ジョンソンコントロールズ、2023年の情報漏洩で影響を受けた人々への通知を開始

ビルオートメーションの大手企業であるジョンソンコントロールズは、2023年9月に世界中の同社の業務に影響を与えた大規模なランサムウェア攻撃でデータが盗まれた個人に対し、通知を開始しました。

ジョンソンコントロールズは、産業用制御システム、セキュリティ機器、空調（HVAC）システム、消防設備などを開発・製造する多国籍コングロマリットです。同社は、150カ国にわたる本社および子会社を通じて10万人以上を雇用しており、2024年には274億ドルの売上を報告しています。

BleepingComputerが最初に報じたように、ジョンソンコントロールズは2023年9月にランサムウェア攻撃を受けました。これは、2023年2月に同社のアジア拠点が侵害され、その後ネットワーク内で横移動が行われたことに続くものでした。

「当社の調査によると、2023年2月1日から2023年9月30日までの間に、許可されていない第三者が特定のジョンソンコントロールズのシステムにアクセスし、そこから情報を持ち出したことが判明しました」と、同社はカリフォルニア州司法長官に提出した情報漏洩通知書（攻撃で盗まれた情報の内容は黒塗り）で述べています。

「当該事案を認識した後、当社は不正アクセス者のシステムへのアクセスを遮断しました。さらに、第三者のサイバーセキュリティ専門家を起用し、調査と対応にあたりました。また、法執行機関に通報し、2023年9月27日、11月13日、12月14日に公的に事案を開示しました。」

このサイバー攻撃により、ジョンソンコントロールズは多くのITインフラを停止せざるを得なくなり、多数のデバイスが暗号化されたことで、世界中の業務や顧客向けシステムに影響が及びました。

ジョンソンコントロールズは2024年1月のSEC提出書類で、このサイバー攻撃がランサムウェア集団によって組織的に行われ、侵害されたシステムから文書も盗まれていたことを認めました。

同社はこの事件を特定のランサムウェアオペレーションに帰属させてはいませんが、攻撃時に展開されたVMware ESXi用暗号化ツールのサンプルから、ダークエンジェルズ（Dark Angels）ランサムウェアグループによるものと関連付けられています。このサンプルには、ジョンソンコントロールズを標的にした旨が記載されていました。

​BleepingComputerはまた、この身代金要求メモが交渉チャットへのリンクとなっており、ランサムウェア集団がジョンソンコントロールズのネットワークから盗んだデータの削除と復号ツールの提供のために5,100万ドルを要求していたことを伝えられました。

ランサムウェアの運用者は、攻撃中に同社のVMware ESXi仮想マシンも暗号化し、企業データを含む27TB以上の文書を盗んだと主張しています。

当時、同社はインシデント対応および復旧に関連する費用がすでに2,700万ドルに達していると述べていましたが、調査と復旧作業の進展に伴い、この額がさらに増加する見込みであることも指摘していました。

ダークエンジェルズは、ジョンソンコントロールズの2023年の情報漏洩の背後にいるランサムウェア集団で、2022年5月に世界中の組織を標的とした二重脅迫型攻撃を開始したことで表面化しました。この攻撃では、グループが機密データを盗み、それを人質に被害者に圧力をかけ、ダークウェブのリークサイト「Dunghill Leaks」で公開すると脅迫します。

彼らはまた、Windowsドメインコントローラーへのアクセスを得た後、ネットワーク上のすべてのデバイスを暗号化するために、漏洩したBabukランサムウェアのソースコードを基にしたWindowsおよびVMware ESXi用暗号化ツールを展開します。

しかし、サイバーセキュリティ研究者MalwareHunterTeamは、ジョンソンコントロールズの攻撃で使われたLinux用暗号化ツールは、2021年以降Ragnar Lockerランサムウェアで使われているものと同じであるとBleepingComputerに伝えました。