Trinity of Chaosは、Lapsus$、Scattered Spider、ShinyHuntersの各グループに関連しているとみられるランサムウェア集団で、TORネットワーク上にデータリークサイト(DLS)を立ち上げ、攻撃の影響を受けた39社を掲載しました。Resecurityが以前の脅威インテリジェンスレポートで詳述したとおり、同グループは活動の継続を目指しており、従来型のランサムウェアの手口へと移行しています。
実際、同グループは新たな攻撃を発表していないものの、過去に成功した攻撃に関するこれまで未公開だった情報を公開し、盗難データのサンプルを共有しました。以前のSalesforceインスタンスの悪用に続き、同グループは同社に対し、膨大な数のレコードを公開すると脅すメッセージを発表しました。同社はこれらの主張を軽視し、新たな攻撃や脆弱性は発生していないと述べました。一方で、過去の活動により顧客インスタンスが大規模に侵害された可能性を排除してはいません。
脅威アクターは、以前にSalesforceへ連絡を試みたものの、開示を防ぐための条件交渉ができなかったと述べました。他のランサムウェアグループの戦術(例:GDPR順守を確実にするためEU拠点の被害者を狙う)と同様に、同グループは規制当局へデータ侵害の証拠を報告すると脅し、その結果、同社に対して「刑事上の過失責任の追及」が行われ得ると主張しました。
洗練されたマーケティングメッセージの中で、「Scattered LAPSUS & Hunters」の3者は次のように述べました。「高価値の企業データ取得と戦略的侵害オペレーションを専門としています。当社の専門性は、自動車、金融、保険、テクノロジー、通信、ISP、その他世界中の多数の分野に及びます。私たちは、あなたが主導権を取り戻すのを支援します。」興味深いことに、同グループは少なくとも2019年には活動を開始していたとも言及しており、活動の高度な洗練度を示唆している可能性があります。
主な連絡先として、アクターは公式メールアドレスを提示しました。これは複数のダークウェブコミュニティやTelegramチャンネルで以前から言及されていたものです。被害者は、3者が本人確認を行い追加の指示を提供できるよう、公式の企業(業務)メールアドレスを用いて連絡することが推奨されています。
2025年10月3日は、多くのFortune 100企業にとって悪い日と見なされるかもしれません。被害者から訴訟を起こされたり、少なくともデータ漏えいの根本原因について調査を受けたりする可能性があるためです。最も可能性が高い根本原因がSalesloftのDrift AIチャット統合における脆弱性であるかどうかにかかわらず、影響を受けた顧客はそれを区別しない可能性があり、各管轄区域におけるプライバシー侵害への懸念を提起するかもしれません。本日、データリークサイト(DLS)に掲載された企業は以下のとおりです:
– Toyota Motor Corporation
– FedEx
– Disney/Hulu
– Republic Services
– UPS
– Aeromexico
– Home Depot
– Marriott
– Vietnam Airlines
– Walgreens
– Stellantis
– McDonald’s
– KFC
– ASICS
– GAP
– HMH (HMHCO.COM)
– Fujifilm
– Instructure.com – Canvas
– Albertsons
– Engie Resources
– Instacart
– Petco
– Kering (Gucci, Balenciaga, Brioni, Alexander McQueen)
– Puma
– Cartier
– Adidas
– TripleA (aaa.com)
– Qantas Airways
– CarMax
– Saks Fifth Avenue
– 1-800 Accountant
– Air France & KLM
– Google Adsense
– CISCO
– Pandora.net
– TransUnion
– Chanel
– IKEA
これらの企業の大半について、さらなるデータ公開を防ぐための交渉期限として10月10日が設定されています。この活動における注目すべき更新点は、盗難データのサンプルが公開されたことであり、過去のインシデントの実態解明につながる可能性があります。
