Entrust にランサムウェア攻撃が発生:ダークウェブでイニシャル・アクセスを取得か?

Digital security giant Entrust breached by ransomware gang

2022/07/22 BleepingComputer — デジタル・セキュリティ大手の Entrust だが、脅威アクターによる同社ネットワークへの侵害が生じ、内部システムからデータを盗み出されるという、サイバー攻撃を受けたことを認めた。Entrust は、オンラインの信頼性と ID 管理に特化したセキュリティ企業であり、暗号化通信/セキュア・デジタル決済/ID 発行ソリューションなどの、幅広いサービスを提供している。

盗まれたデータの内容は不明だが、ID 管理や認証に Entrust を利用している機密性が重要な多くの組織にとって、この攻撃を原因とする影響が生じる可能性がある。 それらの顧客の中には、エネルギー省/国土安全保障省/財務省/保健福祉省?退役軍人省/農務省などの、米国政府機関が含まれている。

6月にハッカーが Entrust のネットワークに侵入

およそ2週間前に、ある情報筋から BleepingComputer に対して、6月18日に Entrustへの侵入が発生し、このサイバー攻撃の際に攻撃者は企業データを盗んだと語っている。さらに、昨日になって、セキュリティ研究者の Dominic Alvieri が、7月6日に Entrust の顧客に送られたというセキュリティ通知のスクリーンショットをツイートしたことで、この侵害が公に確認された。

Entrust の CEO である Todd Wilkinson からのセキュリティ通知には、「6月18日に、社内業務で使用している当社システムの一部に、不正アクセスが生じたことが判明しましたので、お知らせする。私たちは、その時から、この状況を改善するために努力を続けている。まず、お伝えしたいのは、調査は進行中であり、当社の製品やサービスの運用やセキュリティに、この問題が影響を及ぼしているという兆候は、現時点で見つかっていないということだ」と記されている。

セキュリティ通知では、Entrust の社内システムから、データが盗まれたことが確認されている。しかし、盗まれたものが純粋な企業データなのか、そこに、顧客やベンダーのデータも含まれているのかは、現時点では不明である。

Entrust は、「いくつかのファイルが、当社の内部システムから盗まれたことを確認した。この問題の調査を続ける中で、ユーザー組織に提供する製品やサービスのセキュリティに影響を与えると思われる情報が判明した場合には、そのユーザーに直接に連絡する」と述べている。

今日に、Entrust は BleepingComputer に対して、大手サイバーセキュリティ企業や法執行機関と協力して、この攻撃の調査を行っているが、業務に影響は出ていないと述べている。 

Entrust は BleepingComputer に対して、「調査は進行中だが、この問題が当社の製品やサービスの運用やセキュリティに影響を与えたという兆候は、現時点では見つかっていない。ユーザーに提供される製品やサービスは、当社の内部システムとは分離された環境で運用されており、完全に稼働している」と述べている。

Security incident notification sent to Entrust customers
Source: Dominic Alvieri

ランサムウェア・ギャングに襲われる

Entrust によるセキュリティ通知や BleepingComputer への声明では、攻撃に関する詳細な情報は共有されていないが、この攻撃の背後には、有名なランサムウェア・ギャングが存在しているようだ。

この攻撃にほうり、デバイスの暗号化が発生したかどうかは不明だが、一般的にランサムウェア・ギャングは、暗号化装置を起動する前にデータを盗み出し、それらを二重の恐喝スキームに使用する。

AdvIntel の CEO である Vitali Kremez によると、今回のランサムウェア・オペレーションでは、漏洩した Entrust の認証情報が購入され、それを悪用して内部ネットワークに侵入したとのことだ。

Kremez は BleepingComputer の取材に対して、「犯人のグループ作業は、ネットワーク・アクセス販売者の信頼できるネットワークを利用して、Entrust 環境へのイニシャル・アクセスを取得し、その結果として、既知のランサムウェア・グループを経由した暗号化と流出の暴露につながっている」と述べている。

Entrust が身代金を支払わない限り、盗まれたデータが公表されるときに、この攻撃の背後にいるランサムウェア・オペレーションが判明することになるだろう。

このランサムウェア攻撃について、Entrust に問い合わせたところ、いま以上の詳しいことは教えられないとのことだった。

大手のセキュリティ・ソリューション・ベンダーに、ランサムウェア・ギャングが攻撃を仕掛けるという事例としては、2月5日の「FBI が提供する Lockbit 対策マニュアル:Accenture 以外にも被害が出ているのか?」や、6月6日の「Mandiant 対 Lockbit:サイバー・セキュリティ大手に仕掛ける意図は何処に?」などがあります。Accenture に関しては、2021年8月に LockBit が $50M の身代金を要求していました。ブランドの毀損ということを考えると、ランサムウェア・ギャング側としては、交渉しやすい相手なのかもしれません。

%d bloggers like this: