デルのデモンストレーションプラットフォームがWorld Leaks恐喝グループに侵害される

デル・テクノロジーズは今月初め、サイバー犯罪者が同社のカスタマーソリューションセンター・プラットフォームに侵入したことを確認しました。この攻撃は、実際の価値に関係なく、恐喝グループがアクセス可能な企業データを標的にするという進化する脅威の状況を浮き彫りにしています。

この攻撃は、Hunters Internationalランサムウェアオペレーションから派生した新たにリブランディングされた恐喝グループであるWorld Leaksによって実行されました。脅威アクターは、主に製品デモ用の合成データしか含まれていない環境にもかかわらず、デルに対して身代金の支払いを強要しようとしていますと、Bleeping Computerが報じています。

「最近、脅威アクターが当社のソリューションセンターにアクセスしましたが、ここはデルの商用顧客向けに製品をデモンストレーションし、概念実証をテストするための環境です」とデルはBleepingComputerに語りました。「この環境は、顧客やパートナーのシステム、デルのネットワークとは意図的に分離されており、デルの顧客へのサービス提供には使用されていません。」

合成データ環境も恐喝の標的となる

セキュリティ専門家は、今回のデルの事件は、サイバー犯罪者がデータの機密性に関係なくデモ環境を標的にし、組織が評判の損失を避けるために支払いに応じると見込んでいるという憂慮すべき傾向を反映していると述べています。

「World Leaksは恐喝を専門とするランサムウェアグループで、被害組織のメンバーに対し、機密情報の公開を避けるために身代金の支払いを迫ります」と、AttackIQのアドバーサリーリサーチチームのエンジニアリングマネージャー、アンドリュー・コスティス氏は述べています。「このため、組織は情報を守るか、攻撃者に支払ってさらなる搾取のリスクを負うかという選択を迫られるため、特に危険です。」

この侵害は、営業目的でのアクセス性と十分なセキュリティ管理のバランスを取らなければならないデモ環境の保護における、より広範な企業の課題を浮き彫りにしています。デルのカスタマーソリューションセンターは、同社が商用顧客向けに製品を紹介し、概念実証テストを行うための管理された環境であり、ユーザーに対して個人データをアップロードしないよう複数の警告が出されています。

セキュリティ専門家は、AIがより高度な合成データセットの生成により、これらの課題の解決に役立つ可能性があると示唆しています。

「AIは、企業が実際の顧客データやその他の機密データをさらすことなく、ダミーデータでテストや展開を行う際に役立つでしょう」と、Techarcの共同創設者兼リードアナリストのファイサル・カウーサ氏は述べています。「実際、ベンダーはAIを使ってダミーデータを生成できる機能を自社のソリューションに組み込むべきです。これにより、クライアントのプライバシーや機密性を損なうことなく対応できます。」

影響は限定的だが戦略的な示唆

デルは、侵害されたプラットフォームが顧客向けネットワークや社内の本番システムとはアーキテクチャ的に分離されていることを強調しました。「ソリューションセンターで使用されるデータは主に合成（偽）データであり、製品デモンストレーション専用の公開データセットやデルのスクリプト、システムデータ、非機密情報、テスト出力です」と、同社の声明を引用してレポートは付け加えています。

盗まれたデータには、攻撃者にとって価値があるように見えるサンプルの医療情報や金融情報が含まれているものの、「これらの情報はすべてデモ用に完全に作成されたものであり、実際に侵害された正当なデータは古い連絡先リストのみのようです」とレポートは述べています。

技術的な解決策を超えて、アナリストは企業がベンダーとの関係において新たなリスク管理アプローチを必要とする可能性があると示唆しています。

「契約書に厳しい条項や罰金を盛り込んだとしても、問題は補償にはなっても、いかなる種類のデータ侵害も元に戻すことはできません」とカウーサ氏は指摘します。「もう一つの選択肢としては、データ保険の概念を導入することで、第三者である保険会社が独自のデューデリジェンスを行い、中立的なレイヤーを加えることが考えられます。」

デルはコメントの要請にすぐには応じませんでした。

ランサムウェアから純粋な恐喝への進化

World Leaksは、ランサムウェアエコシステムにおける大きな変化を象徴しており、ファイルの暗号化から純粋なデータ恐喝へと移行しています。このグループは2023年末に立ち上げられたHunters Internationalのリブランディングであり、2025年1月にリブランドするまでに世界中で280件以上の攻撃を主張していました。

脅威アクターは現在、カスタムメイドの情報流出ツールを使ってデータの窃取に専念しており、ランサムウェア展開に伴う法的・技術的な複雑さを回避しています。World Leaksとして活動を開始して以来、同グループはリークサイトで49の組織からデータを公開していますが、デルは被害者リストには含まれていません。

「このような状況で不意を突かれないようにするためには、組織はあらゆる種類の攻撃戦略に対応できる準備をしておく必要があります」とコスティス氏は助言します。「アドバーサリアルエミュレーションを活用することで、セキュリティチームは一般的なランサムウェアグループに関連する基本的な行動に対して防御をテストできます。これにより、攻撃者が狙う機密情報へのアクセスを遮断し、身代金を要求するグループからの交渉力を奪うことができます。」World Leaksの関係者は、最近のサポート終了済みSonicWall SMA 100デバイスを標的とした攻撃キャンペーンにも関与しており、攻撃者は高度なOVERSTEPルートキットを展開し、単なるデータ窃取を超えた攻撃能力の拡大を示しています。