データリークサイト(DLS)の掲載には、直近の被害者への言及が含まれており、その中には自動車大手Stellantisも含まれます。同社は数週間前(2025年9月21日)に北米の顧客に影響するデータ侵害を公表しました。このインシデントは、英国の高級車メーカーJaguar Land Roverへの攻撃に続くもので、同社の小売および生産活動に深刻な混乱をもたらしました。
注目すべき点として、漏えいデータのサンプルの大半にはパスワードが含まれていない一方で、大量のPII(個人識別情報)が含まれており、盗まれたレコードが、ビッシング攻撃およびSalesloftのDrift AIチャット統合に用いられる盗難OAuthトークンを通じて、影響を受けたSalesforceインスタンスから流出した可能性が高いことを裏付けるかもしれません。これを受け、FBIは最近、組織が攻撃者のSalesforce環境への侵入を判断するために監視すべき技術的指標をまとめた緊急警告(フラッシュ警告)を発出しました。
アクターは、過去の注目すべき攻撃の一部についても、新たなデータサンプルとともに開示しました。例えば、Vietnam Airlinesに対する攻撃は、2023年11月7日頃に公表されました。当時の調査では、攻撃者が約3年間にわたりVietnam Airlinesのインフラ内に「潜伏」していたことが確認されました。この期間中、公開情報では詳細が明らかにされていない別名「1973cn」として活動していた同グループが、ノイバイ空港およびタンソンニャット空港での攻撃にも関与していた可能性があります。
各グループまたはそのメンバー同士がつながっているかどうかはまだ明確ではありませんが、「Scattered LAPSUS$ Hunters」のケースでは、盗難データの決定的な証拠が共有されています。興味深いことに、この発表に先立ち、同グループはベトナム国家信用情報センター(CIC)から1億6,000万件超のレコードを流出させたと主張していました。Resecurityは別の脅威インテリジェンスレポートで、そのインシデントに関する追加の詳細を提供しています。
サイバー犯罪者は、Air FranceおよびKLMを含む航空会社に関する成功したデータ侵害の証拠を共有しました。これらのインシデントにおけるPIIデータの漏えいは、特に欧州連合内では深刻な被害となり得ます。GDPRなどのデータ保護規制は、個人情報を伴う侵害に対して厳しい制裁を課すためです。
盗難レコードはResecurityによって検証されており、機微な乗客情報、内部コミュニケーション、ロイヤルティポイントへの言及、活動履歴の記録が含まれています。
同グループが世界中の主要航空会社を標的にし、最大級のブランドの一部の侵害に成功していたことは注目に値します。3者が最初期に攻撃した航空会社の一つがカンタス(オーストラリア)であり、アクターは証拠として相当数のレコードも共有しました:
Resecurityは、同航空会社が最初に恐喝を受け、メールで警告を受領した際に、同様のデータレコードを確認しました。その後、同社の経営陣は顧客データ保護の不備(過失)により罰金を科されましたが、盗難データの問題は解決しておらず、サイバー犯罪者はダークウェブ上でそれを引き続き悪用・収益化しています。
また、3者が中南米有数の航空会社であるAeroméxicoへの攻撃に自らの活動を帰属させたのは、今回が初めてです。
2025年7月4日付の侵害は、観測されたレコードに基づけばSalesforceの悪用に関連している可能性が高いとみられます。アクターは、PIIを含む3,900万件超のレコードを流出させたと主張し、相当量のサンプルを共有しました:
真に新しい点は、CiscoやGoogleといったテクノロジー大手に関連するデータの公開です。侵害の全容は依然として不明ですが、アクターは影響を受けた可能性のある顧客に言及する複数のレコードを共有しています。特に、侵害の可能性がある日付として2025年6月30日および2025年7月23日を示しています。組織全体が影響を受けている可能性は低く、むしろ、同じ脅威アクターが実行した他のインシデントと同様に、Salesforceのような特定のサービスまたは顧客別プラットフォームが侵害に関与している可能性が高いでしょう。
