ウィンリゾーツは、ShinyHuntersの恐喝グループのリークサイトに同社が掲載された後、従業員データが権限のない第三者によってアクセスされたことを確認しました。
カジノおよび接客業の大手企業は、侵害を発見するとすぐにインシデント対応計画を発動したと述べました。
「権限のない第三者が特定の従業員データを取得したことが判明しました」とウィンリゾーツはBleepingComputerと共有した声明で述べました。
同社は「権限のない第三者は盗まれたデータが削除されたと述べている。当社は監視を続けており、現在のところデータが公開されたまたは他の方法で悪用されたという証拠は見つかっていません」と付け加えました。
ウィンリゾーツデータ侵害の詳細
このインシデントは、大量の機密従業員情報を保存しているエンタープライズHRおよびERPシステムを標的とする恐喝グループによってもたらされる増加する危険性を強調しています。
BleepingComputerによると、ShinyHuntersはウィンリゾーツの環境から社会保障番号を含む個人識別情報(PII)を含む80万件以上のレコードを盗んだと主張しています。
ウィンリゾーツは影響を受けた個人の正確な数を確認していませんが、グループはデータが同社のOracle PeopleSoftプラットフォームから取得されたと主張しています。
Oracle PeopleSoftは、給与、税務書類、福利厚生データ、および従業員識別記録を一元化する広く使用されているエンタープライズリソースプランニング(ERP)および人事システムです。
これらのプラットフォームは非常に機密性の高い職員データを単一の環境に集約しているため、最大限の有利さを求める脅威行為者の魅力的なターゲットです。
HRシステムの侵害が成功すると、政府が発行した識別番号から報酬の詳細まで、すべてが公開される可能性があります。この情報は、なりすまし詐欺、税務詐欺、またはさらに標的化されたソーシャルエンジニアリング攻撃に悪用される可能性があります。
ShinyHunters恐喝モデルの仕組み
ShinyHuntersは、運用上の混乱よりも盗難を優先するデータ恐喝モデルを採用していることで知られています。
グループはシステムを暗号化するランサムウェアを配置する代わりに、機密データを盗み、身代金が支払われない限り公開すると脅迫します。
リークサイト上の現在削除されている投稿で、グループはウィンリゾーツに2026年2月23日までに連絡を取るよう警告し、そうしなければデータを公開すると述べました。
BleepingComputerによると、投稿では「PII(社会保障番号など)と従業員データを含む80万件以上のレコードが侵害されました」と主張されていました。
リストが公開されてから間もなく、ウィンリゾーツのエントリが削除されました。この展開は、交渉が進行中である可能性や、主張が異議を唱えられている可能性があることを示唆することが多いです。
ウィンリゾーツの対応
ウィンリゾーツは、権限のない当事者が盗まれたデータが削除されたと主張し、同社は現在のところ公開または悪用の証拠を観察していないと述べました。
疑わしいデータ盗難にもかかわらず、ウィンリゾーツは、このインシデントがゲスト操作または物理的なリゾート施設に影響を与えず、完全に稼働していることを強調しました。
同社は、影響を受けた従業員に無料のクレジット監視および身元保護サービスを提供していると述べました。
HRおよびERPプラットフォームのリスク低減
恐喝グループがHRおよびERPシステムをターゲットし続けるため、組織は機密従業員情報を保護するための慎重でプロアクティブなアプローチを取るべきです。
給与記録、社会保障番号、および税務データを保存するプラットフォームは、従来の境界防御を超える階層化されたセキュリティ制御を必要とします。
- すべての特権および管理アカウントに対して多要素認証を実施し、特権アクセス管理制御を実装し、HRおよびERPシステム全体に最小権限の原則を適用してください。
- 異常なクエリ、バルクエクスポート、および異常なアクセスパターンについて、データベースアクティビティ監視および行動分析ツールを使用して、データベースおよびアプリケーションアクティビティを継続的に監視してください。
- Oracle PeopleSoftなどのERPプラットフォームを完全にパッチし、安全に構成し、誤設定、露出したインターフェース、およびパッチが適用されていない脆弱性について定期的に評価してください。
- 機密従業員データを保存中および転送中に暗号化し、社会保障番号などの高リスクPIIにフィールドレベルの暗号化またはトークン化を適用し、HRシステムを分割して横方向の移動を制限してください。
- 権限のないデータ流出の試みを検出してブロックするために、データ損失防止(DLP)、出口フィルタリング、およびアウトバウンドトラフィック制御をデプロイしてください。
- 統合された給与、ID、およびベンダーシステムのセキュリティ制御をレビューし、APIおよびパートナーアクセスを制限することにより、第三者リスク管理を強化してください。
- データ恐喝および従業員データ侵害シナリオへの対応準備を確保するために、机上演習およびシミュレーションを通じて、インシデント対応計画を定期的にテストおよび更新してください。
これらの対策を合わせることで、潜在的なデータ露出を減らし、組織の対応準備を強化するのに役立ちます。
データ恐喝へのシフト
ウィンリゾーツ事件は、脅威行為者が運用上の混乱よりもデータ盗難を優先してレバレッジを最大化するランサムウェア戦術の広範なシフトを反映しています。
顧客向けシステムが影響を受けなかった場合でも、従業員のHRおよびERPプラットフォームに関する侵害は、法的、財務上、および評判上の結果をもたらす可能性があります。
恐喝グループが機密職員データの一元化されたリポジトリをターゲットし続けるため、組織はこれらの環境をどのようにセキュリティ保護、監視、および管理するかを再評価する必要があります。
脅威行為者によってターゲットにされた機密内部システムにより、多くの組織は、暗黙の信頼を排除し、横方向の移動を制限するためにゼロトラストの原則を採用しています。
翻訳元: https://www.esecurityplanet.com/threats/shinyhunters-claims-wynn-resorts-data-theft/
