Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

TSYSのランサム被害

つぶやいてみた。 不正アクセス事件 海外事件

北米で3番目の規模を誇る決済プロセシングサードパーティのTotal System Services(TSYS)がRyuk(Conti)ランサムの被害を受けた様です。

krebsonsecurity.com

12月8日、Contiランサムウェア株(「Ryuk」とも呼ばれます)の展開を担当するサイバー犯罪組織は、TSYSのネットワークから削除したと主張する10ギガバイトを超えるデータを公開しました。

Contiは、身代金支払いの交渉を強制するために被害者から盗まれたデータを公開するブログを維持しているいくつかのサイバー犯罪グループの1つです。ギャングは、これまでに公開されたデータは、社内でランサムウェアを爆発させる前にTSYSからオフロードした情報のわずか15%に相当すると主張しています。

(Krebs on Security 記事より引用)※機械翻訳

 

公式発表

 

キタきつねの所感

TSYS社と言えば金融業界では北米、欧州を中心に大手決済プロセッサーとしてその名が知れています。決済プロセッサーはランサム全盛期以前から犯罪者から狙われている対象ですが、PCI DSS等を始めとする各種セキュリティ認定を取得した上でしかビジネスを行えない事から、ランサム等の対策は一般企業以上にされていたと思います。

そのTSYSでランサム被害・・・と考えると、もはや、いかなる金融企業であってもランサム攻撃からは逃れられないのではないか、そんな風にも感じます。

 

TSYSの機密情報はRyuk(Conti)ランサムオペレーターが漏えいサイトに開示した様です。この中では10GB超のデータがサンプル開示され、Ryuk側はこれが全体の15%に相当するとしている事から、約67GB以上のデータが窃取されたと推測されます。

 

また、Ryukの過去の発表では、漏えいサイト(DarkWeb)にサンプルデータが置かれるのは、身代金の交渉を拒否した被害者のものが多い事から、記事では身代金を(現時点では)支払わないという判断をTSYS社がしたのではないかと推測しています。

 

データ漏えい量としては、1TBを超える機密データがさらし者の様に公開される事件が多くなってきている中では比較的小規模と言えますが、特に気になったのは、セキュリティが(比較的)しっかりしているはずのTSYSに対する侵入ルートです。

 

Krebs氏がRyuk(Conti)に確認した様で、記事では以下の様に書かれていました。

Contiによると、「レガシー」TSYSビジネスユニットのヒットはCayanでした。これは、2018年にTSYSによって買収され、実店舗やモバイルロケーションでの支払い、およびeコマースを可能にするエンティティです。

(Krebs on Security記事より引用)※機械翻訳

 

この記載から読み取れるのは、買収した会社のレガシーシステム経由での侵害という事です。M&Aがある種当然の様になってきている中、買収された会社のシステムが買収した側のシステムに統合されるまでには一定期間必要なケースが多いかと思います。将来統合される場合は、レガシーシステムに対する投資や監視も制限される事になるかと思いますが、そうした一時措置の部分を、攻撃者が狙ってきたのだろうと推測します。

 

このパターン、どこかで見覚えがあったのですが・・・スターウッドを買収したマリオットの事件を思い出しました。

foxsecurity.hatenablog.com

 

大型のM&A、あるいはFinTech企業への投資や買収は経営トップの短期間での判断が求められる事が多いかと思います。しかし将来性や自社へのシナジー効果だけでなく、マイナス面とも成り得る”セキュリティ”もきちんと(事前)チェックする事が必要な時代になってきた気がします。

それが難しい場合は、(買収した会社等の)レガシーシステムに対して、ゼロトラスト思想で、厳しい監視下に置く事が求められているのかも知れません。

 

今回の事件では、TSYSの記事での以下のコメントを見る限り、顧客企業の機微な情報までは影響範囲が及んでおらず、早い段階で封じ込めに成功した様に思えますが、一方でRyuk(Conti)側は、プリペイドカードのデータの窃取に成功した(TSYS側は否定)と主張している様です。

「従来のTSYSマーチャントビジネスの特定の企業バックオフィス機能をサポートするシステムが関与するランサムウェア攻撃を経験しました」とTSYSは述べています。「私たちはすぐに疑わしい活動を封じ込め、ビジネスは正常に運営されています。」

(Krebs on Security記事より引用)※機械翻訳

 

身代金が支払われなかった場合、Ryuk側が見せしめとして情報をリークしてくる可能性があり、今後も何か情報があればUpdateしたいと思います。

 

余談です。今日は米国財務省等が侵害を受けたSolarWindsの件を調べていたのですが、かなり情報が多く分析に時間がかかりそうなので、(本日の記事化は)断念しました。

TSYSの事件は、現時点ではそんなに影響範囲が大きくないのですが、私の専門の金融系のインシデントであった事と、Krebs氏の記事の最後にさりげなく下記の記述があったので先に取り上げました。日本の金融機関(プロセッサー)も十分警戒すべきかと思います。

サイバー脅威との戦いを目的とした業界コンソーシアムである金融サービス情報共有分析センター(FS-ISAC)が先月発表したレポートによると、銀行業界は依然としてランサムウェアグループの主要なターゲットです。FS-ISACは、過去4か月間に少なくとも8つの金融機関がランサムウェア攻撃に見舞われたと述べました。レポートは、かなりの差で、Ryukが金融サービス会社を標的とする最も多作なランサムウェアの脅威であり続けていることを指摘しています。

(Krebs on Security記事より引用)※機械翻訳

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 ダビデとゴリアテのイラスト

 

更新履歴

  • 2020年12月15日 AM