Snowflake関連のデータ侵害・恐喝攻撃めぐりカナダ人の容疑者が逮捕される | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Snowflake関連のデータ侵害・恐喝攻撃めぐりカナダ人の容疑者が逮捕される

Threat Report

AI

Judische

Operation Synergia II

Snowflake関連のデータ侵害・恐喝攻撃めぐりカナダ人の容疑者が逮捕される

佐々山 Tacos

佐々山 Tacos

2024.11.06

11月6日:サイバーセキュリティ関連ニュース

Snowflake関連のデータ侵害・恐喝攻撃めぐりカナダ人の容疑者が逮捕される

The Hacker News – Nov 05, 2024

多数のSnowflakeアカウントをハッキングしてさまざまな組織のデータを盗んだとされる容疑者が、カナダの法執行当局により逮捕されたとの報道。「Judische」または「Waifu」の名で知られるハッカーの正体が、この人物であるとみられる。

Snowflakeを狙った大規模キャンペーンが実施されたのは、今年の前半。複数種のスティーラーによって窃取・漏洩した認証情報を利用して、多数のSnowflakeアカウントが侵害され、これらのアカウントに保存されていた企業データが窃取された。被害組織の数は165組ほどに上るとされており、これにはAT&Tやニーマン・マーカス、サンタンデール銀行、チケットマスター(ライブネーション)などが含まれると報じられている。中には、盗難データをリークしないことと引き換えに身代金を要求された組織もあった。

このサイバー攻撃について分析したMandiant社は当時、脅威グループUNC5537(ShinyHunters)が実行犯であろうと評価。「UNC5537は北米を拠点とするメンバー数人で構成されており、トルコ在住のもう一人のメンバーと協力して活動している」と伝えていた。なおこのトルコ在住のメンバーとされるJohn Binns容疑者については、2024年5月にトルコ国内で逮捕されている。

そんな中、今年9月にはKrebs On Securityと404 Mediaが、Judischeはカナダ在住である可能性が高く、より広範なサイバー犯罪エコシステム「The Com」と繋がっている可能性が高いと報道。The Comについては、ライバル組織のアカウントへ不正にアクセスしたり、資産を盗み出したりするために時に暴力に訴えながらフィジカル・デジタル両面の攻撃を実施するサイバー犯罪ネットワークであることが伝えられていた。

そして10月30日、カナダ当局は米国の要請を受け、仮逮捕状に基づきJudischeとみられる容疑者Alexander “Connor” Mouckaを逮捕。Mouckaは木曜(現地時間)に出廷予定とされている。ただし、正確な罪状は現時点で不明とのこと。

Operation Synergia II:インターポールがIPアドレス22,000件に関わるサイバー犯罪活動を阻止、41人を逮捕

BleepingComputer – November 5, 2024

国際刑事警察機構(インターポール)は5日、サイバー犯罪打倒のための国際法執行作戦「Operation Synergia II」の成果として容疑者41人の逮捕とサーバー1,037件の差し押さえ、およびIPアドレス22,000件のテイクダウンが実施されたことを発表した。

Operation Synergia IIの実施期間は、2024年4月〜8月。参加国は95か国に上り、Group-IBやカスペルスキー、トレンドマイクロなど民間のサイバーセキュリティ企業が提供したインテリジェンスに支えられ、ランサムウェア、フィッシング、インフォスティーラーの活動についての追跡が行われた。この結果、30,000件を超える不審なIPアドレスが特定され、このうち76%がテイクダウンされたほか、サーバー59件と電子機器43台が差し押さえられている。加えて、こうしたサイバー犯罪への関与が疑われる41個人が逮捕され、これとは別に65人に対する捜査が進行中だという。

今回の作戦は複数国の協力のもと行われているが、インターポールは特に以下の国・地域での成果について共有している。

  • 香港:悪意あるサービスに関連する1,037件を警察がテイクダウン。
  • モンゴル:家宅捜索が21件行われ、サーバー1件が差し押さえられたほか、不法なサイバー活動と結び付く93個人が特定された。
  • マカオ:警察がサーバー291件をオフラインに。
  • マダガスカル:悪意あるサーバーと関わりのある11個人を当局が特定し、電子機器11台を捜査目的で差し押さえ。
  • エストニア:80GB超のサーバーデータを警察が差し押さえ、インターポールとの協力のもとフィッシングおよびバンキングマルウェアに関連するデータを分析。

このほかの特記事項としてインターポールは、フィッシングオペレーションを強化する目的で生成AIが使われるようになっていることや、ランサムウェア攻撃の前段階の侵入手段としてインフォスティーラーが使われるケースが増えていることなどに言及している。

ランサムウェアレポート&インテリジェンス要件定義ガイド、無料配布中!

ランサムウェアレポート:『2024 Ransomware? What Ransomware?』

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート2024 Ransomware? What Ransomware?の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

  • 主なプレーヤーと被害組織
  • データリークと被害者による身代金支払い
  • ハクティビストからランサムウェアアクターへ
  • 暗号化せずにデータを盗むアクターが増加
  • 初期アクセス獲得に脆弱性を悪用する事例が増加
  • 公に報告された情報、および被害者による情報開示のタイムライン
  • ランサムウェアのリークサイト – ダークウェブ上での犯行声明
  • 被害者による情報開示で使われる表現
  • ランサムウェアに対する法的措置が世界中で増加
  • サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
  • 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック要件主導型インテリジェンスプログラムの構築方法の日本語訳バージョンを無料でダウンロードいただけます。

<ガイドブックの主なトピック>

本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

  • 脅威プロファイルの確立
  • ステークホルダーの特定・分析
  • ユースケースの確立
  • 要件の定義と管理
  • データの収集と処理
  • 分析と生産
  • 報告
  • フィードバック
  • 実効性の評価

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