Nikeは、World Leaksとして知られる恐喝グループが社内の膨大な企業データを盗み出して流出させたと主張したことを受け、潜在的なサイバーセキュリティ事案を調査している。
同グループは、世界的スポーツウェアブランドから1.4テラバイトのファイルを流出させたと主張しており、機密性の高い企業情報や運用情報が露出した可能性への懸念が高まっている。
「Nikeのデータ侵害で注目すべき点は、世界的ブランドが侵害された可能性があるということ(これはもはや珍しくない)だけではなく、WorldLeaksが何を持ち去ったとされているかです」と、NCC Groupの脅威インテリジェンス部門グローバル責任者であるマット・ハル氏は、eSecurityPlanet宛てのメールで述べた。
同氏は「R&D、製造、従業員データに焦点が当たっているように見えることは、サプライチェーンの脆弱性がサイバー犯罪者の主要な標的になっていることを浮き彫りにしています」と説明した。
さらにマット氏は「運用データやサプライチェーンデータが露出する可能性は、レジリエンス、可視性、第三者リスク管理に関する広範な懸念を生じさせます。今回のNikeの侵害の可能性は、サプライチェーンセキュリティを中核的な事業リスクとして扱う必要性を改めて示しています」と述べた。
疑惑のNike侵害が意味し得ること
事実と確認されれば、この事案は、世界的ブランドが顧客データにとどまらず、恐喝を目的とした攻撃の主要標的であり続けていることを浮き彫りにするだろう。
World Leaksは、盗まれたファイルにはNikeの社内業務に関連する約19万件の文書が含まれていると主張しており、知的財産、サプライチェーンのレジリエンス、第三者リスクに影響を及ぼす可能性がある。
この疑惑は、World Leaksがダークウェブ上のデータリークサイトにNikeを追加した後に表面化したが、その掲載は広範な公開に至る前に削除された。
この種の削除は、攻撃者と被害者の間で交渉が行われていることを示す場合が多いが、Nikeは協議があったかどうか、また身代金が支払われたかどうかを確認していない。
報道時点で、BleepingComputerは疑惑のデータの真正性や内容を独自に検証できておらず、Nikeも同グループの主張を確認していない。
World Leaksランサムウェアのリブランドの内幕
World Leaksは、2023年後半に出現し、その後、従来型のファイル暗号化攻撃から方向転換したHunters Internationalランサムウェアグループのリブランドであると見られている。
2025年1月、同グループは法執行機関からの圧力の高まりと、ランサムウェア暗号化キャンペーンの収益性低下を理由に、データ窃取と恐喝のみに特化した運用へ移行したと報じられている。
Hunters International自体は、コードや戦術の類似性から、Hiveランサムウェア運用の後継の可能性があるとして研究者により指摘されていた。
リブランド以前、同グループは世界中で数百件の攻撃に関与したと主張していた。
過去に知られている被害組織には、米国保安官局(U.S. Marshals Service)、Tata Technologies、日本の光学機器メーカーHoya、AutoCanada、米海軍の請負業者Austal USAなどが含まれる。
恐喝のみのモデルでは、攻撃者は業務を妨害するのではなく、静かにデータを持ち出すことに注力する。その後、公開を防ぐために支払いを迫られる。
この手法は運用上のノイズを抑えつつ、特に盗まれたデータが顧客記録だけでなく、機密性の高い運用情報、R&D、サプライチェーン情報を含む場合に、最大限の交渉力を得られる。
World Leaksは、他の注目度の高い活動とも関連付けられている。
2025年7月には、関係者がDellの製品デモプラットフォームの侵害や、サポート終了(EOL)のSonicWall SMA 100デバイスの悪用に関与したとされ、攻撃者は永続的なアクセスを維持するためにカスタムのOVERSTEPルートキットを展開したと報告されている。
組織がデータ恐喝リスクを低減する方法
恐喝を目的とした攻撃が、システムの可用性ではなく機密性の高い企業データを標的にし続ける中、組織には従来のランサムウェア対策手順を超えた防御が必要となる。
これらの攻撃はしばしば静かで、展開が速く、妨害ではなくデータ窃取によって交渉力を最大化するよう設計されている。
リスク低減には、可視性、ID制御、データ保護に、検証済みの対応プロセスを組み合わせた多層的アプローチが求められる。
- 監視:異常な外向きデータ転送(特に知的財産、R&D、運用データを含むシステムからのもの)を監視する。
- 資産の可視性を高め、最小権限のアクセス制御を適用し、機密環境をセグメント化してラテラルムーブメントを制限する。
- 送信方向のデータ損失防止(DLP)を実装し、大量または異常なデータ持ち出しの試みを検知・遮断する。
- フィッシング耐性のあるMFAを強制し、異常な認証情報の使用を監視することで、IDセキュリティを強化する。
- 第三者およびサプライチェーンのアクセスを見直して制限し、特に製造・物流パートナーに対して厳格化する。
- 恐喝のみのシナリオをセキュリティ運用に統合し、データ露出に焦点を当てたインシデント対応計画を定期的にテストする。
- 分類と保持(リテンション)制御を通じてデータガバナンスを強化し、盗まれた企業データの影響を低減する。
これらの対策は、組織が露出を抑え、データ恐喝の脅威に対応するのに役立つ。
データ中心の恐喝へのシフト
疑惑のNike侵害が最終的に確認されるかどうかにかかわらず、この事案は、システム停止ではなく知的財産やサプライチェーンを狙う、静かでデータ中心の恐喝へとサイバー犯罪が広く移行していることを反映している。
この変化は、従来のランサムウェア防御を見直し、データ露出を主要な事業リスクとして扱う必要性を強調している。
恐喝グループが、妨害を最小化しつつ交渉力を最大化する戦術を洗練させる中、データフローやサプライチェーン依存関係の可視性が不足している組織は、引き続き脆弱なままとなるだろう。
攻撃者が相互接続されたパートナーや運用データをますます標的にする中、サプライチェーンセキュリティは現代のサイバー防御における重要な柱となっている。
翻訳元: https://www.esecurityplanet.com/threats/nike-investigates-alleged-data-breach-tied-to-world-leaks/
