Yamaha Motor confirms ransomware attack on Philippines subsidiary
2023/11/17 BleepingComputer — 2023年10月に、ヤマハ発動機のフィリピン子会社がランサムウェア攻撃を受け、一部の従業員の個人情報が窃取され流出した。このヤマハの二輪車製造会社は、10月25日に情報漏洩が検出された後に、外部のセキュリティ専門家からの協力を得て調査を進めてきた。
ヤマハは、「フィリピンの二輪車製造/販売子会社である Yamaha Motor Philippines, Inc (YMPH) が管理するサーバの1台が、第三者による不正アクセスを受け、ランサムウェア攻撃を仕掛けられ、同社が保管する従業員の一部の個人情報が流出した。YMPH とヤマハ本社の IT センターは対策チームを立ち上げ、被害の拡大防止に努めながら影響の範囲などを調査し、外部のインターネット・セキュリティ会社の意見も取り入れながら復旧に向けて取り組んでいる」と述べている。
ヤマハによると、この脅威アクターが侵入したのは Yamaha Motor Philippines の1台のサーバであり、ヤマハ発動機グループ内の他の子会社への影響はなかったという。同社はフィリピンの関係当局に報告を行い、攻撃の影響について、その全容の把握に努めている。
今日の未明に BleepingComputer も、ヤマハ発動機に連絡をとったが、同社の広報担当者は回答できなかった。
INC Ransom ギャングによる不正アクセス
YMPH は、今回の攻撃を操る組織について断定していないが、その一方では INC Ransom が攻撃を主張し、同社のネットワークから盗み出したデータを流出させたと主張している。
11月15日 (水) に、ダークウェブのリークサイトに YMPH が追加され、従業員 ID 情報/バックアップファイル/企業情報/販売情報などの、37GB のデータを含む複数のファイル・アーカイブが公開された。
2023年8月に登場した INC Ransom は、医療/教育/政府などの分野の組織を標的に、二重の恐喝攻撃を仕掛けてきた。
それ以来、INC Ransom はリークサイトに 30件の被害者を追加している。しかし、公開されるのは身代金支払いを拒否した組織だけであるため、侵入された組織の数はもっと多い可能性が高い。
SentinelOne によると、脅威者はスピアフィッシング・メールを介してターゲットのネットワークにアクセスするが、Citrix NetScaler の脆弱性 CVE-2023-3519 を悪用していることも確認された。
この脅威アクターは、アクセス後にネットワーク内を横方向に移動し、身代金要求のために機密ファイルを採取/ダウンロードし、それに続いて、ランサムウェア・ペイロードで侵害したシステムを暗号化している。
そして仕上げに、暗号化されたファイルを含む各フォルダ内に、”INC-README.TXT” と “INC-README.HTML” ファイルを自動的にドロップする。
このランサムウェア・ギャングは、すべての盗み出したデータを公開すると、被害者たちをリーク・ブログで脅し、72時間以内に交渉を開始せよと最後通告を行う。また、身代金の要求に応じる者には、ファイルの復号化を支援するという保証が提供されるという。
この攻撃者は、最初の攻撃方法に関する詳細/ネットワークの安全確保に関するガイダンス/データ破壊の証拠を提供し、さらには、INC Ransom による再攻撃が行われないという “保証” まで誓約するという。
最近、たまに見かける INC Ransom ですが、ヤマハのフィリピン支社の攻撃に成功したようです。また、Citrix NetScaler の脆弱性 CVE-2023-3519 が悪用されたようですが、同社の Citrix Bleed CVE-2023-4966 も攻撃で多用されており、ご難続きの Citrix ユーザーという感じです。
IoT OT Security News 
You must be logged in to post a comment.