ブロードバンド事業者のBrightspeedは、恐喝グループが同社のシステムに侵入したと公に主張したことを受け、攻撃者が機微な顧客データを盗み出したとの申し立てについて調査している。
この事案が確認されれば、100万人を超える加入者に影響し、極めて機微な個人情報およびアカウント情報が露出する可能性がある。
「当社はネットワークのセキュリティと、お客様および従業員の情報の保護を重く受け止めており、ネットワークの保護と脅威の監視を厳格に行っています」と、BrightspeedはBleepingComputerへの声明で述べた。
同社はさらに、「現在、サイバーセキュリティ事案に関する報告を調査しています」と付け加えた。
Brightspeed、恐喝とデータ窃取の主張に直面
Brightspeedは米国20州の農村部および郊外コミュニティで光ファイバーのブロードバンドネットワークを運営しており、消費者の接続性とデータ管理の観点で重要な立場にある。
今回の調査は、Crimson Collectiveと呼ばれる恐喝グループが、Telegramへの投稿でBrightspeedの顧客100万人超のデータを盗んだと主張したことを受けたものだ。
攻撃者によれば、データセットには顧客およびアカウントの詳細、住所、メールアドレス、電話番号、セッションIDおよびユーザーID、支払い履歴、限定的な決済カード情報、ならびに予約またはサービス注文の記録が含まれるという。
Brightspeedは主張の真偽を確認していないものの、Crimson Collectiveの手口は、データ窃取を軸にした恐喝というより広範なパターンと一致している。
同グループはランサムウェアを展開するのではなく、大規模なデータセットを盗み、公開すると脅して被害者に支払いを迫ることに注力している。
BleepingComputerが共有したTelegram声明で、Crimson Collectiveは、企業が応答しなければデータサンプルを公開すると警告し、交渉を加速させようとした。
「当方の手元には100万件超の一般住宅ユーザーのPIIがあります」と同グループは書き、公的な露出をてこにする意図を示した。執筆時点で、盗まれたデータについて独立した検証は公表されていない。
Crimson Collectiveの拡大する攻撃履歴
Crimson Collectiveは2025年10月にRed HatのGitLabインスタンスの1つに侵入し、約28,000の社内開発リポジトリからおよそ570GBのデータを持ち出した。
この事案は主にRed Hatのコンサルティング部門に影響し、複雑なエンタープライズ環境を標的にできる同グループの能力を示した。
その侵害の後、Crimson CollectiveはScattered Lapsus$ Huntersの集団と提携し、恐喝活動を支援するためにShinyHuntersのリークサイトを利用した。
影響は下流の組織にも及んだ。
2025年12月、日産は、侵害されたRed Hatのリポジトリの結果として、約21,000人の日本の顧客に関する個人データが露出したことを確認した。
セキュリティ研究者はまた、Crimson CollectiveをAmazon Web Services(AWS)環境への攻撃とも関連付けている。
これらの作戦では、露出した認証情報の悪用、不正なIDおよびアクセス管理(IAM)アカウントの作成、権限昇格を通じて大規模にデータを窃取することが含まれると報告されている。
データ中心の恐喝への防御
Crimson CollectiveのようなグループがID、クラウド基盤、機微データをますます標的にする中、セキュリティチームは予防、可視性、対応準備を優先すべきだ。
アクセス制御、継続的な監視、検証済みのインシデント対応プロセスを組み合わせた多層的アプローチは、侵害の全体的な影響を抑えるのに役立つ。
- 強固なIDおよびアクセス制御を徹底するために、機微な顧客データへのアクセスを制限し、認証情報を定期的にローテーションし、オンプレミスおよびクラウド環境全体で最小権限の原則を適用する。
- ネットワーク、クラウド基盤、データストアを継続的に監視することで、異常なアクセスパターン、露出した認証情報、大量または不審なデータ持ち出しの試行を検知する。
- IAM構成を強化し、不正アカウント作成を検知し、クラウドの誤設定を継続的に評価することで、クラウドのセキュリティ態勢を強化する。
- データ損失防止(DLP)と送信(エグレス)制御を実装し、顧客データベースやクラウドストレージからの大規模なデータ窃取リスクを低減する。
- 集中管理された改ざん不能なログにより、ログ取得とフォレンジック準備を強化し、恐喝またはデータ窃取の主張の迅速な調査と検証を支援する。
- インシデント対応計画を更新しテストすることで、データ公開、コミュニケーション、規制当局対応に焦点を当てた机上演習を含め、恐喝主導の侵害に備える。
これらの対策は、組織が恐喝主導の攻撃に対する露出を減らすと同時に、データ窃取インシデントの検知、封じ込め、対応能力を高めるのに役立つ。
データ中心の恐喝へのシフト
Brightspeedの調査は、サービスプロバイダーやクラウド環境に焦点を当てたデータ中心の恐喝キャンペーンへとサイバー犯罪が移行している、より広範な傾向を示している。
暗号化ベースのランサムウェアのみに依存するのではなく、多くの脅威アクターは現在、機微データの窃取を優先し、公開の脅しを交渉材料として用いている。
その結果、組織はシステム復旧だけでなく、データ露出、外部からの精査、顧客へのコミュニケーションを伴うインシデントを想定して計画すべきである。
データ窃取とID悪用が現代の恐喝キャンペーンの中核となるにつれ、組織はアクセスを制限し、暗黙の信頼を減らし、侵害の影響を封じ込めるために、ゼロトラストの原則へとますます目を向けている。
翻訳元: https://www.esecurityplanet.com/threats/1m-customer-records-allegedly-stolen-in-brightspeed-breach/
