市場調査サービスを提供する企業「Klue(クルー)」は、今月発生したサイバー攻撃による顧客データの流出問題について、攻撃を実行したハッカーグループと連絡を取り、グループが盗み出したデータの削除を進めているとみられることを明らかにしました。一方で、別のハッカーグループがデータを保有していると主張し、顧客企業を直接脅迫する新たな事態に発展しているということです。
Klueが顧客向けに非公開で共有した最新の報告によりますと、同社は「Icarus(イカルス)」と名乗るハッカーグループとの通信を継続しているということです。Klueは、「Icarusは顧客から盗んだデータを削除する手続きを進めていると伝えてきた。グループのウェブサイトは現在閉鎖されており、実際にデータの削除が行われている兆候を確認している」としています。
この問題は、6月12日にKlueのシステムに不正アクセスがあり、複数の顧客企業のデータが盗み出されたものです。これまでに、LastPass(ラストパス)やHackerOne(ハッカーワン)など複数の企業が被害を受けたことを確認しています。当初、Icarusは盗んだデータを公開するとKlueを脅迫し、金銭を要求していました。
しかし、ここ数日で事態はさらに複雑化しています。Klueによりますと、Icarusからは「第2のハッカーグループがKlueの顧客企業を直接脅迫しようとしている」との連絡があったということです。
この名前の明かされていない第2のグループは、自身のウェブサイトに被害を受けたとされる企業の一覧を掲載し、Icarusから直接データを盗み出したと主張しています。さらに、Klueがイギリスなどに拠点を置く10代のIcarusのメンバーに身代金を支払ったとも主張しています。なお、Klueが実際に身代金を支払ったかどうかや、Icarusのウェブサイトが閉鎖された理由は確認されていません。
第2のグループは、被害を受けたKlueの顧客は合計195社に上ると主張し、「身代金を支払わなければすべてのデータを公開する」と脅迫しています。
これに対しKlueは顧客への報告のなかで、「Icarusによれば、第2のグループは一部の顧客のサンプルデータしか持っておらず、すべてのデータを保有しているわけではない。Icarusからも、この別のグループには支払いをしないよう顧客に伝えるよう求められた」と説明しています。Klueは、第2のグループから連絡を受けた顧客に対し、本当にデータを保有しているか証明させるため、ランダムなデータのサンプルを要求するよう推奨する方針です。
Klueはこれまでの調査で、ハッカーが2022年の試験的なプログラムで使用された外部の認証情報を悪用してシステムに侵入したと説明しています。その後、ハッカーは顧客のクラウドやデータベースにログインするための認証キーを盗み出しました。しかし、この認証情報が誰に割り当てられていたのかや、なぜ長期間無効化されていなかったのかなど、詳細については明らかにしていません。
