英国の小売業者Marks & Spencer (マークス&スペンサー:M&S)は4月22日にサイバー攻撃を受け、英国およびアイルランドのWEBサイトとアプリ、一部の国際WEBサイトの注文受付を一時停止したと報じられました。今回のサイバー攻撃について、アクロニスの最高セキュリティ責任者(CISO)ジェラード・ブショルト(Gerald Beuchelt)は以下のコメントを公表しています。
******************************************************************************************
どのようなサイバーインシデントが発生しているのでしょうか? また、攻撃者の動機は何だと思われますか?
Marks & Spencerに影響を与えたサイバーインシデントは、ランサムウェア攻撃としてBEEPINGCOMPUTER (https://www.bleepingcomputer.com/news/security/marks-and-spencer-breach-linked-to-scattered-spider-ransomware-attack/ ) で報じられています。
具体的には、この攻撃は「Scattered Spider」(Microsoftでは「Octo Tempest」とも呼ばれている) ハッキンググループによるものだと記事は述べています。このランサムウェア攻撃は、オンライン注文を停止し、支払いやその他のサービスなどの店内システムに問題を引き起こし、M&S の業務を混乱させました。同社はサイバーセキュリティ企業のCrowdStrike、Microsoft、Fenix24と協力して、このインシデントの調査と対応に取り組んでいますが、M&S はこの攻撃がランサムウェア攻撃であることを公式には認めていません。
攻撃者の動機、特にScattered Spiderグループの動機は、金銭的な利益です。Scattered Spiderは過去3年間で、多数のセキュリティインシデントを引き起こしており、最も有名な事例は、2023年9月のMGMへのセキュリティ侵害です。
BleepingComputerの記事が正しければ、M&S に対するランサムウェア攻撃はDragonForceランサムウェアファミリに関連している可能性があり、AcronisはActive Protectionテクノロジーを使用すれば、このランサムウェアファミリの暗号化をブロックする可能性が高いと言えます。
本サイバーインシデントは数日にわたり継続しており、オンライン注文の完全な停止とリモートワークが難しい状況につながっています。M&Sのような組織では、このような長時間にわたる影響は避けられないのでしょうか?
M&Sに対するランサムウェア攻撃の期間と影響は、他の大手小売業者における類似したインシデントの複雑さと一致していますが、全く避けられないわけではありません。Scattered Spiderのような高度な攻撃は、特に統合されたデジタルオペレーションを持つ組織において、長期にわたる事業中断を引き起こす可能性があります。しかし、予防的なサイバーセキュリティ対策によって、このようなインシデントの影響の緩和や期間短縮は可能でしょう。ディザスタリカバリプログラムは、重要なサービスの復旧を加速するのに役立ちます。
なぜシステムを完全にシャットダウンする必要があるのでしょうか? この種のインシデントに備えて、緊急時対応計画やバックアップシステムを用意するべきだったのではないでしょうか?
今回のインシデントの影響の長さは、復旧計画やバックアップシステムがこの規模のサイバー攻撃に十分に対処していなかった可能性を示唆しています。このようなインシデントを完全に防ぐことは困難ですが、堅牢で定期的にテストされたバックアップシステムと包括的なディザスタリカバリプランを使用すれば、影響を軽減でき、オンライン注文などの重要な業務をより迅速に再開できます。
なぜ今、このようなサイバー攻撃が起きているのでしょうか? AIツールやデジタルシステムへの依存度の高まりなど、脅威となる攻撃対象が増えていることで、サイバー犯罪者がシステムに侵入しやすくなっているのでしょうか?
現在、このようなサイバー攻撃が起きているのは、生成AIがマルウェアのエコシステムの進化を加速させているからと言えるでしょう。生成AIを活用したツールは、攻撃者がより洗練された高度なマルウェアを作成する障壁を低下させ、標的型フィッシングやソーシャルエンジニアリングをより迅速に展開できるようにしています。その結果、脅威の状況はより迅速かつ複雑になり、階層化されたプロアクティブなセキュリティ戦略なしでは防御が難しくなっています。
今後、このようなサイバー攻撃に備えてリスクを減らすためには何ができるのでしょうか?
今後のリスクを減らすために、既存のサイバーセキュリティ計画を見直し、外部の専門家とのギャップ評価を実施し、潜在的なギャップに対処する必要があります。これには、Scattered Spiderのようなハッキンググループがよく使用するフィッシングやソーシャルエンジニアリングの戦術を認識するための定期的な従業員トレーニングが含まれます。また、ディザスタリカバリやインシデント対応などの主要な計画の定期的なテストを優先する必要があります。エンドポイントの保護を見直し、疑わしい動作のActive Directoryのアクティビティを監視することも必要になる場合があります。M&Sの現在のバックアップ構成は不明ですが、セキュリティで保護された頻繁なバックアップシステムとウイルス対策を組み合わせることが不可欠です。これにより、迅速なリカバリが可能になり、侵害が発生した場合の被害を抑えることができます。
Acronis について
Acronis は、2003 年にシンガポールで設立されたスイスの企業で、世界 15ヵ国にオフィスを構え、50ヵ国以上で従業員を雇用しています。Acronis Cyber Protect Cloud は、150の国の26の言語で提供されており、21,000を超えるサービスプロバイダーがこれを使って、750,000 以上の企業を保護しています。
