英国のColtがサイバー攻撃を受け、身代金の脅迫を受ける中サポートシステムがオフラインに

Colt Technology Servicesは、ヨーロッパ、アジア、北米の900のデータセンターを結ぶ英国拠点の通信大手ですが、8月12日から始まったサイバー攻撃を受けました。

当初、同社はこの障害を「技術的な問題」としていましたが、その後、Coltはコア顧客インフラを保護するため、社内サポートシステム（オンラインポータルやVoice APIプラットフォームを含む）を停止し、サイバー攻撃であることを認めました。

「Colt OnlineやVoice APIプラットフォームを含む一部のサポートシステムが引き続きご利用いただけず、誠に申し訳ありません」と同社は声明で述べています。「今週初めに社内システムに影響を与えたサイバーインシデントを受け、予防措置としてこれらのサービスを一時的にオフラインにしています。」Coltによれば、顧客や従業員のデータが不正にアクセスされた形跡はないとのことです。

一方、WarLockランサムウェア集団に関係していると主張する「cnkjasdfgd」という別名の脅威アクターが、この侵害の責任を公に主張しています。このグループは、財務記録、社内メール、従業員および経営陣のデータ、システムアーキテクチャなどの機密情報を含むとされる100万件の文書を販売に出しています。

Coltはコアネットワークは無傷と主張

このインシデントに関する公開アップデートで、Coltはコアネットワークインフラには影響がなく、予防措置としてサポート向けシステムのみをオフラインにしたと強調しました。同社は「顧客ネットワークの監視やインシデント管理の能力は維持している」と述べていますが、自動監視システムが停止しているため、これらは手動で行う必要があるとしています。

セキュリティ専門家は、今回の攻撃がMicrosoft SharePointの最近修正された脆弱性CVE-2025-53770を通じて行われた可能性があると推測しています。Kevin Beaumont氏ら研究者は、攻撃者が既存のSharePointセキュリティパッチを回避し、ToolShellと呼ばれるエクスプロイトチェーンを使ってリモートコード実行を行い、ウェブシェルを設置してより深いアクセスを得た可能性があると指摘しています。

データが販売に出されたとされる

WarLockグループは、フォーラム上でこれらの文書を販売に出したと報じられています。20万ドルの身代金要求とともに、証拠としてサンプル文書も提供しており、Coltが支払わなければ何が漏洩するか懸念が高まっています。

このデータには、財務記録、給与データ、顧客の連絡先情報、社内コミュニケーション、ソフトウェア開発の設計図などが含まれているとされています。

発見から数週間のうちに、SharePoint ToolShellエクスプロイトは急速に拡大する攻撃の波で武器化されました。著名な被害者には、米国国家核安全保障局、国立衛生研究所（NIH）、国土安全保障省（DHS）が含まれ、いずれも中国関連のStorm-2603によるWarlockランサムウェア攻撃を受けています。

Hempel氏は、今回のインシデントがパッチ適用のタイムラインに再び注目を集めていると述べています。「SharePointのRCEや同等の重大度の脆弱性は、外部からアクセス可能なシステムの場合、数週間ではなく数時間単位で対応すべきです。重要インフラのプロバイダーは、RCEパッチ適用プロセスを優先し、可能な限り自動化してインターネットに公開されているサービスを守る必要があります。」特筆すべきは、MicrosoftがCVE-2025-53770に対して不完全なパッチしか提供しておらず、7月に完全に修正されるまでの間に大規模な悪用が発生したことです。