ハッカーが新入社員になりすます 米国セキュリティ企業はどう被害を防いだか：Cybersecurity Dive

セキュリティ企業のDragosは、新入社員になりすましたハッカーの標的になっていたことを公表した。同社はこの事態をどうやって鎮静化したのか。

[David Jones，Cybersecurity Dive]

　セキュリティ企業のDragosは2023年5月10日（現地時間）、既知のサイバー攻撃者の標的になっていたことを発表した（注1）。この攻撃者はある新入社員がDragosで働き始める前に、その新入社員の電子メールを侵害し、アクセス可能な状態にしていた。

　ハッカーは入社手続き中の従業員になりすまし、「Microsoft SharePoint」と契約管理リソースにアクセスした。ハッカーは同社の顧客の1人に関連したIPアドレスが記載されたレポートにアクセスしており、Dragosの担当者がその顧客に連絡を取ったという。

Dragosは恐喝をどう防いだのか？

　Dragosによると、ハッカーによる恐喝は失敗し、プラットフォームに関連するものを含めて同社のシステムは一切侵害されなかったという。

　DragosはSIEM（Security Information and Event Management）のアラートを調査し、侵害されたアカウントをブロックした。同社はトップサービスプロバイダーと共にインシデント対応のためのリテーナーを利用し、さらにサードパーティーの監視や検出、対応プロバイダーも活用した。

　Dragosは「ランサムウェアの展開をもくろんでいた脅威グループの主たる目的の達成を阻止した」と述べる。「ハッカーはラテラルムーブメントや、権限の昇格、持続的な侵害の確立およびDragosのインフラストラクチャに何らかの変更を加えられなかった」と同社は報告した。

　IT分野における調査サービスやアドバイスを提供するGartnerのジョン・アマト氏（シニアディレクター・アナリスト）によると、このインシデントからの潜在的な影響は限定的であるとのことだ。

　「Dragosへの脅威は何よりも評判に関するもので、セキュリティ会社がこのような形で攻撃を受けることは決して良いことではない」とアマト氏は述べる。

　しかしアマト氏によると、FireEyeやOktaなどの他のセキュリティ会社が関与した最近の事件に照らし合わせると、評判への影響は短期的なものだ。

　Dragosによると、ランサムウェアの展開に失敗した後、ハッカーたちは同社の経営陣の家族や連絡先を参照して脅威をエスカレートさせた。Dragosの上級職員は個人のメールで攻撃者から連絡を受け、またハッカーたちは同社の公に知られた連絡先にもアプローチした。

　支払いの要求に屈しなかったため盗まれたデータが公にされる可能性があるとDragosは述べる。具体的な身代金の額は明らかにされていない。Dragosの広報担当者は問い合わせに対する回答を準備している途中だったが、公表の時点では情報を持っていなかった。

最新のサイバー攻撃は暗号化を完全に放棄？

　サイバー保険を提供するCorvus Insuranceの脅威インテリジェンス・マネージャーであるライアン・ベル氏によると、盗まれたデータを恐喝に利用する事例が増加しているとのことだ。

　「新しいグループの中には、暗号化を完全に放棄してデータの盗難だけに集中するものも増えている」とベル氏は話す。

　Corvus Insuranceの脅威インテリジェンスチームが実施した未公開の調査によると、2022年は、新しい恐喝グループの27％がデータ窃盗のみを目的としたサイバー攻撃を実行した。これは2021年の17％と比較して増加している。

（注1）Deconstructing a Cybersecurity Event（Dragos）

原文へのリンク