ランサムウェアグループ「Unsafe」がドイツ銀行のデータ侵害を主張

自らを「Unsafe」と名乗るランサムウェアグループが、世界最大級の金融機関であるドイツ銀行への侵入を主張し、その裏付けとしてデータベースの証拠を公開した。このドイツ銀行のランサムウェアデータ侵害疑惑では、従業員の認証情報と内部データが流出し、銀行とその顧客の両方を標的とする二次攻撃に悪用されるのではないかという懸念が即座に高まっている。

本稿執筆時点でドイツ銀行は侵害を公式に確認しておらず、インシデントの全容は調査中である。しかし、流出したデータサンプルと見られるものが裏付けとなる主張自体、セキュリティ専門家から一般ユーザーまでが真剣に注目するに値する。

ランサムウェアグループ「Unsafe」が盗んだと主張するもの

報道によれば、この侵害には従業員の認証情報が含まれ、少なくとも353組のログイン情報が漏洩したとされている。このデータには、攻撃者がドイツ銀行の人事構造を詳細に把握できる内部記録が含まれているという。

ランサムウェアグループにとって、この種のデータには二つの目的がある。第一に、アカウントの乗っ取りを試みたり、企業システムへのより深いアクセスを得るために直接使用できる。第二に、データを売却または公開して圧力をかけ、標的組織に身代金の支払いを迫る手段となる。「Unsafe」グループは後者の戦略をとっているようで、到達範囲を示し、緊急性を演出するために、主張するデータベースのサンプルを公開している。

ランサムウェアグループが圧力を最大化するために侵害の規模を日常的に誇張することは留意すべきである。とはいえ、従業員データの部分的な漏洩であっても、下流に重大なリスクをもたらし、それがより実際的な懸念につながる。

流出した従業員データがいかにフィッシングやソーシャルエンジニアリング攻撃を助長するか

従業員の氏名、メールアドレス、役職、認証情報が詰まったデータベースが公開ウェブ上に出回れば、侵害を受けた組織だけが脅威にさらされるのではない。その組織につながるすべての人、すなわち顧客、パートナー、ベンダーを標的とする攻撃者にとっての道具一式となる。

本物の従業員データに基づいたフィッシングキャンペーンは、一般的な詐欺よりもはるかに説得力がある。特定のドイツ銀行員の名前、部署、社内メール形式を知っている攻撃者は、受信者にとって完全に正当に見えるメッセージを作成できる。大量配信型ではなく標的型であるこの種のスピアフィッシングは、企業へのサイバー攻撃成功の大部分を占めている。

ソーシャルエンジニアリングはこれをさらに進める。攻撃者はITヘルプデスク、ベンダー、あるいは顧客に電話をかける際に、実在の従業員になりすまし、本物の内部情報を使って認証チェックを通過できる。これはまさに、1200万件のアカウントを流出させたフランスのID機関の侵害が、機関自体をはるかに超えて懸念を引き起こした理由である。組織のデータ漏洩は外へと連鎖的に広がり、その連鎖の末端にいる個人がそれを予見することはほとんどない。

ドイツ銀行の侵害が示す企業のデータ衛生の失敗

金融機関はデータセキュリティに関して最も厳しく規制される事業体の一つである。サイバーセキュリティインフラに多額の投資をしており、そのために今回主張されているような規模の侵害は、日常的なものではなく注目すべきものとなっている。

失敗しがちなのは境界防御ではなく内部である。アクセス可能なデータベースに保存された従業員の認証情報、内部システムを適切に分離しない不十分なアクセス制御、発見の遅れ、これらすべてが、高度なランサムウェアグループが悪用できる侵害の一因となる。ネットワーク内部に侵入すると、攻撃者はしばしば、目に見える警報が発せられるまでに数週間から数か月にわたり横方向に移動できる。

ここで報告された認証情報の露出は、より広範な問題も示している。組織はしばしば必要以上に多くの従業員データを集中化されアクセスしやすい形式で保持している。何を、どこに保存し、誰がアクセスできるかを最小限にすることで、一回の侵害で生じ得る損害を減らせる。この原則は、多国籍銀行にも、中小企業、さらには自身のアカウントを管理する個人にも、同様に直接当てはまる。

1.3TBの臨床試験データが盗まれたノボノルディスクの侵害のような大規模データインシデントは、いかなるセクターも無縁ではなく、組織が蓄積する機密データの量が、時間とともに複合的なリスクを生み出すことを改めて浮き彫りにしている。

ユーザーと企業が被害を抑えるために取れる実践的な対策

大企業に勤めているか、あるいは単に口座を持っているかにかかわらず、このようなニュースを受けて取るべき具体的な行動がある。

自身の侵害露出を確認する。 自分のメールアドレスが既知のデータダンプに含まれているかを監視するサービスは、あなたのアカウントに関連する認証情報がオンラインで出回った場合に警告を発してくれる。ドイツ銀行と何らかの関係があるなら、これをアカウントのセキュリティを見直すきっかけとしよう。

パスワードを変更し、多要素認証を有効にする。 仕事や銀行取引に使っているのと同じパスワードが他のどこかで使われているなら、今すぐ変更すること。多要素認証は、盗まれた認証情報の攻撃者にとっての価値を大幅に低下させる。

予期しない連絡に懐疑的になる。 大規模な侵害の後は、その機関に関連するフィッシングの試みが通常増加する。アカウント、緊急の依頼、内部情報に言及する未承諾のメール、電話、メッセージは、たとえ詳細が正確に見えても、一層の疑いをもって扱うこと。

企業は、何を保存しているかを監査する。 組織が従業員や顧客のデータを集中データベースに保存しているなら、そのすべてがそこにある必要があるのか、誰がアクセスできるのか、アクセスログが監視されているのかを問い直す実践的な契機となる。

今回主張されているドイツ銀行のランサムウェアデータ侵害は、組織のデータセキュリティと個人のデジタル安全が無関係ではないことを再認識させる。大規模組織が侵害されると、その露出は組織の壁をはるかに超えて広がる。自身の侵害露出を確認し、個人のセキュリティ習慣を強化することは過剰反応ではなく、こうしたインシデントが実際にどう展開するかに見合った対応である。