ShadowByt3$が農業データを狙いCropwiseにランサムウェア攻撃

ShadowByt3$が農業データを狙いCropwiseにランサムウェア攻撃

ShadowByt3$として知られるランサムウェアグループが、世界最大級のアグリビジネス複合企業であるシンジェンタグループが運営する精密農業プラットフォーム「Cropwise」へのサイバー攻撃の犯行声明を出しました。この攻撃では、データの窃取と身代金要求が行われたと報じられており、機密性の高い業務データや顧客データを保持する農業テクノロジーシステムのセキュリティに対する深刻な懸念が高まっています。

このインシデントは、米国の大手マッシュルーム販売業者から資産管理会社までを標的とする別々のグループによる複数のランサムウェア被害報告が相次いでいる中で発生したものです。この傾向は、農業テクノロジーを含むあらゆるセクターが標的となる、ますます攻撃的になっているランサムウェアのエコシステムを浮き彫りにしています。

Cropwise攻撃について分かっていること

Cropwiseは、圃場マップ、作付計画、収量記録、営農推奨など、詳細な圃場レベルのデータを収集・処理するデジタルアグロノミープラットフォームです。このようなプラットフォームが保持するデータの種類は、単に業務上機密であるだけでなく、このサービスを利用する farmers や農業関連企業に関連する個人情報を含む可能性があります。

ShadowByt3$は、以前にもジョージア大学でのインシデント報告を含む他の機関への攻撃を主張しており、このグループが積極的に標的範囲を拡大していることを示唆しています。Cropwiseへの攻撃は、現在ではよく知られた手口に従っています。標的のネットワークに侵入し、価値のあるデータを窃取し、システムを暗号化し、データを公開すると脅して身代金要求を行うというものです。

現段階では、Cropwiseの攻撃で侵害されたデータの全容は公式には確認されていません。スイスに本社を置くシンジェンタグループは、本稿執筆時点で詳細な公式声明を発表していません。

ランサムウェア被害報告の広がり

Cropwiseへの攻撃は単独で発生したわけではありません。同じ時期に、Akiraランサムウェアグループが米国の資産管理会社Moorman Hartingへの攻撃を主張し、機密性の高い財務記録や個人顧客記録の暴露を脅しました。また、別件では、米国最大の生鮮マッシュルーム販売業者であるMonterey Mushroomsがランサムウェア攻撃の被害者として報じられました。さらに、別の名称不明のグループが、無関係のデータ侵害で300人以上の顧客のパスポートデータを入手したと主張しました。

これらの攻撃の集中は、セキュリティ専門家が何年にもわたって指摘してきた点を裏付けています。つまり、ランサムウェア作戦は産業化しているのです。グループは分業構造で運営され、時にはRansomware-as-a-Serviceのインフラを貸し出し、他方が盗難データの交渉や公開を担当します。その結果、大規模かつ多セクターにわたる脅威環境が生まれています。

中国のサイバー作戦に関連するIBMイタリア子会社のデータ侵害のようなインシデントで見られるように、高度な脅威アクターは頻繁にデータ盗難とシステム侵害を組み合わせており、ファイルの復号化だけでは回復がはるかに複雑になります。

これが意味すること

農業テクノロジー分野、または機密性の高い業務データを集約する分野で事業を展開している企業にとって、Cropwiseのインシデントは、これらのプラットフォームがランサムウェアの標的としていかに魅力的になっているかを直接的に思い起こさせるものです。精密農業データの価値はプラットフォーム自体にとどまらず、競合情報や数千の農業経営者にとっての個人情報に相当します。

Cropwiseのようなプラットフォームの個々のユーザーにとっての当面の懸念は、個人データやビジネスデータが窃取されたものに含まれているかどうかです。シンジェンタまたはCropwiseが詳細な侵害通知を提供するまでは、ユーザーは自身のデータがリスクにさらされている可能性を想定し、アカウントの異常なアクティビティや農業経営に関連するフィッシングの試みがないか監視する必要があります。

大量の顧客データを処理する組織は、ダークウェブ監視サービスが、盗まれたデータセットが売却されたり、ランサムウェアグループによって公開されたりしていないかを追跡するためにますます利用されていることも認識すべきです。これは受動的な懸念ではありません。あるデータ侵害から流出したデータは、別の場所での標的型攻撃の燃料となることがよくあります。

リスクは民間企業に限定されません。国家に関連するAPT脅威とその手法に関する報道で強調されているように、十分なリソースを持つ組織でさえ、永続的で進化する侵入技術に直面しています。ランサムウェアグループは、歴史的に国家主導のスパイ活動と関連付けられてきた水平移動やデータステージング戦術の一部を採用しています。

この攻撃を受けて取るべき具体的な対策

このような攻撃を受けて、企業や個人が検討すべき事項は以下の通りです。

• ネットワークセグメンテーションは重要です。 ランサムウェアは、接続されたシステムを水平移動することで拡散します。機密データ環境を一般的なビジネスネットワークから隔離することで、単一の侵入による影響範囲を限定できます。
• データ流出を監視してください。 あなたやあなたのビジネスがCropwiseを利用していた場合は、シンジェンタからの通知に注意し、侵害監視サービスを利用して自身のデータがオンライン上に現れていないか確認することを検討してください。
• サードパーティプラットフォームのリスクを見直してください。 農業、金融、ヘルスケアにおけるSaaSプラットフォームは、ユーザーに代わって重要なデータを保持しています。企業は、利用開始前にベンダーに対し、インシデント対応計画とデータ処理方法について尋ねるべきです。
• 認証情報を使い分けてください。 プラットフォーム間でパスワードを再利用している場合、あるサービスでの侵害が他のすべてのリスクになります。パスワードマネージャーを使用し、可能な限り多要素認証を有効にしてください。
• 対応計画を用意してください。 ランサムウェアインシデントは進行が速いものです。インシデント対応手順をリハーサルしている組織は、より迅速に復旧し、データ損失も少なくなります。

ShadowByt3$によるCropwiseへの攻撃は、ランサムウェアグループが病院や金融機関といった明白な高価値標的に限定していないことを明確に示しています。精密農業プラットフォーム、そしてそれらが農家やアグリビジネスに代わって保持する機密データは、今や明確に標的となっています。情報を入手し、積極的にデータを保護するための措置を講じることは、顧客情報を扱うすべての組織にとって、もはや任意ではなくなっています。