ジャガー・ランドローバー(JLR)が2025年9月に大規模なサイバー攻撃を受けた際、同社のサイバーセキュリティ責任者がまず着手したことのひとつが、3万人以上の従業員をオンサイトに召集し、パスワードをリセットさせることでした。
6月3日のInfosecurity Europeに登壇したZyn GlobalのCEOであり、サイバーインシデント当時JLRのグループCISOを務めていたAshish Shrestha氏は、侵害後のインシデント対応中に全従業員のアイデンティティの信頼性を確保することが不可欠であったため、この決断を下したと述べました。
「最優先事項は、コミュニケーション基盤として必要なMicrosoft 365が侵害されているかどうかを確認することでした」と同氏は、『危機コミュニケーション――今すぐ整備すべきコンティンジェンシープラン』と題したカンファレンスセッションで説明しました。
元JLRのサイバーリーダーは、ユーザーアカウント経由でMicrosoft 365環境が侵害された兆候が確認された場合、そのプラットフォームをコミュニケーションチャネルとして使用できなくなると指摘しました。
そのため、すべてのユーザーが確かに本人であることを確認し、オンラインコミュニケーションにおける信頼性を担保するため、JLRは全従業員にパスワードのリセットを義務付け、必ず対面で実施するよう求めました。
「最初に取り組んだことのひとつが、3万人を対象とした全社的なパスワードリセットです。そして、各自がオンサイトに来て実施するよう求めました」とShrestha氏は述べました。
サイバー攻撃後の信頼確立と本人確認
この判断の根拠として同氏が説明したのは、ユーザー名とパスワードが全体的に侵害されたという兆候はなかったものの、次の対応に進む前にすべてのユーザーの信頼性を確実に確認しておきたかったということです。
その確認手段として採用したのが、対面でのパスワード変更の義務付けでした。
リモートで実施した場合、攻撃者がアカウントを掌握していれば、侵害済みアカウントのパスワードを攻撃者自身が変更してしまう潜在的なリスクがありました。
「アイデンティティとアクセス管理は侵害されていませんでしたが、全社的なパスワードリセットを実施し、多要素認証(MFA)を含むすべてをリセットしました。人物の本人確認を行い、身体とIDを紐付けることで検証を完了しました」とShrestha氏は説明しました。
JLRはこのサイバー攻撃により甚大な被害を受け、生産・販売業務が数週間にわたって停止しました。その後の数か月で、この自動車メーカーの売上は急落しました。
JLRへのサイバー攻撃の影響は極めて深刻で、英国で史上最大のサイバー攻撃となりました。全体として、このサイバー攻撃は英国経済に19億ポンド(25億5,000万ドル)の損失をもたらし、サプライチェーン上の5,000以上の組織に影響を与えたと推定されています。
Scattered Spiderと関連するグループが今回の攻撃への関与を表明しました。このサイバー犯罪集団は2025年を通じて複数の注目すべきサイバー攻撃に関与しており、小売業者のMarks & SpencerおよびThe Co-opに対するランサムウェア攻撃もその一つです。
翻訳元: https://www.infosecurity-magazine.com/news/jlr-cyberattack-ciso-inperson/
