写真・パーソナライズドフォト大手のShutterflyは、数千台のデバイスを暗号化し企業データを盗むContiランサムウェアの攻撃を受けたことを発表しました。
Shutterfly社の写真関連サービスは、GrooveBook、BorrowLenses、Shutterfly.com、Snapfish、Lifetouchなどの様々なブランドを通じて、消費者、企業、教育機関の顧客を対象としています。
メインサイトでは、写真をアップロードしてフォトブックやオリジナルステーショナリー、グリーティングカード、ポストカードなどを作成することができます。
Shutterfly、ランサムウェア「Conti」の攻撃を受ける
Shutterflyは約2週間前にContiによるランサムウェア攻撃を受け、4,000台以上のデバイスと120台のVMware ESXiサーバーを暗号化されたとしています
この攻撃はまだ現在進行形で行われており、ランサムウェアグループは身代金として数百万ドルを要求していると聞いています。
ランサムウェアグループは、企業ネットワーク上のデバイスを暗号化する前に、数週間から数日の間、内部に潜んで企業データや文書を盗み出すのが一般的です。
これらの機密文書は、公開されたり、他のハッカーに売られたりするという脅迫のもと、被害者に身代金の支払いを迫るための手段として利用されます。
Contiは、この「二重脅迫」戦術の一環として攻撃で盗んだとされるファイルのスクリーンショットを掲載した非公開のShutterflyデータリークページを作成しました。攻撃者は、身代金が支払われなければ、このページを公開すると脅しています。
これらのスクリーンショットには、法的な契約書、銀行やマーチャントアカウントの情報、企業サービスへのログイン情報、スプレッドシート、クレジットカードの下4桁を含む顧客情報と思われるものが含まれているそうです。
また、ContiはShutterflyのストアのソースコードを持っていると主張していますが、ランサムウェアグループがShutterfly.comを意味しているのか、それとも別のウェブサイトを意味しているのかは明らかになっていません。
Shutterfly社はランサムウェア攻撃を受けていることを公表し、Shutterfly.com、Snapfish、TinyPrints、Spoonflowerの各サイトは攻撃の影響を受けていないとのことです。しかし、同社のコーポレートネットワーク、Lifetouch、BorrowLeneses、Groovebookではサービスに障害が発生しました。
Shutterfly, LLCは当社のネットワークの一部がランサムウェアに攻撃されました。この事件によるShutterfly.com、Snapfish、TinyPrints、Spoonflowerの各サイトへの影響はありません。しかし、当社のLifetouchおよびBorrowLenses事業、Groovebook、製造、および一部の企業システムの一部には、障害が発生しています。当社は第三者のサイバーセキュリティ専門家に依頼し、法執行機関に報告し、24時間体制でこの事件に対処しています。
現在進行中の調査の一環として、影響を受けた可能性のあるあらゆるデータの全容を把握しています。当社はShutterfly.com、Snapfish、Lifetouch、TinyPrints、BorrowLenses、Spoonflowerのお客様のクレジットカード情報、金融口座情報、社会保障番号を保存していないため、今回の事件でこれらの情報が影響を受けることはありません。しかし、影響を受けた可能性のあるデータの性質を理解することが重要な優先事項であり、その調査は継続中です。適切に最新情報を提供していきます
Shutterflyは金融情報は開示されなかったとしていますが、スクリーンショットの1つにクレジットカードの下4桁が含まれていると聞いており、この攻撃でさらに、より重要な情報が盗まれたかどうかは不明です。
ランサムウェア「Conti」
Contiは、Ryuk、TrickBot、BazarLoaderなどの有名なマルウェアの感染で知られるロシアのハッキンググループが運営していると考えられているランサムウェアグループです。
この作戦は、Ransomware-as-a-Service(ランサムウェア・アズ・ア・サービス)として運営されており、コアチームがランサムウェアの開発、支払いサイトやデータ漏洩サイトの管理、被害者との交渉を行います。そして、企業のネットワークに侵入し、データを盗み、デバイスを暗号化する「アフィリエイター」を募集します。
身代金の支払いはコア・グループとアフィリエイターの間で分配され、アフィリエイターは通常総額の70~80%を受け取ります。
Contiは、企業のデバイスをBazarLoaderやTrickBotといったマルウェアに感染させた後にネットワークに侵入し、ハッキンググループにリモートアクセス権を提供します。
このマルウェアは、ハッキンググループに遠隔地からのアクセスを可能にし、社内システムにアクセスすると、ネットワークを介して拡散し、データを採取し、ランサムウェアを展開します。
Contiは、過去にもアイルランドのHealth Service Executive(HSE)やDepartment of Health(DoH)、タルサ市、Broward County Public Schools、アドバンテックなど、知名度の高い組織への攻撃で知られています。
このサイバー犯罪組織の活動が活発化していることから、米国政府は最近、ランサムウェア「Conti」の攻撃に関するアドバイザリーを発表しました。
CISAからの対策推奨方法
- 多要素認証を使用する
- ネットワークのセグメンテーションとトラフィックのフィルタリングを行う
- 脆弱性をスキャンし、ソフトウェアを更新する
- 不要なアプリケーションを削除し、コントロールを適用する
- エンドポイントおよび検知対応ツールを導入する
- ネットワーク上のリソースへのアクセスを制限する。特にRDPを制限すること
- ユーザーアカウントの保護
お客様の組織でランサムウェアが発生した場合、CISA、FBI、NSAは以下の行動を推奨しています。
- バックアップのスキャン。可能であれば、バックアップデータをウイルス対策プログラムでスキャンし、マルウェアが混入していないことを確認する。
- インシデントを直ちにCISA(https://us-cert.cisa.gov/report)、地元のFBI支部、または米国シークレットサービス支部に報告する。
- CISAとオーストラリア、カナダ、ニュージーランド、英国のサイバーセキュリティ当局が共同で作成したアドバイザリ「Technical Approaches to Uncovering and Remediating Malicious Activity」に記載されているインシデント対応のベストプラクティスを適用する。
- CISA、FBI、NSAは、犯罪者に身代金を支払うことを強く非推奨しています。身代金を支払うことで、敵対者がさらに別の組織を標的とするようになったり、他の犯罪者がランサムウェアの配布に関与するようになったり、不正な活動に資金を提供したりする可能性があります。また、身代金を支払っても、被害者のファイルが復元されるとは限りません。
Comments