「データを盗んだ」と脅迫された 取るべき行動は？

犯罪者が企業に対してサイバー攻撃を仕掛けたことを発表した場合、企業は何ができるだろうか。すべきことは3つあるという。

[David Jones，Cybersecurity Dive]

　大手企業のデータを盗み出して、それを販売するサイバー攻撃がある。ランサムウェア攻撃とは異なり、企業のビジネスが停止することはないものの、内部データが流出する事態は防がなければならない。

　2025年1月16日、脅威グループ「IntelBroker」はHewlett Packard Enterprise（HPE）の機密性の高い社内データに不正アクセスを試み、盗み出したデータを販売すると宣言した。

HPEは本当にデータを盗まれたのか？　脅迫を受けたときにすべきこと

　これに対してHPEはどのように対応したのだろうか。

　サイバーセキュリティ事業を営むArctic Wolf Networksの研究者によると、IntelBrokerはHPEの大規模なデータにアクセスした旨の主張を「BreachForums」に投稿したという。

　投稿によると、盗まれたとされるデータには、「GitHub」のプライベートなリポジトリおよびDockerビルド、ソースコード、その他の情報が含まれているという。

企業がすぐに取るべき行動とは

　このような事例の場合、企業が取るべき行動は3つある。

（1）迅速な対応
　調査を開始することと、攻撃手法に対応することだ。HPEの場合は認証情報を即座に無効化した。

（2）情報の信頼性の評価
　脅威グループは正確な情報を公開するとは限らない。投稿内容に踊らされることなく、（1）を進めなければならない。

（3）サイバーセキュリティの継続的な強化
　HPEは過去の攻撃から学び、継続的にセキュリティ対策を強化している。（キーマンズネット編集部）

　HPEの広報担当者は、同年1月21日に次のように述べた。

　「同年1月16日にこの主張を知り、当社はサイバー対応プロトコルを直ちに起動し、関連する認証情報を無効にした。主張が妥当かどうかを判断するための調査も開始した」

　広報担当者によると、現時点で業務への影響はなく、顧客情報が関係しているという証拠もないという。

　IntelBrokerは2022年に初めて注目され、知名度の高い多くの攻撃に関与している。

　Arctic Wolf Networksの研究者によると、IntelBrokerは以前、公開されているアプリケーションの脆弱（ぜいじゃく）性や設定ミスを悪用して攻撃対象への初期侵入に成功していたという。侵害に成功したシステムへのアクセス方法を販売したともいわれている。

　ただし、研究者によると、同グループは脅威活動に関する主張を誇張した過去があるという。

　Arctic Wolf Networksの研究者は広報担当者を通じて「IntelBrokerは過去の侵害で露出したデータの重要性を誇張することで知られている。同グループの広範囲にわたる主張に対しては、懐疑的な態度を保つことが賢明だ」と述べた。

　近年、HPEは幾つかの注目すべきサイバー攻撃に巻き込まれている。1年前に同社は、脅威グループ「Midnight Blizzard」による数カ月にわたる侵入について公表した（注1）。この攻撃によって同社の「SharePoint」と電子メールボックス環境の一部に影響があった。

　2021年に発生した攻撃では、HPEの「Aruba Central」のクラウド環境におけるデータリポジトリの一部が影響を受けた（注2）。

出典：HPE probes hacker claim involving trove of sensitive company data（Cybersecurity Dive）
注1：HPE hit by a monthslong cyberattack on its cloud-based email（Cybersecurity Dive）
注2：Threat actor breaches HPE’s Aruba Central via data repository access key（Cybersecurity Dive）