英国を拠点とする通信会社Colt Technology Servicesは、サイバー攻撃に見舞われ、同社の一部業務(ホスティングやポーティングサービス、Colt Online、Voice APIプラットフォームなど)で数日にわたる障害が発生しています。
英国の通信・ネットワークサービスプロバイダーである同社は、攻撃が8月12日に始まり、ITスタッフが影響の緩和に24時間体制で取り組んでいるものの、障害が続いていることを公表しました。
1992年にCity of London Telecommunications(COLT)として設立され、2015年にFidelity Investmentsに買収されたColtは、ヨーロッパ、アジア、北米の30カ国で事業を展開する大手通信サービスプロバイダーです。同社は、900のデータセンターを結ぶ75,000kmの光ファイバーネットワークを運用しています。
依然としてオフラインのサービス
当初、同社は「技術的な問題」とだけ発表し、サイバーインシデントであることは認めませんでした。しかし、その後のステータス更新で事態の性質が明らかにされました。
この攻撃により、同社は特定のシステムを保護のためにオフラインにせざるを得なくなり、Colt OnlineやVoice APIプラットフォームを含むサポートサービスの運用に影響が出ました。
現在、オンラインポータルを通じた顧客対応は利用できず、顧客にはメールや電話でColtに連絡するよう案内されており、通常よりも対応が遅れる可能性があるとしています。
同社は、影響を受けているシステムはサポートサービスであり、コアとなる顧客ネットワークインフラではないことを強調しています。
本日時点で、影響を受けたシステムや業務の復旧見込みは発表されていません。
Coltは、事件について当局に通知したとしていますが、攻撃者や攻撃の種類についての詳細は明らかにしていません。
WarLockが犯行声明
‘cnkjasdfgd’という別名を使い、WarLockランサムウェアグループのメンバーを名乗る脅威アクターが、この攻撃の犯行を主張し、Coltから盗んだとされる100万件の文書のバッチを20万ドルで販売すると申し出ています。
ファイルの正当性を証明するため、いくつかのデータサンプルも公開されています。脅威アクターによれば、盗まれたファイルには財務情報、従業員・顧客・経営陣のデータ、社内メール、ソフトウェア開発情報などが含まれているとのことです。
出典: KELA
通信会社は侵害の原因を公表していませんが、セキュリティ研究者のKevin Beaumont氏によると、ハッカーはMicrosoft SharePointのリモートコード実行脆弱性(CVE-2025-53770)を悪用して初期アクセスを得た可能性が高いとしています。
このセキュリティ問題は少なくとも7月18日以降、ゼロデイとして悪用されており、重大な脆弱性とされています。Microsoftは7月21日のセキュリティアップデートで対応しました。
Beaumont氏によれば、ハッカーは顧客データやドキュメントを含む数百ギガバイトのファイルを盗み出したとのことです。
BleepingComputerはColtにこれらの主張について確認を求めていますが、現時点でコメントは得られていません。
