- LKQはOracle E‑Business Suiteの侵害の影響を受けたことを確認し、約9,000人分のSSNおよびEINが漏えいした
- 犯行はCl0pによるものとみられ、CVE‑2022‑21587の悪用でLKQのデータをテラバイト級に盗んだと主張
- この事件は、Envoy Air、ハーバード、The Washington Post、Cox、Logitechなどを含むEBS被害企業の増加リストに加わる
Oracle E-Business Suiteの脆弱性を通じて侵害された企業のリストは増え続けており、最新の攻撃確認組織は、米国のアフターマーケット向け自動車部品および再生純正部品企業のLKQだ。
同社は最近、メイン州司法長官事務所にデータ侵害の通知書を提出し、その中で、約9,000人分の機微なデータを失ったと述べた。これには、LKQの雇用者識別番号(EIN)や社会保障番号(SSN)が含まれる。
攻撃は2025年8月9日に発生したとみられ、10月3日にLKQが社内調査を開始したことで判明した。調査は12月1日に終了し、その後、影響を受けた個人および関係する政府機関に通知が行われた。
Cl0pがテラバイト級を窃取
「Oracle E-Business Suite環境以外で、LKQのシステムへの影響を示す証拠はありません」と同社は通知書で説明した。
その結果、LKQはネットワークのセキュリティを強化し、影響を受けた個人に対して、Cyberscoutを通じた無料のクレジット監視および身元回復サービスを2年間提供した。
同社は、脅威アクターが誰で、何を狙っていたのかについては詳細を明らかにしなかった。しかし一般的に、E‑Business Suiteへの攻撃の背後にいたのは、ロシア語話者のグループであるCl0pだと知られている。興味深いことに、Security Weekによれば、LKQはCl0pが自らのデータ漏えいサイトで、E‑Business Suiteを通じて侵害された企業として最初に掲載した企業だったが、同社がその主張を確認したのは今回が初めてだという。
Cl0pは、LKQのEBSインスタンスから複数テラバイトのファイルを持ち出し、サイバー犯罪コミュニティと共有したと述べた。
昨夏、このランサムウェアの攻撃者は、Oracle E‑Business Suiteの重大な脆弱性(最も一般的にはCVE‑2022‑21587に関連付けられる)を悪用し、認証なしのリモートコード実行を可能にした。これによりユーザーアカウントへのアクセスを得て、それを用いて機微なデータを持ち出した。これまでに、Envoy Air、ハーバード大学、The Washington Post、Cox Enterprises、Logitechなど、データ窃取の複数の確認事例がある。
