イスラエルのサイバーセキュリティ企業Hudson Rockが姉妹サイトInfostealers.com向けに実施した最新調査により、単独のハッカーがPickett、積水ハウス、IFLUSAC、イベリア航空、K3G Solutions、CRRC MA、GreenBills、CiberCなど、世界中の大手企業約50社の機密ファイルに侵入していたことが明らかになりました。
研究者は、オンライン上でZestixおよびSentapという名で活動するイラン国籍とみられる攻撃者を特定しました。この人物は現在、盗み出した膨大な企業データをダークウェブのフォーラムで最高額入札者に向けて競売にかけています。
こうした大規模組織は侵入が難しいと考えがちですが、今回のハッカーにとってはそれほど難しい作業ではありませんでした。研究者によれば、ハッカーは基本的な認証対策が導入されていないアカウントに、盗まれたパスワードでログインしただけでした。
「インフォスティーラー」が扉を開いた仕組み
ハッカーは企業を直接ハッキングしたわけではありません。代わりにインフォスティーラー、具体的にはRedLine、Lumma、Vidarを使用しました。これらのウイルスは、被害者が偽ファイルやクラック版ゲームをダウンロードした後などに通常はこっそりとPCに侵入し、Webブラウザに保存されたあらゆるパスワードを静かに盗み出します。
Zestixはこれらのパスワードを入手すると、それを使ってShareFile、Nextcloud、OwnCloudといった企業のファイル共有サイトにログインしただけでした。これが成立した唯一の理由は、これら50社が多要素認証(MFA)を有効化していなかったことです。
MFAとは、パスワードを入力した後にサイトがスマホのコード入力を求める、あの追加ステップのことです。その第2段階が不要だったため、盗まれたパスワードだけでハッカーは簡単に侵入できました。
影響を受けたのは誰か?
盗まれたデータには、個人の医療ファイルから軍事設計図まであらゆるものが含まれていました。例えばイベリア航空では、航空機の安全マニュアルを含む77GBのデータが持ち出されました。Pickett & Associatesという米国企業は139GBのデータを失い、その中には送電線やユーティリティ施設の詳細な地図が含まれていました。
なお、2025年11月にはイベリア航空が別のデータ侵害にも巻き込まれており、その際はEverestランサムウェアが盗み出し、その後、航空会社の内部データおよび顧客データ596GBを漏えいさせました。
同社の報告書によれば、攻撃の影響範囲はまさに世界規模でした。トルコではIntecro Roboticsの軍用ドローンや戦闘機の設計が販売に出されました。ブラジルではMaida Healthが軍警察に属する医療記録2.3TBを失いました。公共交通機関も例外ではなく、LA Metroで使用される列車のブレーキや信号に関する内部計画が、CRRC MAという企業を通じて露出しました。
基本的なセキュリティの教訓
これらの攻撃で使われた盗難パスワードの中には、何年も前のものもありました。企業側がパスワード変更を強制するか、あるいはログイン時に電話のコード入力を必須にしていれば、この一連の災害は丸ごと回避できたはずです。
Hudson Rockは、Samsung、Walmart、Deloitteといった他の巨大企業の従業員の認証情報も、これらのハッカーログ内に出回っていると警告しており、同様にリスクにさらされる可能性があります。これは私たち全員への注意喚起です。もはやパスワードだけでは、情報を安全に守るのに十分ではありません。
翻訳元: https://hackread.com/lone-hacker-infostealers-global-companies-data/
