビットコインにアクセスして支払いを円滑に行えるように支援する。
ノーマン氏は、身代金要求を支払ったかどうかという明確な質問に対し、「公益に資するとは思わない」ため、これらの詳細について公には話していないが、NCAや当局とはこの件について完全に共有していると述べた。
ランサムウェアのギャングがタダで何かをすることはめったになく、もしデータが盗まれていて今までに流出していないのであれば、支払いが行われたか、脅威の主体がまだM&Sと交渉しているかのどちらかだろう。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
2025年に共通する8つの脅威
クラウド攻撃はより巧妙になっているかもしれないが、攻撃者は驚くほど単純なテクニックで成功している。
本レポートでは、何千もの組織におけるWizの検知結果から、クラウドを駆使する脅威者が使用する8つの主要なテクニックを明らかにします。
Comments