米国の通信大手Charter Communicationsは、ShinyHuntersによる恐喝グループから身代金を支払わなければ盗んだデータを公開すると脅迫を受けた後、データ侵害の被害を受けたことを認めた。
Charter Communicationsは米国最大のブロードバンドプロバイダーの一つであり、Spectrumブランドを通じて数千万の個人および法人顧客にサービスを提供している。
同社は今週末に発表した声明の中で、当局に事件を報告しており、顧客の機密個人情報は盗まれていないと述べた。
The video player is currently playing an ad. You can skip the ad in 5 sec with a mouse or keyboard
「私たちは状況を把握しており、セキュリティプロトコルに従って対応し、関係当局への通報手続きを進めています」とCharterはBleepingComputerに伝えた。
「脅威アクターによる今回の活動の結果として、機密性の高い個人情報(PI)や顧客独自のネットワーク情報(CPNI)データは流出していません。」
ShinyHuntersによるCharterへの恐喝
この声明は、ShinyHuntersのデータ流出サイトにCharterが掲載されたことを受けたものであり、攻撃者は個人および法人顧客の個人情報を含む4,000万件のレコードを盗んだと主張している。
ShinyHuntersはBleepingComputerに対し、4月1日に音声フィッシング(ビッシング)攻撃によって従業員のMicrosoft Entraアカウントを侵害し、Charterへの不正アクセスに成功したと主張した。
脅威アクターはこのアクセスを利用して、同社のSalesforceインスタンスから数百万件の個人および法人顧客のレコードをエクスポートした。
脅威アクターによると、盗まれたレコードには顧客の氏名、メールアドレス、住所、電話番号、電話の種類、プラン情報、および一部のCPNIデータが含まれているという。また、顧客サポートチケットのデータも盗んだと主張している。
BleepingComputerは、一部のCPNIを含む追加の顧客データが盗まれたという脅威アクターの主張についてCharterに改めて問い合わせたが、同社の最初の声明への回答に留まった。
昨年以降、この恐喝グループは従業員やBPOエージェントのMicrosoft Entra、Okta、Google SSOアカウントを標的とした広範なソーシャルエンジニアリングキャンペーンを展開している。
企業のSSOアカウントへのアクセスを獲得した後、脅威アクターはSalesforce、Microsoft 365、Google Workspace、SAP、Slack、Adobe、Atlassian、Zendesk、Dropboxなど、連携するSaaSアプリケーションからデータを窃取する。
盗んだデータは、身代金を支払わなければ公開すると脅迫することで企業を恐喝するために利用される。
Salesforceはこの恐喝グループの格好の標的となっており、脅威アクターはSalesforceインスタンスへのアクセスに使用できるOAuthトークンを盗むために複数の連携企業を次々と侵害している。
最近では、ShinyHuntersが教育技術企業Instructureに対して複数回にわたる攻撃を実施し、Canvasのサービス障害や数千万人の学生データの窃取を引き起こした。
Instructureは最終的に恐喝グループと「合意」に達したと述べており、盗まれたデータの公開を防ぐために身代金を支払った可能性が高い。
検証のギャップ:自動ペネトレーションテストが答えるのは一つの問いだけ。あなたには六つが必要だ。
自動ペネトレーションテストツールは真の価値を提供するが、それらは一つの問いに答えるために設計されている:攻撃者はネットワークを横断できるか?コントロールが脅威をブロックするか、検知ルールが機能するか、クラウド設定が維持されるかをテストするために設計されたものではない。
このガイドでは、実際に検証が必要な6つのサーフェスについて解説する。
