Go to Qiita Advent Calendar Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@spumoni(spumoni)

CrowdStrike、内部関係者がハッカーに情報提供していたと認める

Posted at

By Sergiu Gatlan, Bleeping Computer, 2025/11/21

アメリカのサイバーセキュリティ企業 CrowdStrike は、内部関係者が社内システムのスクリーンショットを外部のハッカーに提供していたことを確認した。これらの画像は、脅威グループ Scattered Lapsus$ Hunters によって Telegram 上に公開されていた。

ただし同社は、今回の件によって システムへの侵害は発生しておらず、顧客データも漏えいしていない と強調している。

CrowdStrike の広報担当者は BleepingComputer に対し次のように述べた。

「先月、社内調査の結果、コンピュータ画面の写真を外部に提供していた疑わしい内部関係者を特定し、解雇しました。当社のシステムが侵害された事実はなく、顧客は常に保護されていました。この件は関係当局へ引き渡しました。」

同社は、どの脅威グループが関わったか、また内部関係者の動機については明らかにしていない。

しかしこのコメントは、最近 Telegram 上に投稿された CrowdStrike のシステム画面のスクリーンショットについて BleepingComputer が質問した際に寄せられたものだ。投稿者は ShinyHunters、Scattered Spider、Lapsus$ といった複数の脅威グループのメンバーだった。

ShinyHunters は BleepingComputer に対し、内部者が彼らに CrowdStrike のネットワークへのアクセスを 25,000ドルで売ることに同意した と主張した。

脅威グループによれば、内部者から SSO 認証クッキー を受け取ったが、その時点ではすでに CrowdStrike が内部者を検出しており、ネットワークアクセスを遮断していたという。

さらに彼らは、ShinyHunters に関する CrowdStrike のレポート、Scattered Spider に関するレポートを購入しようとしたが、結局手に入らなかったとしている。

BleepingComputer はこの主張の真偽を確認するため、CrowdStrike に再度問い合わせている。

“Scattered Lapsus$ Hunters” とは何者か?

これら複数の脅威グループは、現在 Scattered Lapsus$ Hunters と名乗り、巨大な Salesforce 侵害事件で被害を受けた企業を恐喝するため、データ流出サイトを立ち上げている。

彼らは今年初めから Salesforce を利用する企業を対象に ボイスフィッシング(vishing、電話を使って個人情報を盗み取る詐欺)攻撃 を行っており、以下の大企業が侵害された。

  • Google
  • Cisco
  • Allianz Life
  • Farmers Insurance
  • Qantas
  • Adidas
  • Workday
  • LVMH 傘下(Dior、Louis Vuitton、Tiffany & Co. など)

恐喝を試みた企業のリストはさらに広く、Google、Cisco、Toyota、Instacart、Cartier、Adidas、Saks Fifth Avenue、Air France & KLM、FedEx、Disney/Hulu、Home Depot、Marriott、Gap、McDonald's、Walgreens、TransUnion、HBO Max、UPS、Chanel、IKEAなど、有名ブランドがずらりと並ぶ。

彼らは Jaguar Land Rover(JLR)侵害 も自分たちの仕業と主張しており、機密データを盗み、オペレーションを混乱させた結果、前四半期だけで 1億9600万ポンド(約2億2000万ドル)以上の損害 を与えたとされる。

今週、BleepingComputer が報じたところによると、ShinyHunters と Scattered Spider は新しい ランサムウェア・アズ・ア・サービス(RaaS)『ShinySp1d3r』 に移行している。

以前は ALPHV/BlackCat、RansomHub、Qilin、DragonForce など他のランサムウェアの暗号化ツールを利用していたが、新しい独自プラットフォームへ切り替えた形だ。

木曜日、ShinyHunters は Salesforce インスタンスを対象とした 新たなデータ窃取攻撃 を行ったと主張した。Telegram 上では、被害企業として次のような大手企業名が挙げられている。

  • LinkedIn
  • GitLab
  • Atlassian
  • Thomson Reuters
  • Verizon
  • F5
  • SonicWall
  • DocuSign
  • Malwarebytes

彼らは BleepingComputer に対し、これらの Salesforce インスタンスは Salesloft の drift breach(情報流出)で盗まれたシークレットを利用し、Gainsight を侵害した後に突破した と説明している。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?