Blue Yonderのランサムウェア被害 原因はファイル転送ソフトウェアの脆弱性か:Cybersecurity Dive
パナソニック コネクトの傘下で、サプライチェーンマネジメント(SCM)ソフトウェア大手のBlue Yonderが被害に遭ったランサムウェア攻撃は、Clopという脅威グループによるもので、ファイル転送ソフトウェアの脆弱性を悪用したものと判明した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
ランサムウェアグループ「Clop」は、これまでにハッキングした約60社の企業がBlue Yonder製品を使っていたと主張している。これを受けて、同社は「脅威の調査を進めている」と述べた。
セキュリティサービスを提供するZscalerおよびHuntressの研究者によると(注1)、これらの攻撃はファイル転送ソフトウェア「Cleo」の脆弱(ぜいじゃく)性を悪用して実行されたものだという。
ファイル転送ソフトウェアの脆弱性の悪用を“得意技”とするClop
パナソニック コネクトの傘下で、サプライチェーンマネジメント(SCM)ソフトウェア大手であるBlue Yonderの広報担当者は2025年1月17日(現地時間、以下同)、同社が特定のファイルの転送を管理するためにCleoを使用していたことを確認した。Cleoにゼロデイ脆弱性が見つかったため、同社は脅威を軽減する措置を直ちに講じたという。
Blue Yonderの広報担当者は「Cybersecurity Dive」に対して電子メールで次のように述べた。
「世界中の多くの『Cleo Harmony』の顧客と同様に、私たちは現在、この問題が当社のビジネスに与える潜在的な影響を調査している。追加の情報が得られ次第、顧客に更新情報を提供している」
Blue Yonderは2024年11月に世界中の多数の顧客に影響を及ぼしたランサムウェア攻撃を公表した(注2)。この攻撃は、Starbucksやイギリスの大手スーパーマーケットチェーンであるMorrisonsなどの企業に影響を与え、それぞれの企業における多様な物流業務を混乱させた。
Clopは、以前にファイル転送ソフトウェア「MOVEit Transfer」の脆弱性を大規模に悪用したことで知られており(注3)、2024年12月の投稿でCleoの脆弱性を悪用した旨を主張している。
今回の脅威は、Cleo製のファイル転送ソフトウェアCleo Harmonyや「Cleo VLTrader」「Cleo LexiCom」の脆弱性に関連している。Cleoは2024年10月、「CVE-2024-50623」としてリストに掲載された無制限のファイルアップロードおよびダウンロードに関する脆弱性について警告を発した(注4)。しかしHuntressの研究者は、欠陥に対するパッチが十分な保護を提供していないことを発見した。
「CVE-2024-55956」としてリストに掲載されている2つ目の脆弱性は(注5)、認証されていない攻撃者がホストシステムでbashやPowerShellに関する任意のコマンドをインポートして実行できるというものである。パッチが発行されてから数日後の2024年12月に、この脆弱性に共通脆弱性識別子が割り当てられた(注6)。
2024年12月にセキュリティ研究者たちは、パッチのリリースが遅れたとして同社を批判した(注7)。
Clopはこれらの企業から連絡がなければ、2025年1月13日の週の終わりにデータを流出させると脅迫している。
Zscalerの研究者によると、ファイル転送サービスの脆弱性の悪用はClopにとって非常になじみ深い領域だという。同社のディーペン・デサイ氏(最高情報責任者)は、電子メールで次のように述べた。
「Clopはファイル転送アプリケーションのゼロデイ脆弱性を悪用する手法を使用しており、その結果としてリモートコードの実行や、不正アクセスによる大量のデータ流出が発生している」
2024年12月にHuntressの研究者は「消費財業界およびトラック運送業界、食品業界、海運業界の企業が標的にされていることを確認した」と述べた。
サイバーセキュリティ事業を営むMandiantの研究者たちは、Cleoの脆弱性を悪用している攻撃者を「UNC5936」と特定した。このグループは、Clopという名称でも知られる「FIN11」と重なる部分があると指摘されている。悪用されたシステムには、「Beacon」や「Goldtomb」などの悪質なバックドアが展開されていた。
(注1)Zscaler ThreatLabz(X Publish)
(注2)Ransomware hits supply chain software firm Blue Yonder ahead of Thanksgiving(Cybersecurity Dive)
(注3)Clop claims hundreds of MOVEit vulnerability victims(Cybersecurity Dive)
(注4)CVE-2024-50623 Detail(NIST)
(注5)CVE-2024-55956 Detail(NIST)
(注6)Cleo releases CVE for actively exploited flaw in file-transfer software(Cybersecurity Dive)
(注7)Security community raises concern as Cleo file-transfer CVE delayed(Cybersecurity Dive)
関連記事
複数のトンネリングプロトコルに脆弱性 420万以上のホストに影響
複数のトンネリングプロトコルに新たな脆弱性が発覚した。日本を含めた全世界の420万台以上のVPNやルーターが攻撃のリスクにさらされる可能性があるという。
7-Zipに深刻な脆弱性 悪用でWindowsのセキュリティ機能「MoTW」を回避可能
7-Zipに深刻な脆弱性が見つかった。これを悪用すると、Windowsのセキュリティ機能「MoTW」(Mark-of-the-Web)を回避し、被害者のユーザーコンテキスト内で任意のコードを実行できるという。
5ページだけでも読んで 無料でセキュリティの要点を学べる資料を紹介
世間には多くの役に立つセキュリティのドキュメントが公開されていますが、これらを読了するのは正直に言って骨が折れます。今回は筆者オススメの資料の中から“5ページ”だけに絞って、その魅力を紹介しようと思います。
「なぜあの事件は起きた?」 半田病院へのサイバー攻撃を認知バイアス観点で読み解く
サイバー攻撃の中には単なる技術的な手法だけではなく、人間の意思決定に影響を及ぼす認知的な偏り「認知バイアス」を狙ったものも増えています。本稿は半田病院の事例を基に、認知バイアスの観点からサイバー攻撃に遭うワケを考えます。
© Industry Dive. All rights reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- CVSSは「10.0」 ReactとNext.jsにリモートコード実行の脆弱性
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 企業の半数以上がインシデントを経験 年末年始に潜むサプライチェーン攻撃の脅威
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- サイバー犯罪のハードルが激減? 無償で使える生成AI「KawaiiGPT」が登場
- AWS、UIを操作するAIエージェントを提供開始 安定動作や統合性をどう実現した?
- この先5年でインフラ運用担当者が知るべき技術は Gartnerが提言
- 日本企業のフィジカルAI実装は進むか ソフトバンクと安川電機が協業
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
ITmediaはアイティメディア株式会社の登録商標です。