カーニバルコーポレーションへの2重恐喝

日本でのコロナ禍の象徴的な存在となってしまったダイヤモンド・プリンセスを運営するプリンセス・クルーズ社よりも規模が大きい、カーニバルコーポレーションがランサム被害を受けた様です。

www.zdnet.com

世界最大のクルーズ船オペレーターであるカーニバルコーポレーションは本日、週末にランサムウェア攻撃を受けたことを認め、セキュリティ違反を明らかにしました。

では8-Kファイリング米国証券取引委員会（SEC）と、同社は事件が8月15日（土曜日）に行われたと述べました。

カーニバルによれば、攻撃者は「1つのブランドの情報技術システムの一部にアクセスして暗号化」し、侵入者も会社のネットワークからファイルをダウンロードしたという。

クルーズラインのオペレーターは、すでに違反の調査を開始し、法執行機関に通知し、弁護士およびインシデント対応の専門家に連絡したと語った。

事件の予備的評価に基づいて、カーニバルは攻撃者がいくつかのゲストと従業員の個人データへのアクセスを得たと予想していると言いました

（ZDnet記事より引用）※機械翻訳

公式発表

Carnival Corporation & Plc Identifies Ransomware Incident

キタきつねの所感

公式発表の文面を読むとランサムとデータ窃取の「2重恐喝」被害を受けた様に読み取れます。

2020年8月15日、カーニバルコーポレーションとカーニバルplc（まとめて「会社」、「私たち」、「私たち」、または「私たち」）は、あるブランドの情報技術システムの一部にアクセスして暗号化するランサムウェア攻撃を検出しました。不正アクセスには、特定のデータファイルのダウンロードも含まれます。

（公式発表より引用）

とは言え、どのランサムだったのか、あるいは影響範囲についてカーニバル側はほとんど開示していませんが、ゲスト及び従業員の個人データへの不正アクセスにより、訴訟リスクがある旨が公式発表に書かれています。

一方で、現在までの情報では、今回のインシデントの影響が事業、経営、財務結果に重大な影響を与えるとは考えてないともコメントしていますので、世界15万人の従業員と６００隻の船を保有し、多くの顧客情報を抱える同社の中で、そこまでは被害が大きくは無かったという（現時点での）見立てなのかと思われます。

カーニバルコーポレーションは、今年３月にも別なデータ侵害事件として、2019年4月11日~7月23日にかけて、内部ネットワークから一部ゲストの個人情報が盗まれた事を発表しています。

oag.ca.gov

（以下推測になります）

こうした2重恐喝を行う有名なランサムオペレータ（ハッカー集団）としてはMazeとREVil等があります。しかしDarkWeb上の彼らの流出告知用のサイトに情報が掲載されたとされる海外記事はまだ見かけていません。

もしこうした有名なランサムオペレータが攻撃したのだとすると、カーニバル側と交渉の最中である可能性も考えられます。カーニバル側の公式発表にはランサム被害を受けた事は書かれていますが、ランサムを支払ったのか、あるいは支払うつもりがあるのかが伺える内容は一切書かれていません。

もう1点気になるのが、攻撃を受けた時期です。去年の情報漏えいとは時期が離れているので、直接的には関係が無いと思いますが、だとすれば1回目の事件を受けての脆弱性対策が不十分であった可能性が高くなります。

逆に1回目と2回目が関連しているのであれば、1回目の事故調査の際に何故ハッカーを完全に追い出せなかったのか、という事についてカーニバル側は問われる事になります。

影響範囲についてですが、公式発表の内容から単純に読み取れるのは、「一部の情報技術システムが影響を受けた」という事ですが、MazeやREVilであれば、暗号化をする前に、内部ネットワークを偵察して盗める機微な情報は全て窃取した”後に”暗号化を仕掛けると思いますので、今回カーニバル側が発表した「暗号化された」という発表内容から考えると、それなりの規模の個人情報や機密情報が漏えいした可能性を感じます。

2020年8月15日、カーニバルコーポレーションとカーニバルplc（まとめて「会社」、「私たち」、「私たち」、または「私たち」）は、あるブランドの情報技術システムの一部にアクセスして暗号化するランサムウェア攻撃を検出しました。

（中略）

これまでの調査に基づいて、他のブランドのその他の情報技術システムがこの事件の影響を受けたことはないと信じていますが、他のブランドのその他の情報技術システムが悪影響を受けないという保証はありません。

（公式発表より引用）