Threat Report

HELLCAT、スティーラーの盗んだ認証情報を悪用するお決まりの手口でJLR社を侵害

佐々山 Tacos

2025.03.18

JLR社の侵害：スティーラーの盗んだ認証情報を悪用するHELLCATランサムウェアのお決まりの手口 — これに倣う第二のハッカーも登場

infostealers[.]com – March 17, 2025

HELLCATランサムウェアグループのメンバー「Rey」が犯行声明を出したジャガーランドローバー（JLR）社のハッキングは、インフォスティーラーによって盗み出されたAtlassian JIRAの認証情報を使って行われたという。過去のパターンを踏襲する同グループの手口について、Hudson Rockの研究者が報告した。

HELLCATメンバー「Rey」によるリーク

脅威アクター「Rey」は2025年3月10日、ハッキングフォーラムへの投稿においてジャガーランドローバーが大規模なデータ侵害に見舞われたと主張し、流出したデータとされるものをアップロードした。同アクターは、このデータには機密文書や開発ログ、ソースコードなどの内部ドキュメント合計700ファイル分に加え、従業員データが含まれていると述べ、サンプルデータを共有している。

スティーラーに侵害されたJira認証情報を利用するというプレイブック

Hudson Rockによれば、この侵害は過去にTelefónica、シュナイダーエレクトリック、Orangeを襲った攻撃と同様のパターンで実施されており、いずれのインシデントでも、「インフォスティーラーに感染し、侵害された従業員から盗み出されたJiraの認証情報の悪用」というテクニックが使われたという。JLR社のケースでは、LGエレクトロニクス社の従業員がスティーラーに感染し、同従業員が保有していたサードパーティの認証情報（JLR社のJiraサーバーの認証情報）が盗み出され、これを利用してJLRが侵害されるに至ったとされる。

Threat Report

BreachForums

Silobreaker-CyberAlert

サードパーティ

シュナイダーエレクトリックが開発プラットフォームの侵害認める、ハッカーがデータ盗んだと主張したこと受け

佐々山 Tacos

2024.11.05

BreachForums

Silobreaker-CyberAlert

サードパーティ

Threat Report

Silobreaker-CyberAlert

Orange Groupが侵害認める　企業文書のリーク受け

nosa

2025.02.26

Silobreaker-CyberAlert

第二の脅威アクターも同様の手口でJLRのシステムへ不正アクセスか

Reyのアナウンスから4日後、別の脅威アクター「APTS」もJLR社のデータを窃取した旨をハッキングフォーラムで投稿。Rey同様に、インフォスティーラーで盗み出されたLGエレクトロニクス社従業員保有の認証情報を使ってJLRのシステムへアクセスしたと主張した。APTSがリークしたデータは350ギガバイト分ほどと推定され、Reyのリークデータには存在しないデータまで含まれていたとされる。

数年前に侵害された認証情報を悪用

APTSによればこの認証情報は2021年のもので、同アクターの投稿にはJiraダッシュボードのスクリーンショットが添付されている。Hudson Rockによれば、実際に当該認証情報は、同社の漏洩認証情報データソース（Cavalier）が数年前に検出した認証情報と合致していたという。

漏洩認証情報は時限爆弾

Hudson Rockは、JLR社の侵害が数年前に漏洩した認証情報を悪用して行われたものである点に触れ、インフォスティーラーへの感染は1回限りのインシデントで済むものではなく「時限爆弾」であると指摘。JLRのケースで見られたように、スティーラー感染と盗まれた情報の悪用との間の期間が大きく開く場合もあり、漏洩した認証情報は密かな脅威として残存し続ける可能性があると述べた。

組織への教訓

JLR社の侵害で使われた認証情報は、数年にわたって変更されないまま有効な状態となっていた。このように盗まれた認証情報は長期間使用可能な状態で残存し続ける恐れがあることから、組織にとっては確かなモニタリングの実施と多要素認証（MFA）の導入、また時宜的な認証情報のローテーションを行うことが重要になるとされる。

また、Atlassian Jiraは強力なツールでありながらも、エンタープライズワークフローにおけるその中心的な役割と保有するデータの豊富さから、攻撃社の格好のターゲットとなっていることもこれまでのケースから浮き彫りになっている。