Travelexは230万ドルの身代金を支払った

Travelexはどうやら去年末のランサム被害に関して身代金230万ドルを払った様です。

www.bankinfosecurity.com

米国を含む26か国で事業を展開するロンドンを拠点とする外貨両替所であるTravelexが、ランサムウェアのギャングに$ 230万を支払い、大晦日の攻撃後にデータへのアクセスを取り戻したと報告しています。この事件により、同社のカスタマーサービスは数週間にわたって機能しなくなりました。

BBCによれば、同じくREvilという名前で呼ばれるSodinokibiギャングは、Travelexのネットワークにアクセスし、5 GBのデータをダウンロードして暗号化したと主張しています。伝えられるところによると、サイバー犯罪者は最初にデータをリリースするために600万ドルを要求しました。

Journalexによると、Travelexはパートナーやアソシエイトとの交渉と情報提供を数週間行った後、230万ドルの身代金、つまり約285ビットコインを支払うことを決定しました。同紙はまた、オンラインチャットでソディノキビギャングのメンバーとの支払いを確認したと述べた。

（BankInfoSecurity記事より引用）※機械翻訳

キタきつねの所感

海外旅行に行く時に必ずと言っても過言でない位に、見かける外貨両替所大手のTravelexがSodinokibiランサムの被害を受けたのは去年末の様です。

参考：「SODINOKIBI」被害事例に見るランサムウェアの攻撃手法 | トレンドマイクロセキュリティブログ

Travelexは全世界26か国に1000を超える店舗とATMを持ち、業界大手と言っても過言ではないかと思います。

当然の事ながら、Travelexでは一定水準以上のセキュリティ体制が取られていたかと思いますが、ランサム攻撃者は、そんなグローバル企業ですら被害を受けてしまう。この事に、日本企業ももっと注意を払う必要があるのかと思います。

ランサム攻撃者（REvil）は、５GBのデータ暗号化のみならず、バックアップも削除していたと主張している様で、言い方が悪いのですが、Travelexとしてはランサムを支払う以外に選択肢は残されていなかった気がします。

※余談ですが、ランサム攻撃者はターゲットのネットワークに侵入した後、まず主要なデータを窃取すると同時に、ランサム攻撃をかける前にバックアップを削除（または暗号化）する事を狙うケースが多い様です。多くの企業はバックアップを当てに、ランサム（身代金）支払いの要求をはねつける事をシナリオ想定していると思いますが、現実にはオンラインバックアップも重要攻撃対象である事が抜け落ちている気がします。

去年末の侵害について、今回の記事では詳しく書かれていなかったので探してみたのですが、別記事が見つかりました。

Travelex being held to ransom by hackers - BBC News

大晦日、ハッカーがTravelexネットワークに攻撃を仕掛けました。

その結果、同社は「ウイルスとデータを保護する」ために30か国のWebサイトを停止しました。

SodinokibiランサムウェアギャングがBBCにハッキングの背後にあると伝え、Travelexに600万ドル（460万ポンド）の支払いを求めています。

ギャングはREvilとも呼ばれ、6か月前に会社のコンピュータネットワークにアクセスし、5GBの機密顧客データをダウンロードしたと主張しています。

生年月日、クレジットカード情報、国民保険番号はすべて所有していると彼らは言う。

（中略）

支払いを倍増するための期限は2日です。

（BBC記事より引用）※機械翻訳