Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

GIGABYTEのランサム被害

不正アクセス事件 考えてみた。 海外事件

マザーボードベンダーのGIGABYTEがランサム被害に遭い、112GBのデータ公開の脅迫を受けていると報じられています。

www.bleepingcomputer.com

台湾のマザーボードメーカーであるギガバイトは、身代金が支払われない限り、112GBの盗まれたデータを公開すると脅迫するRansomEXXランサムウェアギャングに襲われました。

ガバイトマザーボードで最もよく知られていますが、グラフィックカード、データセンターサーバー、ラップトップ、モニターなど、他のコンピューターコンポーネントやハードウェアも製造しています。

攻撃は火曜日の夜遅くから水曜日に発生し、会社は台湾のシステムをシャットダウンすることを余儀なくされました。この事件は、サポートサイトや台湾のWebサイトの一部など、同社の複数のWebサイトにも影響を及ぼしました。


お客様からは、サポートドキュメントへのアクセスや、RMAに関する最新情報の受信に関する問題も報告されています。これは、ランサムウェア攻撃が原因である可能性があります。

中国のニュースサイトUnitedDaily Newsによると 、Gigabyteは、少数のサーバーに影響を与えるサイバー攻撃を受けたことを確認しました。

ネットワーク上の異常なアクティビティを検出した後、ITシステムをシャットダウンし、法執行機関に通知しました。

 

キタきつねの所感

GIGABYTEマザーボードグラフィックカード等で世界的シェアを持つ台湾の製造ベンダーです。台湾にはPC関連で世界的シェアを持つ会社が多数あり、AcerAppleサプライヤのQuanta等がランサム被害を発表していますが、どうやらGIGABYTEも被害者リストに名を連ねてしまった様です。

台湾の関連記事を見ると、攻撃アクターや身代金請求に関してはほとんど書かれていませんが、8/6にハッカーの攻撃を受けたものの、生産や販売業務には影響が無い事が書かれています。

money.udn.com

マザーボードグラフィックカードの大手メーカーであるGIGABYTEは、一部のサーバーが本日ハッカーに攻撃され、セキュリティ防御ができるだけ早くアクティブ化されたことを確認しました。影響を受けるすべての内部サービスが再開されました。現在、生産、販売、日常業務は再開されていません。影響を受ける。

GIGABYTEは、情報セキュリティチームが多くの外部情報セキュリティ企業の技術専門家と協力して、GIGABYTEの少数のサーバーに対するこのサイバー攻撃に共同で対処し、検出した異常なネットワーク状態を通知したことを示す主要なメッセージをリリースしました。関連する政府の法執行機関と情報セキュリティユニットは緊密な連絡を維持しています。

 

攻撃に関して、Bleeping ComputerではRansomEXXギャング(ランサムオペレータ)によるものだと断定しています。

 

その証拠として、RansomEXXがGIGABYTEに対してクローズで公開している(DarkWeb上の)ページのキャプチャーがBleeping Computerの記事に貼られていましたので、引用します。

非公開のギガバイトのデータ漏えいページ

 

これを見る限り、RansomEXX(※URLは伏せられていますがRansomEXXと関連性があるURLだったのだと推測します)が関与した事、および112GBの内部ネットワーク及びリポジトリからデータを窃取したという彼らの主張が事実に近いものである事が分かります。

このプライベートリークページで、攻撃者は、内部ギガバイトネットワークおよびAmerican MegatrendsGitリポジトリから112GBのデータを盗んだと主張しています。

112 GB(120,971,743,713バイト)のファイルをダウンロードし、公開する準備が整いました。
それらの多くはNDAIntelAMDAmerican Megatrends)の下にあります。
リークソース:newautobom.gigabyte.intra、git.ami.com.twなど。

攻撃者は、攻撃中に盗まれたNDAに基づく4つのドキュメントのスクリーンショットも共有しました。

リークされた画像は投稿しませんが、機密文書には、American Megatrendsデバッグ文書、Intelの「潜在的な問題」文書、「Ice Lake D SKUスタック更新スケジュール」、およびAMD改訂ガイドが含まれます。

(Bleeping Computer記事より引用)※機械翻訳

 

 

上記の脅迫メッセージには、GIGABYTEのファイルが強力な方式によって暗号化された事が書かれていますが、eサポートサイトは、現在でもアクセス不可になっていたので、一部にはまだ影響が残っている(バックアップで対処できなかった)システムがあるのかと思われます。

f:id:foxcafelate:20210808083743p:plain

 

この記事を見て、RansomEXXのリークサイトを見てみたのですが、8/8の記事を書いている時点では、GIGABYTEの情報は(まだ)公開されていませんでした

f:id:foxcafelate:20210808082833j:plain

 

RansomEXXに侵入された詳細手口は分かりませんが、フィッシング、RDP、エキスプロイト、盗まれた資格情報を使った不正アクセスといった一般的なランサムの初期侵入方法について、日本企業、特にグローバルに展開している製造業は改めて注意すべき点かと思います。

 

余談です。オリンピック開催中で、お盆休みに入った影響かも知れませんが、日本の関連記事が見つけられませんでしたGIGABYTEマザーボードは、一時期自分のデスクトップPCでも積んでいましたので気になったのですが、eサポートサイトがランサムの影響で長期間閉鎖となると、日本でも影響が出てきてしまうかも知れません。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

ギガが減るイラスト

 

更新履歴

  • 2021年8月8日 AM