【RansomHub、韓国「高麗製鋼」のデータを公開】サイバー脅威と政策に関する重要ニュース

こんにちは。S2W NOTE編集です。
今回の記事では、グローバルニュースを元にサイバー脅威や関連政策に関して重要なニュースを抜粋してお届けします。

以下、2024年12月 10日『保安ニュース』の記事を翻訳・編集した内容になります。

https://www.boannews.com/media/view.asp?idx=135017&kind=

RansomHub、韓国「高麗製鋼」のデータを公開
セキュリティ専門家、「高麗製鋼、米現地工場のデータ流出事故との関連性も」
公開したサンプルデータ、財務・会計・保険関連の情報…1日6時間54分15秒以降の公開を脅迫

韓国の高炭素鋼線材メーカー高麗製鋼の内部情報と見られるデータサンプルが悪名高いランサムウェアグループ「RansomHub」のデータ流出サイトに投稿され被害が懸念されています。

12月3日12時55分頃、有名ランサムウェアグループ「RansomHub」は、高麗製鋼のサンプルデータを自身のサイトに公開しました。公開したサンプルデータは、財務、会計、保険に関する情報で高麗製鋼の内部データと見られます。
該当ページの訪問者数は1,841人と表記されており、データサイズは58GBと記録されています。これは、ハッカーが保有する高麗製鋼の全データを意味するものと思われます。

また、「1D 6h 54m 15s」と表記されており、残り1日6時間54分15秒という期限を意味するものと見られ、期限以降に保有した全体データを公開するという脅迫であると思われます。

匿名での発言を希望したセキュリティ専門家は「今回のデータ公開はサウスカロライナ州に位置する高麗製鋼の米現地工場で発生したとされる流出事故との関連性が疑われる」とし「最近、海外支社や法人でのセキュリティ事故が増加しており、韓国本社と海外法人または現地工場のセキュリティ適用水準が異なることから統合管理不足に起因する問題」と指摘しました。

Linearityのハン・スンヨン代表は「高麗製鋼と関連して投稿されたフォルダリストを確認した結果、設計図のような技術情報よりは財務、会計など管理部署の情報が多数を占めるものと見られる。ファイル名など掲載された情報を元に流出の原因となったサーバーを特定して脆弱性を除去する一方、残っている可能性のあるバックドアやLateral Movementなどの追加攻撃について監視する必要がある」と措置事項を要請しました。

また、グローバルセキュリティ企業サイバーリーズンの侵害対応アナリストは「最近、RansomHubに代表されるランサムウェアサービス（RaaS）グループは多様な攻撃技術をパッケージ化してターゲット企業の情報を体系的に窃取している。特に該当グループは窃取したデータをすぐに公開せず、特定の状況と動向に合わせて脅迫メッセージとともにダークウェブに徐々に公開する戦略を駆使する」と述べています。

なお、同アナリストは、データが窃取された時点を把握する方法は、攻撃者がデータをダークウェブにアップした後、公開されたファイルリストの修正時間を通じて実際に窃取された時点を推測できると説明しました。
ランサムウェアグループのこのような攻撃方法は、単純なデータ窃取を超えて企業の評判と運営に深刻な脅威を加える持続的で計画されたAPT攻撃の一種だというのがアナリストの説明です。

更に「韓国企業の多くがこのようなランサムウェアグループの攻撃によって深刻な被害を受けている。組織内で悪意のある行為が常に存在する可能性があるという前提に基づいてゼロトラストの観点からのセキュリティへのアプローチが必須」で、EDR、NDR、APT対応ソリューションの導入を通じて、事前に脅威を検出して遮断する必要があると強調しました。

一方、「RansomHub」のサイトは12月6日にアクセスが麻痺しました。
現在は、正常にアクセスできますが、断続的にアクセスが切断されては再接続されることが確認されています。