英国小売大手M&Sなどを標的にしたランサムウェア攻撃の波紋が広がっている。攻撃を仕掛けたサイバー犯罪集団も明らかになった。どのような集団が、どのような攻撃の手口を用いたのか。
2025年4月、小売大手Marks and Spencer(以下、M&S)をはじめ、英国の複数の小売業者がランサムウェア(身代金要求型マルウェア)攻撃を受けたことが発覚した。一連の攻撃によって、商品棚に欠品が目立つなど、各社ビジネスへの影響が広がっている。ここにきて、攻撃の犯行声明も出た。攻撃を実施したのは誰なのか。
今回の犯行声明を出したのは、ランサムウェアをサービス(RaaS:Ransomware as a Service)として展開するサイバー犯罪集団「DragonForce」だ。攻撃の実施には、DragonForceの関連団体「Scattered Spider」などが関与しているとみられる。
M&Sに加え、今回の攻撃の標的になったもう一社が、消費者協同組合Co-operative Group(Co-op)だ。Co-opのCEO、シリン・クーリー・ハク氏は「攻撃者が非常に高度な技術を持っている」と顧客向けメールで述べた。そのため、攻撃に対処するには、複数のオンラインサービスを停止する必要があったと同氏は説明する。
今回の攻撃によって、Co-op組合員のデータが流出したとみられる。そのデータには、名前や生年月日、連絡先情報が含まれている。Co-opの説明では、認証情報や購買履歴といったデータは含まれていない。DragonForceはCo-opに対し、盗んだデータを英国の国営放送局BBCに提供したこと、他の英国小売業者も標的リストに載せていることを伝えたという。
M&Sの内部関係者によると、IT部門のスタッフは今回の攻撃に対処するために、オフィスへの泊まり込みを余儀なくされた。サイバーインシデントへの備えが不十分だったことで社内に混乱が生じており、システムの完全復旧までには相当の時間がかかると同社はみる。英国のセキュリティに関する政府機関である国家サイバーセキュリティセンター(NCSC)は、今回の攻撃の調査に協力する方針を明らかにしている。
セキュリティベンダーSentinelOneでシニア脅威研究者を務めるジム・ウォルター氏によると、DragonForceはパレスチナ支援を掲げたハクティビスト(政治的な目的でサイバー攻撃を仕掛ける活動家)集団で、マレーシアを拠点としている。2023年夏以降、政治的な目的の攻撃に加え、金銭目的のランサムウェア攻撃も仕掛けていると同氏は説明する。特に狙われているのは、政府機関や特定の政治的目的に賛同する民間企業だ。
攻撃の手口としてDragonForceは、フィッシングメールや既知の脆弱(ぜいじゃく)性の悪用を組み合わせて標的システムに侵入する。そのために、ITベンダーFortraのペネトレーションテストツール「Cobalt Strike」や、オープンソースの脆弱性検証ツール「Mimikatz」などを使っているという。標的システムに侵入した後は、権限の昇格を実施して他のシステムに幅を広げる。
ウォルター氏によると、DragonForceは最近、ランサムウェアに独自のブランドを付与できるホワイトラベルサービスを関連団体に提供している。
TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