2025年6月4日、Googleは、同社の企業向けSalesforceインスタンスの一つがUNC6040に帰属される活動の影響を受けたことを公表しました。Googleはインシデントに対応し、影響分析を実施し、緩和策を開始しました。当時、同社はどの製品またはサービスが影響を受け得るかを具体的には明らかにしませんでした。しかし、アクターによるDLS上の最新の公開内容に基づけば、この問題はGoogle AdWordsおよびそのエンドユーザーに関連している可能性があります。
観測されたデータセットでは、同グループは複数の潜在的顧客に関する情報に加え、Google AdWords、デジタルメディアプランナー、世界各地の広告パートナーに関連するさまざまなレコードを漏えいさせています。
Resecurityは、データセット内に多数のデジタルメディアパートナーおよびサードパーティ広告代理店を特定しており、デジタルマーケティングキャンペーンの運用に広く用いられるプラットフォームであるGoogle AdWordsとの関連の可能性を裏付けるかもしれません。
Ciscoのケースでは状況はより明確に見えます。盗難レコードは明らかにSalesforce由来であり、顧客および従業員への言及が含まれています。
この種の情報は、顧客とベンダーの関係に関する洞察がソーシャルエンジニアリングや高度なフィッシングキャンペーンに効果的に悪用され得るため、新たな攻撃を計画する他の悪意あるアクターにとって価値がある可能性があります。
このデータセットには、法執行機関、軍、および連邦機関の職員に関連する複数のレコードも含まれており、FBI、DHS、DISA、IRS、NASAの職員を含め、Cisco製品の調達または構成に関与している可能性があります。米国拠点の機関に加え、このデータセットにはオーストラリア国防省、インドの複数の政府機関、その他の海外の公共部門組織に関連するレコードも含まれています。興味深いことに、データリークサイト(DLS)の立ち上げは、法執行機関を含む連邦機関に影響を与えた米国政府閉鎖の期間と重なっています。業界の専門家は、このタイミングが、サイバー犯罪関連を含む国家安全保障上の脅威に対して効果的に業務を行い対応する能力に影響を及ぼす可能性があるとして懸念を表明しています。
複数回のBANの後、同グループはTelegramチャンネルも再開し、「SLSH 6.0 Part 3」と名付けました。同グループは、未払いの場合に10月10日以降にデータリークサイト(DLS)を更新したと主張しています。彼らによれば、新しいDLSには15億件超のレコードが含まれ、統計は次のとおりです:
– “total_records”: 1,563,633,235
– “company”: 760
– “object_counts”:
– “Account”: 254,127,054
– “Contact”: 579,042,146
– “Opportunity”: 171,625,743
– “User”: 59,900,417
– “Case”: 458,044,533
悪名高いランサムウェア集団は、被害者がUNC6395(Salesforce / Salesloft Driftアプリの悪用に関連)およびUNC6040を含む過去のキャンペーンに由来すると示しました。また、協力が得られる場合には被害者を「再ランサム(再度身代金要求)」しないと約束しました。
盗難データが漏えいした場合、何が予想されるでしょうか。サイバー犯罪者は、悪用的な人工知能(AI)アプリケーションを含め、大規模に悪意ある目的でそれを利用する可能性があります。影響を受けた被害者とその業界に関する文脈を得ることで、脅威アクターはデータマイニングを行って有用な洞察を抽出し、被害者のデータセットを他の入手可能な情報と相関させることができます。これにより、巧妙なソーシャルエンジニアリング手口、高度なフィッシングキャンペーン、なりすまし(ID)盗用につながる可能性があり、特に大企業や政府部門が標的となり得ます。
ResecurityのHUNTERチームは、新しいデータリークサイト(DLS)に対するDDoS攻撃の可能性も観測しており、影響を受けた当事者が漏えいデータの公開を阻止しようとしていることを示唆している可能性があります。
