CDK Globalの大規模障害、原因は「BlackSuitランサムウェアによる攻撃」と情報筋
BleepingComputer – June 22, 2024
先週発生した、米国の自動車ディーラー向けSaaSプロバイダーCDK Globalに対する大規模なサイバー攻撃。影響を受けた北米のディーラー数千社で業務運営に支障が出ていると報じられている。本件について知る複数の情報筋によれば、この攻撃にはBlackSuitランサムウェアグループが関与しているという。
CDK Globalの提供するプラットフォームは、自動車ディーラーが必要とするあらゆる機能(販売、融資関連、在庫管理、サービス関連、バックオフィス関連など)を提供するツール。サイバー攻撃により同プラットフォームがシャットダウンされている現在、ディーラー各社では紙とペンでの業務運用に切り替えることを余儀なくされている。なお、北米における同社の顧客数は1万5千を超えるとされる。
CDK Globalへのサイバー攻撃は2回発生
CDK Globalが1回目の攻撃を認識したのは現地時間の18日夜。19日朝にかけて実施されたこの攻撃により、ITシステムの大部分がシャットダウンされた。同社はその日のうちに顧客に宛てたEメールでインシデントの発生について伝え、夕方までに一部のサービスを再開させたものの、19日夜には2度目の攻撃が発生。結果として、再度システムの大半を停止せざるを得なくなっていた。これにより、顧客の業務運用には引き続き支障が生じている。
脅威アクターは「サポート」装いCDKの顧客に電話
CDKの顧客が被っている影響は、業務運用に関するものだけではない模様。2度の攻撃を経て、CDKのカスタマーサポート用チャネルは利用できない状態が続いている。そんな中、同社によれば、顧客が限られたサポートオプションしか利用できなくなっている状況を利用し、脅威アクターらが「CDKのスタッフ」や「CDKの関連会社」を装って顧客に電話をかけ、システムへアクセスするための情報を入手しようとしているという。
BlackSuitランサムウェアグループとは?
「複数の情報筋」の話としてBleepingComputerが報じたところによると、今回のCDKに対する攻撃の背後にいたアクターはBlackSuitランサムウェアグループだったとされる。また同一の情報筋は、CDKとBlackSuitの間では現在、復号鍵の提供および盗難データのリークをめぐる交渉が行われている最中だとも述べているという。なお交渉が進行中であるというニュースについては、ブルームバーグの報道でも伝えられている。
Royalランサムウェアのリブランドか
BlackSuitは2023年5月に始動したランサムウェアグループ。かつて存在したRoyalランサムウェアのリブランドであると考えられており、両者の暗号化ツールには著しい類似点が複数あるとも報告されている。またFBIとCISAの合同アドバイザリにおいても、両グループの戦術やコーディングの共通点が指摘されていた。なおRoyalは、ロシアや東ヨーロッパの脅威アクターで構成されるサイバー犯罪組織「Conti」の直接的な後継者であると考えられている。
6月21~24日:その他のサイバーセキュリティ関連ニュース
インドネシア指紋自動識別システム(INAFIS)からの漏洩データとされるものをハッカーが販売
FALCONFEEDS[.]IO – June 23, 2024
インドネシア指紋自動識別システム(INAFIS)に関する重大な漏洩データとされるものを、脅威アクター「MoonzHaxor」がBreachForums上にアップロードしたという。FALCONFEEDS[.]IOがX(旧Twitter)で報じた。MoonzHaxorの投稿によれば、INAFISは「身元確認プロセスにおいて重要な任務を担う警察の一部隊」で、同組織が指紋を利用して実施する身元確認では、「インドネシアの全人口に関する本物のデータ」が重視されるという。
漏洩データに含まれるとされているのは、以下の情報:
- INAFISに登録されている顔情報(Eメール付き)
- INAFISに登録されている指紋情報(Eメール付き)
- INAFISのSpringBootアプリケーション(データベースのコンフィグレーションプロパティ付き)
MoonzHaxorは当該データを1,000ドルで販売したいと述べ、連絡先として自身のTelegram情報を共有している。