エスティローダーにランサムウェアグループALPHVが侵入 131GB以上のデータを奪ったと主張：Cybersecurity Dive

Estee Lauderに対するランサムウェア攻撃について、脅威アクターALPHVが実行を主張している。同組織はEstee Lauderの暗号化されていないネットワークに侵入し、131GB以上のデータを奪ったという。

[Matt Kapko，Cybersecurity Dive]

　化粧品メーカーであるEstee Lauderは2023年7月18日（現地時間、以下同）、企業データの盗難を含むサイバー攻撃への予防措置としてシステムの一部を停止したと発表した（注1）。

　このサイバー攻撃を実行したと主張するランサムウェアグループ「ALPHV」（別名：BlackCat）は、2023年7月15日に企業および個人の電子メールアカウントを介してEstee Lauderのリーダーに最初の接触を図ったと述べている。

ALPHVは131GB以上のデータを奪ったと主張

　セキュリティ企業のEmsisoftの脅威アナリストであるブレット・カロウ氏の観察によると（注2）、Estee Lauderから応答がなかったため、ALPHVは2023年7月18日に同社をリークサイトに掲載したと主張している。カロウ氏によると、ALPHVはEstee Lauderのデータを131GB以上保有していると主張しているようだ。

　Estee Lauderは証券取引委員会に提出した報告書の中で、サイバー攻撃者が同社のシステムにアクセスしてデータを盗んだことを確認し、セキュリティ専門家と法執行機関による調査に協力していると記している（注3）。

　Estee Lauderは同報告書で「このインシデントが継続している間、私たちは影響を受けたシステムやサービスの復旧に注力している。このインシデントによって、当社の事業活動の一部に混乱が生じ、今後も影響が続くと予想される」と述べている。

　カロウ氏によると、ALPHVはダークWebの投稿の中で「この目でどのようなデータを見たかについて、私たちはEstee Lauderのネットワークが暗号化されていなかったことを除いて、今のところ多くを言うつもりはない」と述べている。

　ALPHVは「Estee Lauderが要求に応じなければ、盗んだデータについてさらに情報を公開する」と脅迫した。

ランサムウェアグループClopにも侵入を許す

　ファイル転送サービス「MOVEit」に対する侵害を引き起こしたランサムウェアグループ「Clop」もまた、Estee Lauderに侵入したと主張し、2023年7月18日に同社をリークサイトに掲載した（注4）。ALPHVはClopとは無関係であるとしており、「その侵入は完全に別個の攻撃である」と述べている。

　カロウ氏は「私はこの2つの事件の関連性を示す証拠を持っていない。実際のところ、ALPHVがEstee Lauderを攻撃したという証拠も確認できていない。これは単に注目を集めるための行為かもしれない」と話す。

　「MOVEitの脆弱（ぜいじゃく）性を悪用してClopが大量の機密情報を手に入れたことによって、既に被害を受けている企業に対して別の脅威グループが攻撃を実行する恐れがある」（カロウ氏）

　利用可能な情報が多ければ多いほど、ビジネスメールを装った攻撃や他のなりすまし詐欺が容易になるとカロウ氏は指摘している。

（注1）UNITED STATES SECURITIES AND EXCHANGE COMMISSION（Estee Lauder Companies）
（注2）Brett Callow（X）
（注3）UNITED STATES SECURITIES AND EXCHANGE COMMISSION（Estee Lauder Companies）
（注4）MOVEit mass exploit timeline: How the file-transfer service attacks entangled victims（Cybersecurity Dive）

原文へのリンク