コープ、650万人の会員データがサイバー攻撃で盗まれたことを確認

英国の小売業者コープは、4月に発生した大規模なサイバー攻撃により、650万人の会員の個人データが盗まれ、システムが停止し、食料品店で食品不足が発生したことを確認しました。

コープ（Co-operative Groupの略）は、英国最大級の消費者協同組合であり、食品店、葬儀サービス、保険、法務サービスを運営しています。数百万人の会員が所有しており、サービスの割引や会社の運営に参加する権利を持っています。

コープのCEOであるシリーン・クーリー＝ハク氏は、本日BBCブレックファスト番組で謝罪し、攻撃者が650万人全員の会員データを盗んだことを認めました。

「彼ら（攻撃者）はデータをコピーし、他の組織をハッキングする時と同じように、そのデータにアクセスできました。それがこの件で最も恐ろしい部分です」とクーリー＝ハク氏は述べました。

この攻撃で金融情報や取引情報は漏洩しませんでしたが、会員の連絡先情報が盗まれました。

CEOは、この情報漏洩が自分自身への攻撃というよりも、影響を受けたコープの会員や従業員への個人的な攻撃のように感じたと語りました。

「これは私自身のことではありません。私の同僚たちのことです。私にとって個人的だったのは、彼らが傷ついたからです。会員が傷つきました。彼ら（攻撃者）は会員のデータを奪い、顧客を傷つけました。それは私にとって非常に個人的なことです」と、インタビューで説明しました。

サイバー攻撃は4月に発生し、コープは脅威者がさらに他の端末に拡散し、最終的にDragonForceランサムウェアの暗号化ツールを展開するのを防ぐため、複数のITシステムを停止しました。

当初はネットワークへの侵入未遂として軽視されていましたが、後に同社は、「重大な」量のデータが攻撃中にアクセスされ、盗まれたことを認めました。

当時、BleepingComputerが得た情報によると、侵害は4月22日に発生し、脅威者がソーシャルエンジニアリング攻撃を行い、従業員のパスワードをリセットできたことがきっかけでした。

ネットワークへのアクセスを得ると、攻撃者は他の端末にも拡散し、最終的にWindowsドメインのWindows NTDS.ditファイルを盗みました。このファイルはWindowsアカウントのパスワードハッシュを含むWindows Active Directory Servicesのデータベースです。

脅威者はこのファイルを盗み、オフラインでパスワードを抽出・解析することで、ネットワーク内の他の端末にもさらに拡散することがよくあります。

BleepingComputerは、この攻撃がScattered Spiderと関連する脅威者によるもので、Marks & Spencer（M&S）へのサイバー攻撃にも関連し、そこでDragonForceランサムウェアが展開されたと伝えられました。

BBCは、コープについてDragonForceランサムウェアの運営者に取材し、そのアフィリエイトの一つが攻撃の背後にいたことを確認しました。また、BBCにデータのサンプルを共有し、攻撃中にコープの企業データと顧客データが盗まれたと主張しました。

先週、英国国家犯罪対策庁（NCA）は、コープ、M&S、そしてハロッズへの攻撃に関与した疑いで、4人を逮捕しました。

逮捕されたのは、19歳の男性2人、17歳の男性1人、20歳の女性1人で、ロンドンとウエスト・ミッドランズで身柄を拘束されました。

報道によると、逮捕された容疑者の一人は、2023年に発生したMGMリゾーツへの攻撃にも関与しており、100台以上のVMware ESXi仮想マシンが暗号化されました。

MGMへの攻撃もScattered Spiderによるもので、当時はBlackCatランサムウェアの運営と協力していました。