パナソニック コネクト傘下企業のランサム被害 新興グループが攻撃を主張：Cybersecurity Dive

パナソニック コネクトの傘下で、サプライチェーンマネジメント（SCM）ソフトウェア大手のBlue Yonderのランサムウェア被害について、新興のランサムウェアグループが攻撃を主張している。彼らが使ったと思わしき手法とは。

[David Jones，Cybersecurity Dive]

　2024年12月6日（現地時間、以下同）、サプライチェーンマネジメント（SCM）ソフトウェアを提供するBlue Yonderは、同年11月に発生した攻撃に関連して脅威グループの主張に対する調査を実施中だと認めた。

新興脅威グループ「Termite」が攻撃を主張　使われたと思わしき攻撃手法

　新たに現れた脅威グループ「Termite」は（注1）、2024年11月21日に発生した攻撃を「自分たちによるものだ」とし、Blue Yonderに関する680GBのデータを保有していると主張している。セキュリティ企業のArctic Wolfのセキュリティ研究者によると、この声明は、同年10月から運営を開始したばかりのリークサイトに投稿されたという。

　当初Blue Yonderは、この攻撃を別のランサムウェアによるものと説明していた（注2）。現在は外部の専門家と連携しながら、これに対応しているという。同社によると、この攻撃に関する調査は現在も進行中とのことだ。

　Termiteが過去に存在したグループから派生したものかどうかは不明だが、Broadcomの研究者によると、このグループはランサムウェア「Babuk」の改良版を使用しているようだ（注3）。

　リスク管理サービスを提供するKrollの研究者によると、Termiteは、二重脅迫の手法を使用しているという。被害者に対して、暗号化したデータを復元する対価として金銭を要求するだけでなく、データを暴露しない対価としても金銭を要求しているのだ。

　Krollのサイバーリスク部門に所属するロリー・イアコーノ氏（アソシエイト・マネージング・ディレクター）によると、Krollの研究者たちは、Termiteが悪質な広告ソフトウェアを利用した水飲み場型攻撃を使用していることを確認したという。

　イアコーノ氏は、電子メールで次のように述べた。

　「Krollが観察したケースでは、ユーザーは情報窃取型マルウェア『Red Line Stealer』に感染し、認証情報を盗まれた。ランサムウェアは『VMware ESXi』の環境内で展開された」

　これらの手法がBlue Yonderの攻撃に関連して使用されたかどうかは不明である。

　Blue Yonderは「運用の混乱によって影響を受けた顧客に通知し、復旧プロセスを通じて顧客と連携している」と述べた。2024年12月6日、英国に拠点を置くスーパーマーケットチェーンのMorrisonsは、Cybersecurity Diveに対し、通常の運用を再開し、内部のバックアップシステムが稼働中であると明らかにした。

　英国内に約500店舗を展開するMorrisonsは「この攻撃により、生鮮食品や青果物に関連する倉庫管理システムで障害が発生した」と述べた。

　この他、Starbucksも影響を受けた。従業員の勤務時間を管理するために使用していたBlue Yonderのプラットフォームで障害が発生したため、同社は、手動でのスケジュール管理に切り替えて対応した（注4）。

（注1）Morrisons recovers warehouse systems following attack on Blue Yonder（Cybersecurity Dive）
（注2）Ransomware hits supply chain software firm Blue Yonder ahead of Thanksgiving（Cybersecurity Dive）
（注3）Termite Ransomware（BROADCOM）
（注4）Morrisons recovers warehouse systems following attack on Blue Yonder（Cybersecurity Dive）

原文へのリンク