Toyota confirms breach after Medusa ransomware threatens to leak data
2023/11/16 BleepingComputer — Toyota Financial Services (TFS) が確認したのは、Medusa ランサムウェアが主張する同社への攻撃の後に、欧州とアフリカの一部のシステムで不正アクセスを検出したことだ。トヨタ傘下の TFS は、トヨタの自動車を販売している市場の 90% に進出しており、顧客に対してローンを提供するグローバル企業である。
11月16日の未明に、Medusa ランサムウェアがダークウェブ上のデータ流出サイトに TFS をリストアップし、同社から盗み出したとするデータを削除するには、$8,000,000 の支払いが必要だと要求した。
この脅威アクターは、TFS に対して 10日間の猶予を設定し、また1日あたり $10,000 で期限を延長するオプションもつけた。
TFS は、この攻撃によるデータ窃取の有無を確認していないが、このハッカー集団はファイルを取得したと主張し、身代金を支払わなければデータが流出すると脅している。
今回の侵入を証明するために Medusa が公開した、サンプル・データに含まれるのは、財務文書/スプレッドシート/購入請求書/ハッシュ化されたパスワード/平文のユーザー ID とパスワード/契約書/パスポートスキャン/内部組織図/財務実績報告書/スタッフの電子メールアドレスなどである。
また Medusa は、TFS のシステムから盗んだと主張する、すべてのデータのファイルツリー構造を示す “.TXT” ファイルも開示している。大半の文書はドイツ語で書かれており、このハッカー・グループが、中欧のトヨタの業務システムにアクセスしたことが示唆されている。
一連の流出したデータについて、BleepingComputer が同社にコメントを求めたところ、広報担当者が以下の声明を発表した:
TFS — 「先日に Toyota Financial Services Europe & Africa は、限られた拠点のシステム上で不正な活動を確認した。この活動を調査し、リスクを軽減するため、特定のシステムをオフラインにし、法執行機関との協力も開始している。現在のところ、このインシデントによる被害は、TFS Europe & Africa に限定されている」 — TFS
同社の広報担当者は、影響を受けたシステムの状況と通常業務への復帰の見込みについて、システムをオンラインに戻すプロセスが、大半の国々で進行中であると話している。
Citrix Bleed を悪用する新たな侵害?
今日の未明に Medusa が、TFS を被害者として公表した後に、セキュリティ・アナリストの Kevin Beaumont が指摘したのは、同社のドイツ支社にインターネットに公開された Citrix Gateway エンドポイントがあるという点だ。このエンドポイントが、2023年8月以降において更新されていないことから、深刻なセキュリティ問題である Citrix Bleed (CVE-2023-4966) の脆弱性が存在すると思われる。
数日前に確認されたのは、インターネットに公開されている Citrix Bleed 脆弱性を悪用して、Lockbit ランサムウェアが、中国工商銀行 (ICBC)/DP World/Allen & Overy/Boeing などに対する侵害を実現したことである。
その他のランサムウェア・グループも、数千のエンドポイントを数えると推定される、この巨大な攻撃対象領域を悪用して、Citrix Bleed 攻撃を開始した可能性がある。
これまでにも、トヨタの系列では何度かのサイバー攻撃が発生しており、その度に情報がオープンにされてきました。ただ、今回のインシデントで気がかりなのが、Citrix Bleed の悪用が推測されている点です。中欧でのインシデントですが、国内の組織は大丈夫なのかと、気になってしまいます。よろしければ、Toyota で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.